为AWS VPC(及任意云)规划CIDR
云网络建立在与其他一切相同的 CIDR与子网 规则之上,但一些云特有的习惯能让你免于日后痛苦的重新编址。
从整体而非单个VPC出发
为你的组织选定一个大的私有地址块(来自 RFC 1918 空间),再从中切分出各个VPC。如果每个团队各自抢用 10.0.0.0/16,你将永远无法把这些VPC对等连接或与本地连通——重叠的范围无法一起路由。
| 范围 | 建议大小 | 容纳 |
|---|---|---|
| 整个组织 | 10.0.0.0/8 |
一切 |
| 区域/账户 | 10.20.0.0/16 |
约256个子网 |
| VPC | 10.20.0.0/20 |
16个 /24 |
| 子网(AZ) | 10.20.1.0/24 |
256个地址 |
云端坑点
- 每个子网中云厂商会预留地址。 AWS占用前4个和最后1个,因此
/24可用为251而非254。 - 留出余量。 你无法轻易缩小或重编一个繁忙的VPC;一开始就放大。
- 避开流行默认值。 如果你将来要VPN连到使用这些网段的办公室,请避免
10.0.0.0/24和192.168.0.0/24。
用本站 CIDR工具 测试包含关系并把网段拆成子网,用 子网计算器 得到精确主机数。对于IPv6,云厂商会为每个VPC/子网分配一个 /56 或 /64,无需NAT。
备注: 把你的分配方案记录在一处。最省钱的子网错误,是因为你先写下了方案而从未犯过的那个。