CIDR ที่แนะนำคืออะไรเมื่อสร้าง VPC บน AWS


43

ฉันสร้าง AWS VPC และสงสัยว่ามีค่า CIDR ที่แนะนำเมื่อสร้าง VPC หรือไม่ อะไรคือปัจจัยที่ฉันต้องพิจารณาเมื่อเลือก CIDR และค่า CIDR มีผลต่อประสิทธิภาพของเครือข่ายหรือไม่

คำตอบ:


37

ฉันอยากจะแนะนำข้อควรพิจารณาต่อไปนี้:

หากคุณสร้างการเชื่อมต่อ IPSEC ระหว่าง LAN องค์กรของคุณและ VPC ของคุณให้ใช้ CIDR ที่แตกต่างจาก LAN องค์กรของคุณ วิธีนี้จะป้องกันการทับซ้อนของการเราต์และสร้างความแตกต่างของข้อมูลประจำตัวสำหรับการอ้างอิง

สำหรับเครือข่ายขนาดใหญ่มากให้ใช้มาสก์ 16 บิตที่แตกต่างกันอย่างน้อยในภูมิภาคต่าง ๆ เช่น

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

สำหรับเครือข่ายขนาดเล็กให้ใช้มาสก์แบบ 24 บิตในภูมิภาคต่าง ๆ เช่น

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

พิจารณาสร้างความแตกต่างระหว่างเครือข่ายส่วนตัวและสาธารณะเช่น

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

อย่าจัดสรรพื้นที่ที่อยู่ไปยังเครือข่ายย่อยมากเกินไปเช่น

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

อย่าจัดสรรน้อยเกินไป หากคุณใช้ Elastic Load Balancer โหลดโปรดจำไว้ว่าพวกเขาจะใช้ที่อยู่ IP ที่มีอยู่ในเครือข่ายย่อยของคุณด้วย นี่คือความจริงโดยเฉพาะอย่างยิ่งถ้าคุณใช้ ElasticBeanstalk


2
ฉันพบบทความนี้จาก AWS บนโครงร่าง VPC Subnet ค่อนข้างมีประโยชน์: medium.com/aws-activate-startup-blog/ …
Doug

9

บางสิ่งที่ฉันพิจารณาเมื่อครั้งล่าสุดที่ฉันสร้าง VPC ใหม่:

  1. ตรวจสอบให้แน่ใจว่าช่วง IP จากภูมิภาคต่างๆไม่ทับซ้อนกัน คุณไม่ควรจะมี172.31.0.0/16ในus-west eu-irelandตัวอย่างเช่น มันจะทำให้ VPN ระหว่างสองภูมิภาคมีปัญหาที่ต้องการ double-NAT เพื่อแก้ไข ไม่เป็นไรขอบคุณ.
  2. ตรวจสอบให้แน่ใจว่าช่วง IP นั้นใหญ่พอที่จะเก็บอินสแตนซ์ทั้งหมดที่คุณคิดว่าคุณจะต้องx.x.x.x/24รองรับ 254 ที่อยู่ที่แตกต่างกัน อาจมีเครื่องคิดเลข CIDR หลายร้อยตัวที่ช่วยให้คุณเข้าใจได้
  3. ฉันสร้างเครือข่ายย่อยที่แตกต่างกันจำนวนมากใน VPC เดียวแทนที่จะสร้าง VPC หลายตัว เครือข่ายย่อยสามารถพูดคุยกัน - ฉันสามารถมีเครือข่ายส่วนตัวกับสาธารณะเพื่อปกป้องบางกรณีป้องกันจากอินเทอร์เน็ตเปิด ใช้อินสแตนซ์ NAT เพื่อให้ซับเน็ตส่วนตัวสามารถพูดคุยกับซับเน็ตสาธารณะได้ ใช้กลุ่มความปลอดภัยเพื่อแยกกลุ่มอินสแตนซ์ออกจากกัน

2

Amazon ไม่แนะนำขนาดเครือข่ายเฉพาะสำหรับ VPC ของคุณ (ดูคู่มือผู้ดูแลระบบเครือข่าย VPCและบันทึกการใช้ / 16s) แต่โดยทั่วไปมีเหตุผลสองประการในการพิจารณาประสิทธิภาพของ CIDR:

  1. เส้นทาง คำนำหน้าเล็ก (เครือข่ายขนาดใหญ่) มักใช้สำหรับการรวมเส้นทางและสามารถปรับปรุงประสิทธิภาพได้จริง
  2. การออกอากาศและการรับส่งข้อมูลแบบหลายผู้รับซึ่งเกี่ยวข้องกับสถานการณ์ของคุณมากขึ้นและอาจส่งผลให้ประสิทธิภาพลดลงในคำนำหน้าขนาดเล็ก คุณสามารถลดผลกระทบของทราฟฟิกนี้ได้โดยการ subnetting VPC เพิ่มเติมดังที่แสดงในคู่มือผู้ดูแลระบบเครือข่าย

พิจารณาจำนวนเริ่มต้นของโหนดใน VPC ของคุณและการเติบโตที่คาดการณ์ไว้สำหรับอายุการใช้งานโครงการที่คาดไว้และคุณควรมีจุดเริ่มต้นที่ดีสำหรับขนาดคำนำหน้า โปรดจำไว้ว่าไม่มีอันตรายใด ๆ ในการเริ่มต้นด้วยคำนำหน้าขนาดเล็กเช่น / 16 เพราะคุณสามารถสร้างเครือข่ายย่อยได้เสมอ


1
ฉันแค่ต้องการชี้ให้ผู้อ่านในอนาคตทราบว่า AWS VPC ไม่รองรับการออกอากาศหรือมัลติคาสต์ดังนั้นสัญลักษณ์ที่สองจึงไม่เกี่ยวข้องกัน aws.amazon.com/vpc/faqs
jready

1

การพิจารณาอีกประการหนึ่งคือคุณจะต้องใช้ AWS ClassicLink เพื่ออนุญาตการเข้าถึง VPC จากอินสแตนซ์ EC2 นอก VPC หรือไม่ จากเอกสาร AWS:

VPC ที่มีเส้นทางที่ขัดแย้งกับช่วงที่อยู่ IP ส่วนตัว EC2-Classic ที่ 10/8 ไม่สามารถเปิดใช้งานสำหรับ ClassicLink สิ่งนี้ไม่รวม VPCs ที่มีช่วง 10.0.0.0/16 และ 10.1.0.0/16 ซึ่งมีเส้นทางภายในเครื่องอยู่แล้วในตารางเส้นทาง สำหรับข้อมูลเพิ่มเติมดูการกำหนดเส้นทางสำหรับ ClassicLink

จากhttp://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.