Odpowiedzi:
Poleciłbym następujące rozważania:
Jeśli tworzysz połączenie IPSEC między korporacyjną siecią LAN a VPC, użyj CIDR, który jest inny niż w korporacyjnej sieci LAN. Zapobiegnie to nakładaniu się tras i stworzy rozróżnienie tożsamości dla odniesienia.
W przypadku bardzo dużych sieci użyj co najmniej różnych 16-bitowych masek w różnych regionach, np
eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16
W przypadku mniejszych sieci użyj 24-bitowej maski w różnych regionach, np
eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24
Rozważ rozróżnienie między podsieciami prywatnymi i publicznymi, np
private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)
Nie przydzielaj nadmiernie przestrzeni adresowej do podsieci, np
eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26
(62 hosts per subnet)
Nie przydzielaj też zbyt mało środków. Jeśli korzystasz z wielu modułów równoważenia obciążenia elastycznego, pamiętaj, że będą one również wykorzystywać dostępne adresy IP w podsieciach. Jest to szczególnie prawdziwe, jeśli używasz ElasticBeanstalk.
Kilka rzeczy, które rozważałem przy ostatnim tworzeniu nowego VPC:
172.31.0.0/16
in us-west
eu-ireland
, na przykład. Sprawi, że VPN między tymi dwoma regionami będzie problemem wymagającym rozwiązania podwójnego NAT. Nie, dziękuję.x.x.x.x/24
, mieszczą 254 różne adresy. Prawdopodobnie istnieją setki kalkulatorów CIDR, które pomogą Ci to zrozumieć.Wydaje się, że Amazon nie zaleca żadnego konkretnego rozmiaru sieci dla twojego VPC (zobacz przewodnik administratora sieci VPC i zwróć uwagę na użycie / 16s), ale ogólnie istnieją dwa powody, aby rozważyć wpływ wydajności CIDR na wydajność:
Zastanów się nad początkową liczbą węzłów w VPC i przewidywanym wzrostem dla przewidywanego czasu życia projektu i powinieneś mieć dobry punkt początkowy dla rozmiaru prefiksu. Pamiętaj, że nie ma nic złego w rozpoczynaniu od małego prefiksu, takiego jak / 16, ponieważ zawsze możesz tworzyć podsieci.
Innym zagadnieniem jest to, czy będziesz musiał użyć AWS ClassicLink, aby umożliwić dostęp do VPC z instancji EC2 poza VPC. Z dokumentacji AWS:
VPC z trasami, które są w konflikcie z zakresem prywatnych adresów IP EC2-Classic 10/8, nie mogą być włączone dla ClassicLink. Nie obejmuje to VPC z zakresami adresów IP 10.0.0.0/16 i 10.1.0.0/16, które już mają trasy lokalne w swoich tabelach tras. Aby uzyskać więcej informacji, zobacz Routing dla ClassicLink.
from http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing