Câu trả lời:
Tôi muốn giới thiệu các cân nhắc sau:
Nếu bạn tạo kết nối IPSEC giữa mạng LAN công ty và VPC của bạn, hãy sử dụng CIDR khác với mạng LAN công ty của bạn. Điều này sẽ ngăn chặn định tuyến chồng chéo và tạo sự phân biệt danh tính để tham khảo.
Đối với các mạng rất lớn, sử dụng ít nhất các mặt nạ 16 bit khác nhau ở các vùng khác nhau, ví dụ:
eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16
Đối với các mạng nhỏ hơn, sử dụng mặt nạ 24 bit ở các vùng khác nhau, vd
eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24
Xem xét phân biệt giữa các mạng con riêng và công cộng, ví dụ:
private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)
Đừng phân bổ quá mức không gian địa chỉ cho các mạng con, vd
eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26
(62 hosts per subnet)
Đừng phân bổ dưới mức. Nếu bạn sử dụng tải Cân bằng tải đàn hồi, hãy nhớ rằng họ cũng sẽ sử dụng các địa chỉ IP có sẵn trên mạng con của bạn. Điều này đặc biệt đúng nếu bạn sử dụng ElasticBeanstalk.
Một số điều tôi đã xem xét lần cuối cùng tôi tạo VPC mới:
172.31.0.0/16
trong us-west
eu-ireland
, ví dụ. Nó sẽ làm cho VPN giữa hai khu vực đó trở thành một vấn đề đòi hỏi gấp đôi NAT để giải quyết. Không, cám ơn.x.x.x.x/24
sẽ chứa được 254 địa chỉ khác nhau. Có lẽ có hàng trăm máy tính CIDR ngoài kia để giúp bạn tìm ra điều này.Amazon dường như không đề xuất bất kỳ kích thước mạng cụ thể nào cho VPC của bạn (xem hướng dẫn của quản trị viên mạng VPC và lưu ý việc sử dụng / 16 giây), nhưng nói chung có hai lý do để xem xét hiệu ứng hiệu suất của CIDR:
Xem xét số lượng nút ban đầu trong VPC của bạn và tăng trưởng dự kiến cho vòng đời dự án dự kiến và bạn sẽ có điểm khởi đầu tốt cho kích thước tiền tố. Hãy nhớ rằng không có hại khi bắt đầu với một tiền tố nhỏ như / 16 vì bạn luôn có thể tạo các mạng con.
Một cân nhắc khác là liệu bạn có cần sử dụng AWS ClassicLink để cho phép truy cập vào VPC từ các phiên bản EC2 bên ngoài VPC hay không. Từ tài liệu AWS:
Không thể bật các VPC có tuyến xung đột với dải địa chỉ IP riêng EC2-Classic 10/8 cho ClassicLink. Điều này không bao gồm các VPC với dải địa chỉ IP 10.0.0.0/16 và 10.1.0.0/16 đã có các tuyến cục bộ trong bảng tuyến đường của chúng. Để biết thêm thông tin, hãy xem Định tuyến cho ClassicLink.
từ http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc- classiclink.html # classiclink-routing