Blocos CIDR da VPC - Amazon Virtual Private Cloud

Blocos CIDR da VPC

Os endereços IP da sua nuvem privada virtual (VPC) são representados usando a notação Encaminhamento Entre Domínios Sem Classificação (CIDR). Uma VPC deve ter um bloco CIDR IPv4 associado. Opcionalmente, é possível associar blocos CIDR IPv4 e um ou mais blocos CIDR IPv6. Para ter mais informações, consulte Endereçamento IP para suas VPCs e sub-redes.

Blocos CIDR IPv4 da VPC

Ao criar uma VPC, você deve especificar um bloco CIDR IPv4 para a VPC. O tamanho permitido para o bloco é entre uma máscara de rede /16 (65.536 endereços IP) e uma máscara de rede /28 (16 endereços IP). Depois de criar a VPC, você pode associar blocos CIDR IPv4 adicionais à VPC. Para ter mais informações, consulte Adicionar ou remover um bloco CIDR da sua VPC.

Quando você cria uma VPC, é recomendável especificar um bloco CIDR dos intervalos de endereços IPv4 privados conforme especificado em RFC 1918:

Intervalo do RFC 1918 Bloco CIDR de exemplo
10.0.0.0 - 10.255.255.255 (prefixo 10/8) 10.0.0.0/16
172.16.0.0 - 172.31.255.255 (prefixo 172.16/12) 172.31.0.0/16
192.168.0.0 - 192.168.255.255 (prefixo 192.168/16) 192.168.0.0/20
Importante

Alguns serviços da AWS usam a faixa CIDR 172.17.0.0/16. Para evitar conflitos futuros, não use esse intervalo ao criar sua VPC. Por exemplo, serviços como o AWS Cloud9 ou o Amazon SageMaker podem enfrentar conflitos de endereço IP se o intervalo de endereços IP 172.17.0.0/16 já estiver em uso em qualquer lugar da sua rede. Para obter mais informações, consulte Não é possível se conectar ao ambiente do EC2 porque os endereços IP da VPC são usados pelo Docker no Guia do usuário do AWS Cloud9.

É possível criar uma VPC com um bloco CIDR publicamente roteável que esteja fora dos intervalos de endereços IPv4 privados especificados na RFC 1918. No entanto, para fins dessa documentação, referimo-nos aos endereços IP privados como os endereços IPv4 que estão no intervalo CIDR da VPC.

Ao criar uma VPC para uso com um serviço da AWS, verifique a documentação do serviço em busca de requisitos específicos para sua configuração.

Se você criar uma VPC usando uma ferramenta da linha de comando ou a API do Amazon EC2, o bloco CIDR será automaticamente modificado para sua forma canônica. Por exemplo, se você especificar 100.68.0.18/18 para o bloco CIDR, criaremos um bloco CIDR de 100.68.0.0/18.

Gerencie blocos CIDR IPv4 para uma VPC

Você pode associar blocos CIDR IPv4 secundários à VPC. Quando você associa um bloco CIDR à VPC, uma rota é adicionada automaticamente às tabelas de rotas da VPC para habilitar o roteamento na VPC (o destino é o bloco CIDR e o alvo é local).

No exemplo a seguir, a VPC tem um bloco CIDR principal e um bloco CIDR secundário. Os blocos CIDR para a sub-rede A e a sub-rede B são do bloco CIDR principal da VPC. O bloco CIDR para a sub-rede C é do bloco CIDR secundário da VPC.

VPCs com um único ou vários blocos CIDR

A tabela de rotas a seguir mostra as rotas locais para a VPC.

Destination (Destino) Destino
10.0.0.0/16 Local
10.2.0.0/16 Local

Para adicionar um bloco CIDR à VPC, as seguintes regras devem ser aplicadas:

  • O tamanho do bloco permitido é entre uma máscara de rede /28 e máscara de rede /16.

  • O bloco CIDR não deve sobrepor nenhum bloco CIDR existente que esteja associado à VPC.

  • Há restrições nos intervalos de endereços IPv4 que você pode usar. Para obter mais informações, consulte Restrições de associação de bloco CIDR IPv4.

  • Não é possível aumentar ou diminuir o tamanho de um bloco CIDR existente.

  • Você tem uma cota no número de blocos CIDR que pode associar a uma VPC e ao número de rotas que pode adicionar a uma tabela de rotas. Não será possível associar um bloco CIDR se suas cotas forem excedidas por causa disso. Para obter mais informações, consulte Cotas da Amazon VPC.

  • O bloco CIDR não deve ser igual nem maior que um intervalo CIDR de destino em uma rota em nenhuma das tabelas de rotas da VPC. Por exemplo, em uma VPC na qual o bloco CIDR primário é 10.2.0.0/16, você tem uma rota existente em uma tabela de rotas com um destino de 10.0.0.0/24 para um gateway privado virtual. Você deseja associar um bloco CIDR secundário no intervalo 10.0.0.0/16. Devido à rota existente, não é possível associar um bloco CIDR de 10.0.0.0/24 ou maior. No entanto, é possível associar um bloco CIDR secundário de 10.0.0.0/25 ou menor.

  • As seguintes regras se aplicam quando você adiciona blocos CIDR IPv4 a uma VPC que faz parte de uma conexão de emparelhamento de VPC:

    • Se a conexão de emparelhamento da VPC for active, você poderá adicionar blocos CIDR a uma VPC desde que eles não sobreponham um bloco CIDR da VPC par.

    • Se a conexão de emparelhamento da VPC for pending-acceptance, o proprietário da VPC solicitante não poderá adicionar nenhum bloco CIDR à VPC, independentemente de ele sobrepor o bloco CIDR da VPC receptora. O proprietário da VPC receptora deve aceitar a conexão de emparelhamento, ou o proprietário da VPC solicitante deve excluir a solicitação da conexão de emparelhamento de VPC, adicionar o bloco CIDR e, em seguida, solicitar uma nova conexão de emparelhamento de VPC.

    • Se a conexão de emparelhamento da VPC for pending-acceptance, o proprietário da VPC solicitante poderá adicionar blocos CIDR à VPC. Se um bloco CIDR secundário for sobreposto por um bloco CIDR da VPC solicitante, a solicitação da conexão de emparelhamento da VPC falhará e não poderá ser aceita.

  • Se você estiver usando o AWS Direct Connect para se conectar a várias VPCs por um gateway do Direct Connect, as VPCs associadas ao gateway do Direct Connect não deverão ter blocos CIDR sobrepostos. Se você adicionar um bloco CIDR a uma das VPCs associadas ao gateway do Direct Connect, certifique-se de que o novo bloco CIDR não se sobreponha ao bloco CIDR existente de nenhuma outra VPC associada. Para obter mais informações, consulte Gateways do Direct Connect no Manual do usuário do AWS Direct Connect.

  • Ao adicionar ou remover um bloco CIDR, ele pode passar por vários estados: associating | associated | disassociating | disassociated | failing | failed. O bloco CIDR está pronto para uso quando está no estado associated.

Você pode desassociar um bloco CIDR que associou à VPC. No entanto, você não pode desassociar o bloco CIDR com o qual você criou a VPC originalmente (o bloco CIDR principal). Para visualizar o CIDR primário da sua VPC no console da Amazon VPC, escolha Your VPCs (Suas VPCs), selecione a caixa de seleção para a sua VPC e escolha a guia CIDRs (CIDRs). Para visualizar o CIDR primário usando a AWS CLI, use o comando describe-vpcs (Descrever VPCs) da seguinte forma. O CIDR primário é retornado ao CidrBlock element de nível superior.

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d --query Vpcs[*].CidrBlock --output text

O seguinte é um exemplo de saída.

10.0.0.0/16

Restrições de associação de bloco CIDR IPv4

A tabela a seguir dá uma visão geral das associações de bloco CIDR de VPC permitidas e restritas. O motivo das restrições é que alguns serviços da AWS usam recursos entre VPCs e entre contas que exigem blocos CIDR não conflitantes no lado do serviço da AWS.

Intervalo de endereços IP Associações restritas Associações permitidas

10.0.0.0/8

Blocos CIDR de outros intervalos RFC 1918* (172.16.0.0/12 e 192.168.0.0/16).

Se qualquer um dos blocos CIDR associados à VPC for do intervalo 10.0.0.0/15 (10.0.0.0 a 10.1.255.255), você não poderá adicionar um bloco CIDR do intervalo 10.0.0.0/16 (10.0.0.0 a 10.0.255.255).

Blocos CIDR do intervalo 198.19.0.0/16.

Qualquer outro bloco CIDR no intervalo 10.0.0.0/8 entre uma máscara de rede /16 e uma máscara de rede /28 que não seja restrita.

Qualquer bloco CIDR IPv4 publicamente roteável (não RFC 1918) entre uma máscara de rede /16 e uma máscara de rede /28 ou um bloco de CIDR entre uma máscara de rede /16 e uma máscara de rede /28 do intervalo 100.64.0.0/10.

169.254.0.0/16

Os blocos CIDR do bloco "link local" são reservados conforme descrito na RFC 5735 e não podem ser atribuídos a VPCs.

172.16.0.0/12

Blocos CIDR de outros intervalos RFC 1918* (10.0.0.0/8 e 192.168.0.0/16).

Bloco CIDR do intervalo 172.31.0.0/16.

Blocos CIDR do intervalo 198.19.0.0/16.

Qualquer outro bloco CIDR no intervalo 172.16.0.0/12 entre uma máscara de rede /16 e uma máscara de rede /28 que não seja restrita.

Qualquer bloco CIDR IPv4 publicamente roteável (não RFC 1918) entre uma máscara de rede /16 e uma máscara de rede /28 ou um bloco de CIDR entre uma máscara de rede /16 e uma máscara de rede /28 do intervalo 100.64.0.0/10.

192.168.0.0/16

Blocos CIDR de outros intervalos RFC 1918* (10.0.0.0/8 and 172.16.0.0/12).

Blocos CIDR do intervalo 198.19.0.0/16.

Qualquer outro bloco CIDR no intervalo 192.168.0.0 entre uma máscara de rede /16 e uma máscara de rede /28.

Qualquer bloco CIDR IPv4 publicamente roteável (não RFC 1918) entre uma máscara de rede /16 e uma máscara de rede /28 ou um bloco CIDR do intervalo 100.64.0.0/10 entre uma máscara de rede /16 e uma máscara de rede /28.

198.19.0.0/16

Blocos CIDR dos intervalos RFC 1918*.

Qualquer bloco CIDR IPv4 publicamente roteável (não RFC 1918) entre uma máscara de rede /16 e uma máscara de rede /28 ou um bloco CIDR do intervalo 100.64.0.0/10 entre uma máscara de rede /16 e uma máscara de rede /28.

Bloco CIDR encaminhado publicamente (não RFC 1918) ou um bloco CIDR do intervalo 100.64.0.0/10

Blocos CIDR dos intervalos RFC 1918*.

Blocos CIDR do intervalo 198.19.0.0/16.

Qualquer outro bloco CIDR IPv4 publicamente roteável (não RFC 1918) entre uma máscara de rede /16 e uma máscara de rede /28 ou um bloco de CIDR entre uma máscara de rede /16 e uma máscara de rede /28 do intervalo 100.64.0.0/10.

Os intervalos *RFC 1918 são os intervalos de endereços IPv4 privados especificados no RFC 1918.

Blocos CIDR IPv6 da VPC

Você pode associar um único bloco CIDR IPv6 ao criar uma nova VPC ou pode associar até cinco blocos CIDR IPv6 de a /44 em /60 incrementos de /4. É possível solicitar um bloco CIDR IPv6 do grupo de endereços IPv6 da Amazon. Para ter mais informações, consulte Adicionar ou remover um bloco CIDR da sua VPC.

Se você associou um bloco CIDR IPv6 à sua VPC, pode associar um bloco CIDR IPv6 a uma sub-rede existente na sua VPC ou ao criar uma nova sub-rede. Para ter mais informações, consulte Dimensionamento da sub-rede para IPv6.

Por exemplo, você cria uma VPC e especifica que deseja associar um bloco CIDR IPv6 fornecido pela Amazon à VPC. A Amazon atribui o seguinte bloco CIDR IPv6 a sua VPC: 2001:db8:1234:1a00::/56. Não é possível escolher o intervalo de endereços IP por conta própria. Você pode criar uma sub-rede e associar um bloco CIDR IPv6 deste intervalo; por exemplo, 2001:db8:1234:1a00::/64.

É possível desassociar um bloco CIDR IPv6 de uma VPC. Depois de ter desassociado um bloco CIDR IPv6 de uma VPC, você não poderá esperar receber o mesmo CIDR se você associar um bloco CIDR IPv6 com sua VPC novamente mais tarde.