Qual é o CIDR recomendado ao criar a VPC na AWS?

Estou criando VPCs da AWS e gostaria de saber se existe um valor CIDR recomendado ao criar VPCs. Quais são os fatores que devo considerar ao escolher um CIDR e o valor do CIDR afeta o desempenho da rede?

Eu recomendaria as seguintes considerações:

Se você estiver criando uma conexão IPSEC entre sua LAN corporativa e sua VPC, use um CIDR diferente daquele da sua LAN corporativa. Isso evitará sobreposições de roteamento e criará uma distinção de identidade para referência.

Para redes muito grandes, use pelo menos máscaras de 16 bits diferentes em diferentes regiões, por exemplo

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

Para redes menores, use uma máscara de 24 bits em diferentes regiões, por exemplo

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

Considere fazer uma distinção entre sub-redes privadas e públicas, por exemplo

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

Não aloque demais o espaço de endereço para sub-redes, por exemplo

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

Não subaloque também. Se você usar uma carga de Elastic Load Balancers, lembre-se de que eles também consumirão endereços IP disponíveis em suas sub-redes. Isso é particularmente verdadeiro se você usar o ElasticBeanstalk.

Algumas coisas que considerei na última vez em que criei uma nova VPC:

1. Verifique se os intervalos de IP de diferentes regiões não se sobrepõem. Você não deve ter um 172.31.0.0/16em us-west eu-ireland, por exemplo. Isso tornará a VPN entre essas duas regiões um problema que exige que o NAT duplo seja resolvido. Não, obrigado.
2. Verifique se o intervalo de IP é grande o suficiente para armazenar todas as instâncias que você acha que precisará x.x.x.x/24acomodar 254 endereços diferentes. Provavelmente existem centenas de calculadoras CIDR disponíveis para ajudá-lo a descobrir isso.
3. Crio várias sub-redes diferentes em uma única VPC, em vez de criar várias VPCs. As sub-redes podem conversar entre si - eu posso ter sub-redes privadas x públicas para manter algumas instâncias protegidas da Internet aberta. Use uma instância NAT para que a sub-rede privada possa conversar com a sub-rede pública. Use grupos de segurança para isolar grupos de instâncias um do outro.

Parece que a Amazon não recomenda nenhum tamanho de rede específico para sua VPC (consulte o guia do administrador da rede VPC e observe o uso de / 16s), mas em geral existem duas razões para considerar os efeitos de desempenho do CIDR:

1. Encaminhamento . Um prefixo menor (rede maior) é frequentemente usado para agregação de rotas e pode realmente melhorar o desempenho.
2. Transmissão e tráfego de multicast, o que é mais relevante para a sua situação e pode resultar em diminuição do desempenho em prefixos menores. Você pode atenuar os efeitos desse tráfego sub-configurando a VPC como mostrado no guia de administração de rede.

Considere o número inicial de nós em sua VPC e o crescimento projetado para a vida útil prevista do projeto e você deve ter um bom ponto de partida para o tamanho do prefixo. Lembre-se de que não há mal algum em começar com um pequeno prefixo como / 16 porque você sempre pode criar sub-redes.

Outra consideração é se você precisará usar o AWS ClassicLink para permitir o acesso ao VPC a partir de instâncias do EC2 fora do VPC. Na documentação da AWS:

VPCs com rotas que conflitam com o intervalo de endereços IP privados EC2-Classic de 10/8 não podem ser ativados para o ClassicLink. Isso não inclui VPCs com intervalos de endereços IP 10.0.0.0/16 e 10.1.0.0/16 que já possuem rotas locais em suas tabelas de rotas. Para mais informações, consulte Roteamento para ClassicLink.

de http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing