web-dev-qa-db-fra.com

Quel est le CIDR recommandé lors de la création d'un VPC sur AWS?

J'ai créé des VPC AWS et je me demande s'il existe une valeur CIDR recommandée lors de la création de VPC. Quels sont les facteurs que je dois considérer lors du choix d'un CIDR et la valeur CIDR affecte-t-elle les performances du réseau?

47
Gene Diaz

Je recommanderais les considérations suivantes:

Si vous créez une connexion IPSEC entre votre LAN d'entreprise et votre VPC, utilisez un CIDR différent de celui de votre LAN d'entreprise. Cela empêchera les chevauchements de routage et créera une distinction d'identité pour référence.

Pour les très grands réseaux, utilisez au moins différents masques 16 bits dans différentes régions, par exemple

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

Pour les réseaux plus petits, utilisez un masque 24 bits dans différentes régions, par exemple

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

Envisagez de faire une distinction entre les sous-réseaux privés et publics, par exemple

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

Ne pas surallouer l'espace d'adressage aux sous-réseaux, par exemple

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

Ne sous-allouez pas non plus. Si vous utilisez une charge d'Elastic Load Balancers, n'oubliez pas qu'ils consommeront également les adresses IP disponibles sur vos sous-réseaux. C'est particulièrement vrai si vous utilisez ElasticBeanstalk.

40
Garreth McDaid

Certaines choses que j'ai considérées la dernière fois que j'ai créé un nouveau VPC:

  1. Assurez-vous que les plages IP de différentes régions ne se chevauchent pas. Vous ne devriez pas avoir un 172.31.0.0/16 dans us-westeu-ireland, par exemple. Cela rendra VPN entre ces deux régions un problème nécessitant un double NAT pour résoudre. Non merci.
  2. Assurez-vous que la plage IP est suffisamment large pour contenir toutes les instances dont vous pensez avoir besoin x.x.x.x/24 pourra accueillir 254 adresses différentes. Il existe probablement des centaines de calculatrices CIDR pour vous aider à comprendre cela.
  3. Je crée beaucoup de sous-réseaux différents dans un seul VPC, plutôt que de créer plusieurs VPC. Les sous-réseaux peuvent communiquer entre eux - je peux avoir des sous-réseaux privés contre publics pour garder certaines instances à l'abri de l'Internet ouvert. Utilisez une instance NAT afin que le sous-réseau privé puisse communiquer avec le sous-réseau public. Utilisez des groupes de sécurité pour isoler les groupes d'instances les uns des autres.
9
LHWizard

Amazon ne semble pas recommander de taille de réseau particulière pour votre VPC (voir le Guide de l'administrateur réseau VPC et notez l'utilisation de/16s), mais en général, il y a deux raisons de considérer les effets sur les performances de CIDR:

  1. Routage . Un préfixe plus petit (réseau plus grand) est fréquemment utilisé pour l'agrégation de routes et peut réellement améliorer les performances.
  2. Broadcast et le trafic de multidiffusion, qui est plus pertinent pour votre situation et peut entraîner une baisse des performances sur des préfixes plus petits. Vous pouvez atténuer les effets de ce trafic en sous-rétablissant le VPC, comme indiqué dans le guide d'administration réseau.

Tenez compte du nombre initial de nœuds dans votre VPC et de la croissance prévue pour la durée de vie prévue du projet et vous devriez avoir un bon point de départ pour la taille du préfixe. N'oubliez pas qu'il n'y a aucun mal à commencer par un petit préfixe tel que/16 car vous pouvez toujours créer des sous-réseaux.

2
dartonw

Une autre considération est de savoir si vous devrez utiliser AWS ClassicLink pour autoriser l'accès au VPC à partir d'instances EC2 en dehors du VPC. Dans la documentation AWS:

Les VPC dont les itinéraires entrent en conflit avec la plage d'adresses IP privées EC2-Classic de 10/8 ne peuvent pas être activés pour ClassicLink. Cela n'inclut pas les VPC avec des plages d'adresses IP 10.0.0.0/16 et 10.1.0.0/16 qui ont déjà des itinéraires locaux dans leurs tables de routage. Pour plus d'informations, voir Routage pour ClassicLink.

de http://docs.aws.Amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing

1
RGunter