57 votes

Neil Palmer avatar

Quel est le CIDR recommandé lors de la création d'un VPC sur AWS ?

Demandé el 20 de Septembre, 2014
Quand la question a-t-elle été
48901 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai créé des VPC AWS et je me demande s'il existe une valeur CIDR recommandée lors de la création de VPC. Quels sont les facteurs à prendre en compte pour choisir un CIDR et la valeur CIDR a-t-elle une incidence sur les performances du réseau ?

Demandé el 20 de Septembre, 2014 par Neil Palmer

Réponses

Trop de publicités?

47voto

Garreth McDaid avatar
Garreth McDaid Points 3269

Je recommande les considérations suivantes :

Si vous créez une connexion IPSEC entre votre LAN d'entreprise et votre VPC, utilisez un CIDR différent de celui de votre LAN d'entreprise. Cela permettra d'éviter les chevauchements de routage et de créer une distinction d'identité pour la référence.

Pour les réseaux de très grande taille, utilisez au moins différents masques de 16 bits dans différentes régions, par ex.

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

Pour les réseaux de plus petite taille, utilisez un masque de 24 bits dans différentes régions.

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

Envisagez de faire une distinction entre les sous-réseaux privés et publics, par ex.

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

Ne pas sur-allouer l'espace d'adressage aux sous-réseaux, par ex.

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

Ne sous-allouez pas non plus. Si vous utilisez un grand nombre d'équilibreurs de charge Elastic, n'oubliez pas qu'ils consommeront également des adresses IP disponibles sur vos sous-réseaux. Cela est particulièrement vrai si vous utilisez ElasticBeanstalk.

Répondu el 13 de Octobre, 2014 par Garreth McDaid (3269 Points )

11voto

Fojtasek avatar
Fojtasek Points 1494

Quelques éléments que j'ai pris en compte la dernière fois que j'ai créé un nouveau VPC :

  1. Assurez-vous que les plages IP des différentes régions ne se chevauchent pas. Vous ne devriez pas avoir de 172.31.0.0/16 en us-west eu-ireland par exemple. Cela fera du VPN entre ces deux régions un problème dont la résolution nécessitera un double NAT. Non merci.
  2. Assurez-vous que la plage d'adresses IP est suffisamment large pour contenir toutes les instances dont vous pensez avoir besoin. x.x.x.x/24 pourra accueillir 254 adresses différentes. Il existe probablement des centaines de calculateurs CIDR pour vous aider à résoudre ce problème.
  3. Je crée beaucoup de sous-réseaux différents dans un seul VPC, plutôt que de créer plusieurs VPC. Les sous-réseaux peuvent communiquer entre eux - Je peux avoir des sous-réseaux privés et des sous-réseaux publics pour protéger certaines instances de l'Internet ouvert. Utilisez une instance NAT pour que le sous-réseau privé puisse communiquer avec le sous-réseau public. Utiliser des groupes de sécurité pour isoler des groupes d'instances les uns des autres.
Répondu el 20 de Septembre, 2014 par Fojtasek (1494 Points )

2voto

Ken Mac avatar
Ken Mac Points 31

Amazon ne semble pas recommander une taille de réseau particulière pour votre VPC (voir l'onglet Guide de l'administrateur de réseau VPC et notez l'utilisation des /16), mais en général, il y a deux raisons de considérer les effets du CIDR sur les performances :

  1. Routage . Un préfixe plus petit (réseau plus grand) est fréquemment utilisé pour l'agrégation de routes et peut réellement améliorer les performances.
  2. Diffusion et le trafic multidiffusion, ce qui est plus pertinent pour votre situation et peut entraîner une baisse des performances sur les petits préfixes. Vous pouvez atténuer les effets de ce trafic en subdivisant davantage le VPC comme indiqué dans le guide d'administration du réseau.

Considérez le nombre initial de nœuds dans votre VPC et la croissance prévue pour la durée de vie anticipée du projet et vous devriez avoir un bon point de départ pour la taille du préfixe. N'oubliez pas qu'il n'y a aucun mal à commencer avec un petit préfixe tel que /16 car vous pouvez toujours créer des sous-réseaux.

Répondu el 20 de Septembre, 2014 par Ken Mac (31 Points )

1voto

RGunter avatar
RGunter Points 11

Il faut également se demander si vous devrez utiliser AWS ClassicLink pour permettre l'accès au VPC à partir d'instances EC2 situées en dehors du VPC. Extrait de la documentation AWS :

Les VPC dont les routes entrent en conflit avec la plage d'adresses IP privées 10/8 de EC2-Classic ne peuvent pas être activés pour ClassicLink. Cela n'inclut pas les VPC avec des plages d'adresses IP 10.0.0.0/16 et 10.1.0.0/16 qui ont déjà des routes locales dans leurs tables de routes. Pour plus d'informations, voir Routage pour ClassicLink.

de http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing

Répondu el 14 de Avril, 2017 par RGunter (11 Points )

0voto

Marcos Bento avatar
Marcos Bento Points 539

Au cas où quelqu'un trouverait cette question et serait intéressé par la mise en place d'une spécification basée sur CIDR de juste une seule adresse IP (par exemple, si vous définissez l'adresse IP RDP autorisée dans une nouvelle pile AWS), vous le ferez avec l'adresse IP et ensuite /32 (qui signifie "une adresse IP"), donc si votre adresse était 66.12.34.567, vous spécifieriez : 66.12.34.567/32

Répondu el 4 de Décembre, 2020 par Marcos Bento (539 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X