Frage Was ist die empfohlene CIDR beim Erstellen von VPC in AWS?


Ich habe AWS-VPCs erstellt und frage mich, ob es beim Erstellen von VPCs einen empfohlenen CIDR-Wert gibt. Welche Faktoren muss ich bei der Auswahl einer CIDR beachten, und beeinflusst der CIDR-Wert die Leistung des Netzwerks?


27
2017-09-20 13:40


Ursprung




Antworten:


Ich würde die folgenden Überlegungen empfehlen:

Wenn Sie eine IPSEC-Verbindung zwischen Ihrem Firmen-LAN und Ihrer VPC erstellen, verwenden Sie eine andere CIDR als die Ihres Unternehmens-LAN. Dies verhindert Routing-Überlappungen und erstellt eine Identitätsunterscheidung als Referenz.

Verwenden Sie für sehr große Netzwerke mindestens verschiedene 16-Bit-Masken in verschiedenen Regionen, z

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

Verwenden Sie für kleinere Netzwerke eine 24-Bit-Maske in verschiedenen Regionen, z

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

Erwägen Sie, zwischen privaten und öffentlichen Subnetzen zu unterscheiden, z

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

Teilen Sie den Adressraum keinen Subnetzen zu, z

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

Unterzuordnen Sie auch nicht. Wenn Sie eine Last von Elastic Load Balancers verwenden, denken Sie daran, dass sie auch verfügbare IP-Adressen in Ihren Subnetzen konsumieren. Dies gilt insbesondere, wenn Sie ElasticBeanstalk verwenden.


26
2017-10-13 07:39



Ich fand diesen Artikel von AWS auf dem VPC Subnet Layout sehr hilfreich: medium.com/aws-activate-startup-blog/... - Doug


Einige Dinge, die ich beim letzten Mal in Betracht gezogen habe, als ich eine neue VPC erstellt habe:

  1. Stellen Sie sicher, dass sich die IP-Bereiche von verschiedenen Regionen nicht überschneiden. Du solltest keine haben 172.31.0.0/16 im us-west  eu-ireland, zum Beispiel. Es wird VPN zwischen diesen beiden Regionen zu einem Problem machen, das Doppel-NAT zu lösen braucht. Nein Danke.
  2. Stellen Sie sicher, dass der IP-Bereich groß genug ist, um alle benötigten Instanzen aufzunehmen x.x.x.x/24 wird 254 verschiedene Adressen aufnehmen. Es gibt wahrscheinlich Hunderte von CIDR-Taschenrechnern da draußen, um Ihnen zu helfen, dies herauszufinden.
  3. Ich erstelle viele verschiedene Subnetze in einer einzelnen VPC, anstatt mehrere VPCs zu erstellen. Die Subnetze können miteinander kommunizieren - ich kann private vs. öffentliche Subnetze haben, um einige Instanzen vom offenen Internet abzuschirmen. Verwenden Sie eine NAT-Instanz, damit das private Subnetz mit dem öffentlichen Subnetz kommunizieren kann. Verwenden Sie Sicherheitsgruppen, um Gruppen von Instanzen voneinander zu isolieren.

7
2017-09-20 14:15





Amazon scheint keine bestimmte Netzwerkgröße für Ihre VPC zu empfehlen (siehe VPC-Netzwerkadministratorhandbuch Beachten Sie die Verwendung von / 16s), aber im Allgemeinen gibt es zwei Gründe, die Leistungseffekte von CIDR zu berücksichtigen:

  1. Routing. Ein kleineres Präfix (größeres Netzwerk) wird häufig für die Routenaggregation verwendet und kann die Leistung tatsächlich verbessern.
  2. Übertragung und Multicast-Verkehr, der für Ihre Situation relevanter ist und zu einer geringeren Leistung bei kleineren Präfixen führen kann. Sie können die Auswirkungen dieses Datenverkehrs mindern, indem Sie die VPC weiter subnettieren, wie im Netzwerkadmin-Handbuch gezeigt.

Berücksichtigen Sie die anfängliche Anzahl an Knoten in Ihrer VPC und das projizierte Wachstum für die erwartete Projektlebensdauer, und Sie sollten einen guten Ausgangspunkt für die Präfixgröße haben. Denken Sie daran, dass es keinen Nachteil darstellt, mit einem kleinen Präfix wie / 16 zu beginnen, da Sie immer Subnetze erstellen können.


2
2017-09-20 14:47



Ich möchte nur auf zukünftige Leser hinweisen, die AWS VPC tut nicht Unterstützung Broadcast oder Multicast, so dass der zweite Aufzählungspunkt nicht relevant ist. aws.amazon.com/vpc/faqs - jready


Eine weitere Überlegung ist, ob Sie AWS ClassicLink verwenden müssen, um den Zugriff auf die VPC von EC2-Instanzen außerhalb der VPC zu ermöglichen. Aus der AWS-Dokumentation:

VPCs mit Routen, die in Konflikt mit dem privaten IP-Adressbereich von EC2-Classic von 10/8 stehen, können nicht für ClassicLink aktiviert werden. Dies schließt VPCs mit den IP-Adressbereichen 10.0.0.0/16 und 10.1.0.0/16, die bereits lokale Routen in ihren Routentabellen enthalten, nicht ein. Weitere Informationen finden Sie unter Routing für ClassicLink.

von http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing


1
2018-04-14 18:34