【AWS】Amazon VPCに割り当てるCIDRブロックはどれぐらいが良いのか
前回、【AWS】ネットワークACLとセキュリティグループの使い分けについて書きましたが、今回もすごい細かいんだけど、自分的には結構気にしたポイントについて書こうかと思っています。
それはタイトルにもあるとおりで、最初にAmazon VPCを作る時にそもそもCIDRブロックってどれぐらいのサイズというか範囲で割り当てておけば良いのか?についてです。
一度作成したCIDRブロックそのもののサイズは変更できませんが、ネットワークセグメントやIPアドレスが足りなくなったらセカンダリとしてCIDRブロック自体を新たに追加できます。
なので、ぶっちゃけ気にしなくて良い気もしますが、性格的にあらかじめちゃんと考えておきたいタイプなので今回は私的に考えた結果をまとめておこうと思います。
▼|そもそも割り当てられるCIDRブロックの範囲は?
まず、Amazon VPCに割り当てるIPv4のCIDRブロックですが、AWSではRFC 1918 で定義されているプライベートIPアドレスの範囲を推奨しています。
・10.0.0.0/8
(10.0.0.0 ~ 10.255.255.255)
・172.16.0.0/12
(172.16.0.0 ~ 172.31.255.255)
・192.168.0.0/16
(192.168.0.0 ~ 192.168.255.255)
また、Amazon VPCの仕様により、割り当てられるCIDRブロックサイズは/16~/28のサイズにする必要があります。
▼|注意するポイントは?
事業やサービスごとにAWSアカウントを使い分けていて、Amazon VPC間をVPCピアリングやVPNを仕様して接続したい場合、アドレス空間が重複してはいけません。そのため、現在他で使用しているIPアドレスがあれば、事前に確認しておく必要があります。
また、拡張性を考慮し、常にVPC 内に未使用の CIDR ブロックの空間を残しておくようにします。
▼|おすすめ
実際のCIDRブロックのサイズは使用するシステムの要件を基に設計する必要がありますが、ゼロから作るなら私的おすすめはこちらです。
172.16.0.0/16
IPアドレスが65,536個相当です。勿論、サブネットを切って割り振ることで設計上割り当てたくても割り当てられないIPアドレスは出てくると思いますが、それでも多い気がします。とは言え、AWSではこれぐらい余裕を見ておいて良いと思います。
ここから、サブネットを/24で切り出して行っても、256個のセグメントが利用できます。そもそもAmazon VPC内に作成可能なセグメント数が200までであることを考えると/24では使い切れない感じですね。/16とか/24とかって他のサイズより正直わかりやすいので、私は/24でどかっと切り出しちゃいます。
また、仮にCIDRブロックをセンダリとして追加するのであれば、172.16.0.0/12の残りのブロックである172.17.0.0/16以降を追加すれば良いと思います。なお、IPv4のCIDRブロックはセカンダリとして4つ追加できます。
▼|まとめ
まとめると、こんな感じです。
・Amazon VPCに割り当てるIPv4 CIDRブロックは172.16.0.0/16を使用する
・サブネットは/24で切り出す
・セカンダリCIDRブロックは172.17.0.0/16以降を使用する
あくまで私的な設計になりますので、他の人はこう考えんるだ~的な参考例の一つとしていただければと思います。