AWS VPC 子網路由表最佳實踐

Question

在 AWS 中，我們有很多子網，比如公共子網和私有子網。

為了簡化問題，我僅指私有子網。

我知道我們可以為所有 AZ 中的私有子網使用單個路由表，或者我們可以在所有 AZ 中為每個私有子網使用多個路由表（每個 AZ 一個）。

我的問題是，設計這個的最佳實踐是什么？ 我應該為每個 AZ 中的子網創建不同的路由表，還是應該為所有 AZ 中的子網創建單個路由表？ 推薦的方法是什么，推薦的方法有什么優勢？

請注意，我問這個的原因是，我已經看到這兩種方法都在不同的環境中使用，並試圖了解什么是好的方法。

Answer 1

最終這取決於您自己的要求，但是這里有幾點需要考慮。

公共子網

您的任何公共子網是否有獨特的不同？ 如果它們在許多人遵循的模式中都相同（每個 AZ 一個公有子網），那么您可能會發現為您的公有子網設置一個路由表會更簡單。 由於 Internet 網關具有高可用性，並且 VPC 只能連接一個，因此如果它們都相同，則為每個子網添加路由表只會增加復雜性。

私有子網

要考慮的第一個因素是，您的所有私有子網是否都能夠訪問互聯網。 如果您有特定的子網應該和不應該的子網，您會希望將它們的路由分開。 請記住，互聯網將需要與第三方 API 交互或修補系統。

對於那些需要互聯網的私有子網，您需要使用 NAT 設備（ NAT 網關或NAT 實例）。 通常最佳實踐是讓每個 AZ（不是子網）擁有自己的 NAT 設備，這樣可以防止其他 AZ 中的設備在 NAT AZ 遇到問題時無法連接到 Internet。

在這種情況下，您將考慮為每個可用區創建一個路由表，然后根據需要將子網綁定到正確的路由表。

VPC 到網絡通信

最后要考慮的事情是您的 VPC 與外部網絡（無論是在 AWS、其他雲提供商甚至本地）通信。

如果您要連接到外部源，則需要了解該外部源是否應該能夠與每個子網通信（反之亦然），或者是否只有一個特定范圍可以通信）。

如果您只想讓特定子網能夠與外部源通話，那么您應該考慮這些子網的路由表，並考慮上述部分。

概括

總之，有幾個因素決定了您創建的路由設置。

• 子網是公共的還是私有的？
• 特定子網是否有任何獨特的路由要求？ （比如沒有網絡）
• 對於私有子網，您是否要使用每個 AZ 的 NAT 最佳實踐？
• 特定子網和外部網絡之間是否需要路由？

考慮到這些，首先安全性通常是最高的因素（不允許不需要的通信），但也要考慮對這些的管理。 如果您有 100 個子網，其中 90 個是私有的且具有相同的路由，則創建所需的最少路由表數。 如果需求發生變化，您可以在需要時更改它們。