Jawaban:
Saya akan merekomendasikan pertimbangan berikut:
Jika Anda membuat koneksi IPSEC antara LAN perusahaan Anda dan VPC Anda, gunakan CIDR yang berbeda dari yang ada di LAN perusahaan Anda. Ini akan mencegah routing yang tumpang tindih dan membuat perbedaan identitas untuk referensi.
Untuk jaringan yang sangat besar, gunakan setidaknya berbagai topeng 16-bit di berbagai daerah, mis
eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16
Untuk jaringan yang lebih kecil, gunakan masker 24-bit di berbagai daerah mis
eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24
Pertimbangkan untuk membuat perbedaan antara subnet pribadi dan publik, mis
private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)
Jangan terlalu banyak mengalokasikan ruang alamat ke subnet, mis
eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26
(62 hosts per subnet)
Jangan terlalu rendah alokasi. Jika Anda menggunakan beban Balancers Beban Elastis, ingatlah bahwa mereka juga akan menggunakan alamat ip yang tersedia di subnet Anda. Ini benar terutama jika Anda menggunakan ElasticBeanstalk.
Beberapa hal yang saya anggap terakhir kali saya membuat VPC baru:
172.31.0.0/16
di us-west
eu-ireland
, misalnya. Ini akan membuat VPN di antara kedua wilayah tersebut menjadi masalah yang membutuhkan pemecahan ganda-NAT. Tidak, terima kasih.x.x.x.x/24
untuk menampung 254 alamat berbeda. Mungkin ada ratusan kalkulator CIDR di luar sana untuk membantu Anda mengetahui hal ini.Amazon tampaknya tidak menyarankan ukuran jaringan tertentu untuk VPC Anda (lihat panduan administrator jaringan VPC dan catat penggunaan / 16s), tetapi secara umum ada dua alasan untuk mempertimbangkan efek kinerja CIDR:
Pertimbangkan jumlah awal node dalam VPC Anda dan pertumbuhan yang diproyeksikan untuk masa hidup proyek yang diantisipasi dan Anda harus memiliki titik awal yang baik untuk ukuran awalan. Ingatlah bahwa tidak ada salahnya memulai dengan awalan kecil seperti / 16 karena Anda selalu dapat membuat subnet.
Pertimbangan lain adalah apakah Anda harus menggunakan AWS ClassicLink untuk memungkinkan akses ke VPC dari instance EC2 di luar VPC. Dari dokumentasi AWS:
VPC dengan rute yang bertentangan dengan rentang alamat IP pribadi EC2-Classic 10/8 tidak dapat diaktifkan untuk ClassicLink. Ini tidak termasuk VPC dengan kisaran alamat IP 10.0.0.0/16 dan 10.1.0.0/16 yang sudah memiliki rute lokal di tabel rute mereka. Untuk informasi lebih lanjut, lihat Routing for ClassicLink.
dari http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing