Вопросы Теги

Каков рекомендуемый CIDR при создании VPC на AWS?

Я создавал AWS VPCs, и я задаюсь вопросом, существует ли рекомендуемое значение CIDR при создании VPCs. Каковы факторы, которые я должен рассмотреть при выборе CIDR, и CIDR оценивает, влияют на производительность сети?

43
задан 20 September 2014 в 16:40
6 ответов

Я бы порекомендовал следующие соображения:

Если вы создаете соединение IPSEC между вашей корпоративной LAN и вашим VPC, используйте CIDR, отличный от CIDR в вашей корпоративной LAN. Это предотвратит перекрытие маршрутов и создаст различие идентичности для справки.

Для очень больших сетей используйте, по крайней мере, разные 16-битные маски в разных регионах, например, 

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

Для небольших сетей используйте 24-битные маски в разных регионах, например 

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

Рассмотрите возможность проведения различия между частными и общедоступными подсетями, например, 

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

Не выделяйте чрезмерное адресное пространство подсетям, например, 

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

Не выделяйте слишком много места. Если вы используете множество эластичных балансировщиков нагрузки, помните, что они также будут использовать доступные IP-адреса в ваших подсетях. Это особенно верно, если вы используете ElasticBeanstalk.

37
ответ дан 28 November 2019 в 19:42

Некоторые вещи, которые я рассмотрел, когда в последний раз создавал новый VPC:

  1. Убедитесь, что диапазоны IP-адресов из разных регионов не перекрываются. Например, у вас не должно быть 172.31.0.0/16 в us-west eu-irireland . Это сделает VPN между этими двумя регионами проблемой, требующей решения двойного NAT. Нет, спасибо.
  2. Убедитесь, что диапазон IP-адресов достаточно велик, чтобы вместить все экземпляры, которые, по вашему мнению, вам понадобятся. x.x.x.x / 24 будет поддерживать 254 разных адреса. Вероятно, существуют сотни калькуляторов CIDR, которые помогут вам в этом разобраться.
  3. Я создаю множество разных подсетей в одном VPC, а не в нескольких VPC. Подсети могут взаимодействовать друг с другом - у меня могут быть частные или общедоступные подсети, чтобы некоторые экземпляры были защищены от открытого Интернета. Используйте экземпляр NAT, чтобы частная подсеть могла взаимодействовать с общедоступной подсетью. Используйте группы безопасности, чтобы изолировать группы экземпляров друг от друга.
9
ответ дан 28 November 2019 в 19:42

Amazon, похоже, не рекомендует какой-либо конкретный размер сети для вашего VPC (см. Руководство администратора сети VPC и обратите внимание на использование / 16s), но В общем, есть две причины учитывать влияние CIDR на производительность:

  1. Маршрутизация . Меньший префикс (большая сеть) часто используется для агрегации маршрутов и может фактически улучшить производительность.
  2. Широковещательный и многоадресный трафик, который более актуален для вашей ситуации и может привести к снижению производительности на меньших префиксах. Вы можете уменьшить влияние этого трафика, разделив VPC на подсети, как показано в руководстве администратора сети.

Примите во внимание начальное количество узлов в вашем VPC и прогнозируемый рост в течение ожидаемого срока жизни проекта, и у вас должна быть хорошая отправная точка для размер префикса. Помните, что нет ничего плохого в том, чтобы начать с небольшого префикса, такого как / 16, потому что вы всегда можете создавать подсети.

2
ответ дан 28 November 2019 в 19:42

Еще одно соображение - нужно ли использовать AWS ClassicLink, чтобы разрешить доступ к VPC из экземпляров EC2 за пределами VPC. Из документации AWS:

VPC с маршрутами, которые конфликтуют с диапазоном частных IP-адресов EC2-Classic 10/8, не могут быть включены для ClassicLink. Сюда не входят VPC с 10.0.0.0/16 и 10.1.0.0/16 диапазоны IP-адресов, для которых в таблицах маршрутов уже есть локальные маршруты. Для получения дополнительной информации см. Маршрутизация для ClassicLink.

из http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing

1
ответ дан 28 November 2019 в 19:42

В случае, если кто-то может найти этот вопрос и будет заинтересован в настройке спецификации на основе CIDR только одного IP-адреса (например, если вы устанавливаете IP-адрес RDP, разрешенный в новом стеке AWS) , вы бы сделали это с IP-адресом, а затем /32 (что означает «один IP-адрес»), поэтому, если бы ваш адрес был 66.12.34.567, вы бы указали: 66.12.34.567/32

0
ответ дан 4 December 2020 в 17:05

Рекомендуемый CIDR для VPC зависит от требований. Самый большой размер блока для VPC Ipv4 CIDR — это маска сети /16с IP-адресами 65,536, а наименьший — маска сети /28с IP-адресами 16.

0
ответ дан 16 October 2021 в 14:32

Теги

Похожие вопросы