web-dev-qa-db-ja.com

AWSでVPCを作成するときに推奨されるCIDRは何ですか?

AWS VPCを作成していますが、VPCの作成時に推奨されるCIDR値があるかどうか疑問に思っています。 CIDRを選択する際に考慮しなければならない要素は何ですか。また、CIDR値はネットワークのパフォーマンスに影響しますか?

amazon-vpccidr
47
Gene Diaz

私は次の考慮事項をお勧めします:

企業LANとVPCの間にIPSEC接続を作成する場合は、企業LANのCIDRとは異なるCIDRを使用します。これにより、ルーティングの重複が防止され、参照用のIDの区別が作成されます。

非常に大規模なネットワークの場合、地域ごとに少なくとも異なる16ビットマスクを使用します。

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

小規模なネットワークでは、異なる地域で24ビットマスクを使用します。

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

プライベートサブネットとパブリックサブネットを区別することを検討してください。

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

サブネットにアドレス空間を過剰に割り当てないでください。

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

また、割り当て不足にしないでください。 Elastic Load Balancerの負荷を使用する場合、それらはサブネット上の利用可能なIPアドレスも消費することに注意してください。これは、ElasticBeanstalkを使用する場合に特に当てはまります。

40
Garreth McDaid

最後に新しいVPCを作成したときに検討した事項:

  1. 異なるリージョンのIP範囲が重複しないようにしてください。 172.31.0.0/16 in us-westeu-ireland、 例えば。これら2つのリージョン間のVPNは、解決するためにダブルNATを必要とする問題になります。結構です。
  2. IP範囲が、必要と思われるすべてのインスタンスを保持できる十分な大きさであることを確認してくださいx.x.x.x/24は、254の異なるアドレスに対応します。これを理解するのに役立つCIDR計算機が数百あると思います。
  3. 複数のVPCを作成するのではなく、1つのVPCに多数の異なるサブネットを作成します。サブネットは互いに通信できます。プライベートサブネットとパブリックサブネットを使用して、一部のインスタンスをオープンインターネットから保護できます。 NATインスタンスを使用して、プライベートサブネットがパブリックサブネットと通信できるようにします。セキュリティグループを使用して、インスタンスのグループを互いに分離します。
9
LHWizard

AmazonはVPCに特定のネットワークサイズを推奨しているようには見えません( VPCネットワーク管理者ガイド を参照し、/ 16秒の使用に注意してください)が、一般に、次の2つの理由により、 CIDR:

  1. ルーティング 。小さいプレフィックス(大きいネットワーク)はルート集約に頻繁に使用され、実際にパフォーマンスを向上させることができます。
  2. ブロードキャスト とマルチキャストトラフィック。これは状況により関連し、小さいプレフィックスでのパフォーマンスの低下につながる可能性があります。ネットワーク管理ガイドに示されているように、VPCをさらにサブネット化することで、このトラフィックの影響を軽減できます。

VPC内のノードの初期数と予想されるプロジェクトの存続期間の予測される成長を考慮し、プレフィックスサイズの適切な開始点が必要です。サブネットはいつでも作成できるため、/ 16などの小さなプレフィックスで開始しても害はありません。

2
dartonw

別の考慮事項は、VPCの外部のEC2インスタンスからVPCへのアクセスを許可するためにAWS ClassicLinkを使用する必要があるかどうかです。 AWSドキュメントから:

EC2-ClassicプライベートIPアドレス範囲10/8と競合するルートを持つVPCは、ClassicLinkでは有効にできません。これには、ルートテーブルにローカルルートがすでにある10.0.0.0/16および10.1.0.0/16のIPアドレス範囲を持つVPCは含まれません。詳細については、「ClassicLinkのルーティング」を参照してください。

from http://docs.aws.Amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing

1
RGunter