Apa CIDR yang disarankan saat membuat VPC di AWS?

43

Saya telah membuat AWS VPC dan saya bertanya-tanya apakah ada nilai CIDR yang disarankan saat membuat VPC. Apa faktor yang harus saya pertimbangkan ketika memilih CIDR dan apakah nilai CIDR mempengaruhi kinerja jaringan?

Gene Diaz
sumber

Jawaban:

37

Saya akan merekomendasikan pertimbangan berikut:

Jika Anda membuat koneksi IPSEC antara LAN perusahaan Anda dan VPC Anda, gunakan CIDR yang berbeda dari yang ada di LAN perusahaan Anda. Ini akan mencegah routing yang tumpang tindih dan membuat perbedaan identitas untuk referensi.

Untuk jaringan yang sangat besar, gunakan setidaknya berbagai topeng 16-bit di berbagai daerah, mis

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

Untuk jaringan yang lebih kecil, gunakan masker 24-bit di berbagai daerah mis

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

Pertimbangkan untuk membuat perbedaan antara subnet pribadi dan publik, mis

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

Jangan terlalu banyak mengalokasikan ruang alamat ke subnet, mis

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

Jangan terlalu rendah alokasi. Jika Anda menggunakan beban Balancers Beban Elastis, ingatlah bahwa mereka juga akan menggunakan alamat ip yang tersedia di subnet Anda. Ini benar terutama jika Anda menggunakan ElasticBeanstalk.

Garreth McDaid
sumber
2
Saya menemukan artikel ini dari AWS pada VPC Subnet tata letak cukup membantu: medium.com/aws-activate-startup-blog/...
Doug
9

Beberapa hal yang saya anggap terakhir kali saya membuat VPC baru:

  1. Pastikan rentang IP dari berbagai daerah tidak tumpang tindih. Anda tidak harus memiliki 172.31.0.0/16di us-west eu-ireland, misalnya. Ini akan membuat VPN di antara kedua wilayah tersebut menjadi masalah yang membutuhkan pemecahan ganda-NAT. Tidak, terima kasih.
  2. Pastikan rentang IP cukup besar untuk menampung semua instance yang Anda pikir akan Anda butuhkan x.x.x.x/24untuk menampung 254 alamat berbeda. Mungkin ada ratusan kalkulator CIDR di luar sana untuk membantu Anda mengetahui hal ini.
  3. Saya membuat banyak subnet yang berbeda dalam satu VPC, daripada membuat beberapa VPC. Subnet dapat berbicara satu sama lain - Saya dapat memiliki subnet pribadi vs publik untuk menjaga beberapa contoh terlindung dari internet terbuka. Gunakan instance NAT sehingga subnet pribadi dapat berbicara dengan subnet publik. Gunakan grup keamanan untuk mengisolasi kelompok instance dari satu sama lain.
LHWizard
sumber
2

Amazon tampaknya tidak menyarankan ukuran jaringan tertentu untuk VPC Anda (lihat panduan administrator jaringan VPC dan catat penggunaan / 16s), tetapi secara umum ada dua alasan untuk mempertimbangkan efek kinerja CIDR:

  1. Routing . Awalan yang lebih kecil (jaringan yang lebih besar) sering digunakan untuk agregasi rute dan benar-benar dapat meningkatkan kinerja.
  2. Siaran dan lalu lintas multicast, yang lebih relevan dengan situasi Anda dan dapat mengakibatkan penurunan kinerja pada awalan yang lebih kecil. Anda dapat mengurangi efek dari lalu lintas ini dengan lebih lanjut men-subnetting VPC seperti yang ditunjukkan dalam panduan admin jaringan.

Pertimbangkan jumlah awal node dalam VPC Anda dan pertumbuhan yang diproyeksikan untuk masa hidup proyek yang diantisipasi dan Anda harus memiliki titik awal yang baik untuk ukuran awalan. Ingatlah bahwa tidak ada salahnya memulai dengan awalan kecil seperti / 16 karena Anda selalu dapat membuat subnet.

dartonw
sumber
1
Saya hanya ingin menunjukkan kepada pembaca di masa depan bahwa AWS VPC tidak mendukung siaran atau multicast, sehingga poin kedua tidak relevan. aws.amazon.com/vpc/faqs
jready
1

Pertimbangan lain adalah apakah Anda harus menggunakan AWS ClassicLink untuk memungkinkan akses ke VPC dari instance EC2 di luar VPC. Dari dokumentasi AWS:

VPC dengan rute yang bertentangan dengan rentang alamat IP pribadi EC2-Classic 10/8 tidak dapat diaktifkan untuk ClassicLink. Ini tidak termasuk VPC dengan kisaran alamat IP 10.0.0.0/16 dan 10.1.0.0/16 yang sudah memiliki rute lokal di tabel rute mereka. Untuk informasi lebih lanjut, lihat Routing for ClassicLink.

dari http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing

RGunter
sumber