Jaki jest zalecany CIDR podczas tworzenia VPC na AWS?

43

Tworzę VPC AWS i zastanawiam się, czy istnieje zalecana wartość CIDR podczas tworzenia VPC. Jakie czynniki należy wziąć pod uwagę przy wyborze CIDR i czy wartość CIDR wpływa na wydajność sieci?

Gene Diaz
źródło

Odpowiedzi:

37

Poleciłbym następujące rozważania:

Jeśli tworzysz połączenie IPSEC między korporacyjną siecią LAN a VPC, użyj CIDR, który jest inny niż w korporacyjnej sieci LAN. Zapobiegnie to nakładaniu się tras i stworzy rozróżnienie tożsamości dla odniesienia.

W przypadku bardzo dużych sieci użyj co najmniej różnych 16-bitowych masek w różnych regionach, np

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

W przypadku mniejszych sieci użyj 24-bitowej maski w różnych regionach, np

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

Rozważ rozróżnienie między podsieciami prywatnymi i publicznymi, np

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

Nie przydzielaj nadmiernie przestrzeni adresowej do podsieci, np

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

Nie przydzielaj też zbyt mało środków. Jeśli korzystasz z wielu modułów równoważenia obciążenia elastycznego, pamiętaj, że będą one również wykorzystywać dostępne adresy IP w podsieciach. Jest to szczególnie prawdziwe, jeśli używasz ElasticBeanstalk.

Garreth McDaid
źródło
2
Znalazłem ten artykuł z AWS na temat układu podsieci VPC bardzo pomocny: medium.com/aws-activate-startup-blog/…
Doug
9

Kilka rzeczy, które rozważałem przy ostatnim tworzeniu nowego VPC:

  1. Upewnij się, że zakresy adresów IP z różnych regionów się nie pokrywają. Nie powinien mieć 172.31.0.0/16in us-west eu-ireland, na przykład. Sprawi, że VPN między tymi dwoma regionami będzie problemem wymagającym rozwiązania podwójnego NAT. Nie, dziękuję.
  2. Upewnij się, że zakres adresów IP jest wystarczająco duży, aby pomieścić wszystkie wystąpienia, które Twoim zdaniem będą potrzebne x.x.x.x/24, mieszczą 254 różne adresy. Prawdopodobnie istnieją setki kalkulatorów CIDR, które pomogą Ci to zrozumieć.
  3. Tworzę wiele różnych podsieci w jednym VPC, zamiast tworzyć wiele VPC. Podsieci mogą ze sobą rozmawiać - mogę mieć podsieci prywatne vs. publiczne, aby niektóre instancje były chronione przed otwartym Internetem. Użyj instancji NAT, aby podsieć prywatna mogła komunikować się z podsiecią publiczną. Grupy zabezpieczeń służą do izolowania grup wystąpień od siebie.
LHWizard
źródło
2

Wydaje się, że Amazon nie zaleca żadnego konkretnego rozmiaru sieci dla twojego VPC (zobacz przewodnik administratora sieci VPC i zwróć uwagę na użycie / 16s), ale ogólnie istnieją dwa powody, aby rozważyć wpływ wydajności CIDR na wydajność:

  1. Routingu . Mniejszy prefiks (większa sieć) jest często używany do agregacji tras i może faktycznie poprawić wydajność.
  2. Ruch rozgłaszania i multiemisji, który jest bardziej odpowiedni w danej sytuacji i może skutkować zmniejszeniem wydajności mniejszych prefiksów. Możesz złagodzić skutki tego ruchu poprzez dalsze podsieci VPC, jak pokazano w przewodniku administratora sieci.

Zastanów się nad początkową liczbą węzłów w VPC i przewidywanym wzrostem dla przewidywanego czasu życia projektu i powinieneś mieć dobry punkt początkowy dla rozmiaru prefiksu. Pamiętaj, że nie ma nic złego w rozpoczynaniu od małego prefiksu, takiego jak / 16, ponieważ zawsze możesz tworzyć podsieci.

dartonw
źródło
1
Chciałbym tylko wskazać przyszłym czytelnikom, że AWS VPC nie obsługuje emisji ani multiemisji, więc drugi punkt nie ma znaczenia. aws.amazon.com/vpc/faqs
jready
1

Innym zagadnieniem jest to, czy będziesz musiał użyć AWS ClassicLink, aby umożliwić dostęp do VPC z instancji EC2 poza VPC. Z dokumentacji AWS:

VPC z trasami, które są w konflikcie z zakresem prywatnych adresów IP EC2-Classic 10/8, nie mogą być włączone dla ClassicLink. Nie obejmuje to VPC z zakresami adresów IP 10.0.0.0/16 i 10.1.0.0/16, które już mają trasy lokalne w swoich tabelach tras. Aby uzyskać więcej informacji, zobacz Routing dla ClassicLink.

from http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing

RGunter
źródło