CIDR được đề xuất khi tạo VPC trên AWS là gì?


43

Tôi đã tạo các VPC AWS và tôi tự hỏi liệu có giá trị CIDR được đề xuất khi tạo VPC không. Các yếu tố mà tôi phải xem xét khi chọn CIDR và ​​giá trị CIDR có ảnh hưởng đến hiệu suất của mạng không?

Câu trả lời:


37

Tôi muốn giới thiệu các cân nhắc sau:

Nếu bạn tạo kết nối IPSEC giữa mạng LAN công ty và VPC của bạn, hãy sử dụng CIDR khác với mạng LAN công ty của bạn. Điều này sẽ ngăn chặn định tuyến chồng chéo và tạo sự phân biệt danh tính để tham khảo.

Đối với các mạng rất lớn, sử dụng ít nhất các mặt nạ 16 bit khác nhau ở các vùng khác nhau, ví dụ:

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

Đối với các mạng nhỏ hơn, sử dụng mặt nạ 24 bit ở các vùng khác nhau, vd

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

Xem xét phân biệt giữa các mạng con riêng và công cộng, ví dụ:

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

Đừng phân bổ quá mức không gian địa chỉ cho các mạng con, vd

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

Đừng phân bổ dưới mức. Nếu bạn sử dụng tải Cân bằng tải đàn hồi, hãy nhớ rằng họ cũng sẽ sử dụng các địa chỉ IP có sẵn trên mạng con của bạn. Điều này đặc biệt đúng nếu bạn sử dụng ElasticBeanstalk.


2
Tôi thấy bài viết này từ AWS trên bố cục mạng con VPC khá hữu ích: Medium.com/aws-activate-startup-blog/ợi
Doug

9

Một số điều tôi đã xem xét lần cuối cùng tôi tạo VPC mới:

  1. Đảm bảo dải IP từ các vùng khác nhau không trùng nhau. Bạn không cần phải có một 172.31.0.0/16trong us-west eu-ireland, ví dụ. Nó sẽ làm cho VPN giữa hai khu vực đó trở thành một vấn đề đòi hỏi gấp đôi NAT để giải quyết. Không, cám ơn.
  2. Đảm bảo phạm vi IP đủ lớn để chứa tất cả các trường hợp bạn nghĩ bạn sẽ cần x.x.x.x/24sẽ chứa được 254 địa chỉ khác nhau. Có lẽ có hàng trăm máy tính CIDR ngoài kia để giúp bạn tìm ra điều này.
  3. Tôi tạo rất nhiều mạng con khác nhau trong một VPC, thay vì tạo nhiều VPC. Các mạng con có thể nói chuyện với nhau - Tôi có thể có các mạng con riêng tư và công cộng để giữ một số trường hợp được bảo vệ khỏi internet mở. Sử dụng một thể hiện NAT để mạng con riêng tư có thể nói chuyện với mạng con công cộng. Sử dụng các nhóm bảo mật để cô lập các nhóm phiên bản với nhau.

2

Amazon dường như không đề xuất bất kỳ kích thước mạng cụ thể nào cho VPC của bạn (xem hướng dẫn của quản trị viên mạng VPC và lưu ý việc sử dụng / 16 giây), nhưng nói chung có hai lý do để xem xét hiệu ứng hiệu suất của CIDR:

  1. Định tuyến . Một tiền tố nhỏ hơn (mạng lớn hơn) thường được sử dụng để tổng hợp tuyến đường và thực sự có thể cải thiện hiệu suất.
  2. Lưu lượng phátphát đa hướng, phù hợp hơn với tình huống của bạn và có thể dẫn đến hiệu suất giảm trên các tiền tố nhỏ hơn. Bạn có thể giảm thiểu ảnh hưởng của lưu lượng truy cập này bằng cách thêm vào VPC như trong hướng dẫn quản trị mạng.

Xem xét số lượng nút ban đầu trong VPC của bạn và tăng trưởng dự kiến ​​cho vòng đời dự án dự kiến ​​và bạn sẽ có điểm khởi đầu tốt cho kích thước tiền tố. Hãy nhớ rằng không có hại khi bắt đầu với một tiền tố nhỏ như / 16 vì bạn luôn có thể tạo các mạng con.


1
Tôi chỉ muốn chỉ ra cho các độc giả tương lai rằng AWS VPC không hỗ trợ phát sóng hoặc phát đa hướng, vì vậy, gạch đầu dòng thứ hai không liên quan. aws.amazon.com/vpc/faqs
sẵn sàng vào

1

Một cân nhắc khác là liệu bạn có cần sử dụng AWS ClassicLink để cho phép truy cập vào VPC từ các phiên bản EC2 bên ngoài VPC hay không. Từ tài liệu AWS:

Không thể bật các VPC có tuyến xung đột với dải địa chỉ IP riêng EC2-Classic 10/8 cho ClassicLink. Điều này không bao gồm các VPC với dải địa chỉ IP 10.0.0.0/16 và 10.1.0.0/16 đã có các tuyến cục bộ trong bảng tuyến đường của chúng. Để biết thêm thông tin, hãy xem Định tuyến cho ClassicLink.

từ http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc- classiclink.html # classiclink-routing

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.