Was ist die empfohlene CIDR beim Erstellen von VPC unter AWS?


43

Ich habe AWS-VPCs erstellt und frage mich, ob beim Erstellen von VPCs ein empfohlener CIDR-Wert vorhanden ist. Was sind die Faktoren, die ich bei der Auswahl eines CIDR berücksichtigen muss, und wirkt sich der CIDR-Wert auf die Leistung des Netzwerks aus?

Antworten:


37

Ich würde folgende Überlegungen empfehlen:

Wenn Sie eine IPSEC-Verbindung zwischen Ihrem Unternehmens-LAN und Ihrer VPC herstellen, verwenden Sie eine andere CIDR als in Ihrem Unternehmens-LAN. Dies verhindert Routingüberschneidungen und erstellt eine Identitätsunterscheidung als Referenz.

Verwenden Sie für sehr große Netzwerke mindestens verschiedene 16-Bit-Masken in verschiedenen Regionen, z

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

Verwenden Sie für kleinere Netzwerke eine 24-Bit-Maske in verschiedenen Regionen, z

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

Überlegen Sie, zwischen privaten und öffentlichen Subnetzen zu unterscheiden, z

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

Weisen Sie Subnetzen keinen Adressraum zu, z

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

Ordnen Sie es auch nicht zu wenig zu. Wenn Sie eine Last von Elastic Load Balancern verwenden, beachten Sie, dass diese auch die verfügbaren IP-Adressen in Ihren Subnetzen belegen. Dies gilt insbesondere dann, wenn Sie ElasticBeanstalk verwenden.


2
Ich fand diesen Artikel von AWS im VPC-Subnetz-Layout sehr hilfreich: medium.com/aws-activate-startup-blog/…
Doug

9

Einige Dinge, die ich beim letzten Erstellen einer neuen VPC berücksichtigt habe:

  1. Stellen Sie sicher, dass sich die IP-Bereiche aus verschiedenen Regionen nicht überlappen. Sie sollten keine haben 172.31.0.0/16in us-west eu-ireland, zum Beispiel. Dadurch wird VPN zwischen diesen beiden Regionen zu einem Problem, dessen Lösung Double-NAT erfordert. Nein Danke.
  2. Stellen Sie sicher, dass der IP-Bereich groß genug ist, um alle Instanzen aufzunehmen, die Sie x.x.x.x/24für 254 verschiedene Adressen benötigen . Es gibt wahrscheinlich Hunderte von CIDR-Rechnern, die Ihnen dabei helfen, dies herauszufinden.
  3. Ich erstelle viele verschiedene Subnetze in einer einzelnen VPC, anstatt mehrere VPCs zu erstellen. Die Subnetze können miteinander kommunizieren - ich kann private und öffentliche Subnetze haben, um einige Instanzen vor dem offenen Internet zu schützen. Verwenden Sie eine NAT-Instanz, damit das private Subnetz mit dem öffentlichen Subnetz kommunizieren kann. Verwenden Sie Sicherheitsgruppen, um Gruppen von Instanzen voneinander zu isolieren.

2

Amazon empfiehlt anscheinend keine bestimmte Netzwerkgröße für Ihre VPC (siehe VPC-Netzwerkadministratorhandbuch und die Verwendung von / 16s), aber im Allgemeinen gibt es zwei Gründe, die Leistungseffekte von CIDR zu berücksichtigen:

  1. Routing . Ein kleineres Präfix (größeres Netzwerk) wird häufig für die Routenaggregation verwendet und kann die Leistung verbessern.
  2. Broadcast- und Multicast-Verkehr, der für Ihre Situation relevanter ist und bei kleineren Präfixen zu Leistungseinbußen führen kann. Sie können die Auswirkungen dieses Datenverkehrs abschwächen, indem Sie die VPC wie im Handbuch für Netzwerkadministratoren angegeben weiter unterteilen.

Berücksichtigen Sie die anfängliche Anzahl von Knoten in Ihrer VPC und das projizierte Wachstum für die erwartete Projektlebensdauer. Sie sollten einen guten Ausgangspunkt für die Präfixgröße haben. Denken Sie daran, dass es nicht schadet, mit einem kleinen Präfix wie / 16 zu beginnen, da Sie jederzeit Subnetze erstellen können.


1
Ich möchte zukünftige Leser nur darauf hinweisen, dass AWS VPC Broadcast oder Multicast nicht unterstützt, sodass der zweite Aufzählungspunkt nicht relevant ist. aws.amazon.com/vpc/faqs
bereits

1

Eine weitere Überlegung ist, ob Sie AWS ClassicLink verwenden müssen, um den Zugriff auf die VPC von EC2-Instanzen außerhalb der VPC zuzulassen. Aus der AWS-Dokumentation:

VPCs mit Routen, die mit dem privaten IP-Adressbereich von EC2-Classic von 10/8 in Konflikt stehen, können für ClassicLink nicht aktiviert werden. Dies gilt nicht für VPCs mit IP-Adressbereichen 10.0.0.0/16 und 10.1.0.0/16, deren Routentabellen bereits lokale Routen enthalten. Weitere Informationen finden Sie unter Routing für ClassicLink.

von http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.