AWS VPC(と各クラウド)のCIDR設計
クラウドのネットワークも、他と同じ CIDRとサブネット の規則の上に成り立ちます。ただしクラウド特有のいくつかの習慣を押さえると、後の痛みを伴う再採番を避けられます。
1つのVPCではなく全体から始める
組織用に大きなプライベートブロック(RFC 1918 空間)を1つ選び、そこからVPCを切り出します。各チームが勝手に 10.0.0.0/16 を取ると、VPC同士のピアリングやオンプレ接続が永久にできません。重複した範囲は一緒にルーティングできないからです。
| 範囲 | 推奨サイズ | 収容 |
|---|---|---|
| 組織全体 | 10.0.0.0/8 |
すべて |
| リージョン/アカウント | 10.20.0.0/16 |
約256サブネット |
| VPC | 10.20.0.0/20 |
16個の /24 |
| サブネット(AZ) | 10.20.1.0/24 |
256アドレス |
クラウドの落とし穴
- 各サブネットでプロバイダがアドレスを予約します。 AWSは先頭4つと末尾1つを使うため、
/24で利用可能は254ではなく251です。 - 余裕を残す。 稼働中のVPCを縮小・再採番するのは簡単ではありません。最初に大きめに。
- 人気の既定値を避ける。
10.0.0.0/24や192.168.0.0/24は、それらを使うオフィスへVPNするなら避けます。
包含テストやブロックの分割は当サイトの CIDRツール を、正確なホスト数は サブネット計算機 を使ってください。IPv6ではプロバイダがVPC/サブネット単位で /56 や /64 を割り当て、NATは不要です。
メモ: 割当計画は1か所に文書化しましょう。最も安く直せるサブネットの誤りは、先に計画を書いたおかげで起こさなかった誤りです。