在AWS上创建VPC时，建议的CIDR是什么？

我一直在创建AWS VPC，并且想知道在创建VPC时是否存在建议的CIDR值。选择CIDR时，我必须考虑哪些因素？CIDR值是否会影响网络性能？

我建议以下注意事项：

如果在公司LAN和VPC之间创建IPSEC连接，请使用与公司LAN不同的CIDR。这将防止路由重叠，并创建一个标识区别以供参考。

对于非常大的网络，请在不同区域中至少使用不同的16位掩码，例如

eu-west-1 10.1.0.0/16
us-east-1 10.2.0.0/16
us-west-1 10.3.0.0/16

对于较小的网络，请在不同区域使用24位掩码，例如

eu-west-1 10.0.1.0/24
us-east-1 10.0.2.0/24
us-west-1 10.0.3.0/24

考虑区分私有子网和公共子网，例如

private 10.0.1.0/24 (3rd byte < 129)
public 10.0.129.0/24 (3rd byte > 128)

不要将地址空间过度分配给子网，例如

eu-west-1 10.0.1.0/26
eu-west-1 10.0.1.64/26
eu-west-1 10.0.1.128/26
eu-west-1 10.0.1.192/26

(62 hosts per subnet)

也不分配不足。如果您使用弹性负载均衡器的负载，请记住，它们还将占用您子网中的可用ip地址。如果使用ElasticBeanstalk，则尤其如此。

我上次创建新VPC时考虑的一些事项：

1. 确保来自不同区域的IP范围不重叠。例如，您不应该使用172.31.0.0/16in us-west eu-ireland。这将使这两个区域之间的VPN成为需要双重NAT解决的问题。不用了，谢谢。
2. 确保IP范围足够大，可以容纳您认为需要的所有实例，x.x.x.x/24以容纳254个不同的地址。可能有数百个CIDR计算器可以帮助您解决这一问题。
3. 我在单个VPC中创建了许多不同的子网，而不是创建多个VPC。子网可以互相通信-我可以使用私有子网与公共子网，以使某些实例免受开放Internet的影响。使用NAT实例，以便专用子网可以与公用子网通信。使用安全组将实例组彼此隔离。

Amazon似乎没有建议您的VPC使用任何特定的网络大小（请参阅VPC网络管理员指南并注意使用/ 16s），但是一般来说，有两个原因需要考虑CIDR的性能影响：

1. 路由。较小的前缀（较大的网络）通常用于路由聚合，实际上可以提高性能。
2. 广播和多播流量，这与您的情况更相关，并且可能导致较小前缀上的性能下降。您可以通过进一步对VPC进行子网划分来减轻此流量的影响，如网络管理指南中所示。

考虑VPC中节点的初始数量以及预期项目生命周期中的预期增长，并且应该为前缀大小提供一个良好的起点。请记住，以小前缀（例如/ 16）开头没有什么害处，因为您始终可以创建子网。

另一个考虑因素是您是否需要使用AWS ClassicLink来允许从VPC之外的EC2实例访问VPC。从AWS文档中：

无法为ClassicLink启用路由与EC2-Classic专用IP地址范围为10/8冲突的VPC。这不包括具有10.0.0.0/16和10.1.0.0/16 IP地址范围的VPC，它们的路由表中已经有本地路由。有关更多信息，请参见ClassicLink的路由。

来自http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-routing