ฉันสร้าง AWS VPC และสงสัยว่ามีค่า CIDR ที่แนะนำเมื่อสร้าง VPC หรือไม่ อะไรคือปัจจัยที่ฉันต้องพิจารณาเมื่อเลือก CIDR และค่า CIDR มีผลต่อประสิทธิภาพของเครือข่ายหรือไม่
ฉันสร้าง AWS VPC และสงสัยว่ามีค่า CIDR ที่แนะนำเมื่อสร้าง VPC หรือไม่ อะไรคือปัจจัยที่ฉันต้องพิจารณาเมื่อเลือก CIDR และค่า CIDR มีผลต่อประสิทธิภาพของเครือข่ายหรือไม่
คำตอบ:
ฉันอยากจะแนะนำข้อควรพิจารณาต่อไปนี้:
หากคุณสร้างการเชื่อมต่อ IPSEC ระหว่าง LAN องค์กรของคุณและ VPC ของคุณให้ใช้ CIDR ที่แตกต่างจาก LAN องค์กรของคุณ วิธีนี้จะป้องกันการทับซ้อนของการเราต์และสร้างความแตกต่างของข้อมูลประจำตัวสำหรับการอ้างอิง
สำหรับเครือข่ายขนาดใหญ่มากให้ใช้มาสก์ 16 บิตที่แตกต่างกันอย่างน้อยในภูมิภาคต่าง ๆ เช่น
eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16
สำหรับเครือข่ายขนาดเล็กให้ใช้มาสก์แบบ 24 บิตในภูมิภาคต่าง ๆ เช่น
eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24
พิจารณาสร้างความแตกต่างระหว่างเครือข่ายส่วนตัวและสาธารณะเช่น
private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)
อย่าจัดสรรพื้นที่ที่อยู่ไปยังเครือข่ายย่อยมากเกินไปเช่น
eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26
(62 hosts per subnet)
อย่าจัดสรรน้อยเกินไป หากคุณใช้ Elastic Load Balancer โหลดโปรดจำไว้ว่าพวกเขาจะใช้ที่อยู่ IP ที่มีอยู่ในเครือข่ายย่อยของคุณด้วย นี่คือความจริงโดยเฉพาะอย่างยิ่งถ้าคุณใช้ ElasticBeanstalk
บางสิ่งที่ฉันพิจารณาเมื่อครั้งล่าสุดที่ฉันสร้าง VPC ใหม่:
172.31.0.0/16
ในus-west
eu-ireland
ตัวอย่างเช่น มันจะทำให้ VPN ระหว่างสองภูมิภาคมีปัญหาที่ต้องการ double-NAT เพื่อแก้ไข ไม่เป็นไรขอบคุณ.x.x.x.x/24
รองรับ 254 ที่อยู่ที่แตกต่างกัน อาจมีเครื่องคิดเลข CIDR หลายร้อยตัวที่ช่วยให้คุณเข้าใจได้Amazon ไม่แนะนำขนาดเครือข่ายเฉพาะสำหรับ VPC ของคุณ (ดูคู่มือผู้ดูแลระบบเครือข่าย VPCและบันทึกการใช้ / 16s) แต่โดยทั่วไปมีเหตุผลสองประการในการพิจารณาประสิทธิภาพของ CIDR:
พิจารณาจำนวนเริ่มต้นของโหนดใน VPC ของคุณและการเติบโตที่คาดการณ์ไว้สำหรับอายุการใช้งานโครงการที่คาดไว้และคุณควรมีจุดเริ่มต้นที่ดีสำหรับขนาดคำนำหน้า โปรดจำไว้ว่าไม่มีอันตรายใด ๆ ในการเริ่มต้นด้วยคำนำหน้าขนาดเล็กเช่น / 16 เพราะคุณสามารถสร้างเครือข่ายย่อยได้เสมอ
การพิจารณาอีกประการหนึ่งคือคุณจะต้องใช้ AWS ClassicLink เพื่ออนุญาตการเข้าถึง VPC จากอินสแตนซ์ EC2 นอก VPC หรือไม่ จากเอกสาร AWS:
VPC ที่มีเส้นทางที่ขัดแย้งกับช่วงที่อยู่ IP ส่วนตัว EC2-Classic ที่ 10/8 ไม่สามารถเปิดใช้งานสำหรับ ClassicLink สิ่งนี้ไม่รวม VPCs ที่มีช่วง 10.0.0.0/16 และ 10.1.0.0/16 ซึ่งมีเส้นทางภายในเครื่องอยู่แล้วในตารางเส้นทาง สำหรับข้อมูลเพิ่มเติมดูการกำหนดเส้นทางสำหรับ ClassicLink
จากhttp://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing