VPCCIDR塊 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPCCIDR塊

虛擬私有雲 (VPC) 的 IP 位址會使用無類別網域間路由 (CIDR) 標記法來表示。A VPC 必須有一個關聯的IPv4CIDR塊。您可以選擇關聯其他IPv4CIDR圖塊和一個或多個IPv6CIDR圖塊。如需詳細資訊,請參閱您VPCs和子網路的 IP 位址

IPv4VPCCIDR塊

建立時VPC,您必須指定的IPv4CIDR圖塊VPC。允許的區塊大小介於 /16 網路遮罩 (65,536 個 IP 地址) 和 /28 網路遮罩 (16 個 IP 地址) 之間。建立之後VPC,您可以將其他IPv4CIDR區塊與VPC. 如需詳細資訊,請參閱在 VPC 中新增或移除 CIDR 區塊

建立時VPC,建議您依照 RFC1918 年所指定的私人IPv4位址範圍指定一個CIDR區塊。

RFC三十八射程 範例 CIDR 區塊
10.0.0.0 ‒ 10.255.255.255 (10/8 字首) 10.0.0.0/16
172.16.0.0 ‒ 172.31.255.255 (172.16/12 字首) 172.31.0.0/16
192.168.0.0 ‒ 192.168.255.255 (192.168/16 字首) 192.168.0.0/20
重要

某些 AWS 服務使用該172.17.0.0/16CIDR範圍。為了避免 future 發生衝突,請不要在創建VPC. 例如,如果 IP 地址範圍已在網絡中的任何地方使用,則像 AWS Cloud9 或 Amazon 這樣的服務 SageMaker 可能會遇到 172.17.0.0/16 IP 地址衝突。如需詳細資訊,請參閱使用AWS Cloud9 者指南中VPC的 Docker 使用的 IP 位址,因此無法連線至EC2環境

您可以創建一個包VPC含位于 RFC 1918 年指定的私有IPv4地址范圍之外的可公開路由CIDR塊。不過,就本文件而言,我們將私有 IP 位IPv4址稱為您CIDR的VPC.

當您建立VPC與 AWS 服務搭配使用時,請查看服務文件以確認其組態是否有特定需求。

如果您VPC使用命令行工具或 Amazon 創建 EC2API,則該CIDR塊將自動修改為其規範形式。例如,如果您將圖塊指定為 100.68.0.18/18,我們將建立一個CIDR圖塊為 100.68.0.0/18。CIDR

管理IPv4CIDR圖塊 VPC

您可以將次要IPv4CIDR圖塊與VPC. 當您將CIDR區塊與您的區塊相關聯時VPC,路由會自動新增至您的VPC路由表,以便在路由表中啟用路由 VPC (目的地為CIDR區塊,目標為local)。

在以下範例中,VPC具有主要圖塊和次要CIDR圖塊。子網路 A 和子網路 B 的CIDR區塊來自主要區VPCCIDR塊。子網路 C 的CIDR區塊來自次要VPCCIDR區塊。

VPCs與單個和多個CIDR塊

下列路由表顯示的本機路由VPC。

目的地 目標
10.0.0.0/16 區域
10.2.0.0/16 區域

若要將CIDR區塊新增至您的VPC,請遵循下列規則:

  • 允許的區塊大小介於 /28 網路遮罩和 /16 網路遮罩之間。

  • 圖CIDR塊不得與與相關聯的任何既有CIDR圖塊重疊VPC。

  • 您可以使用的IPv4位址範圍有限制。如需詳細資訊,請參閱IPv4CIDR圖塊關聯限制

  • 您無法增加或減少既有CIDR圖塊的大小。

  • 您有可以關聯的CIDR區塊數量配額,以VPC及可新增至路由表的路由數量。如果這會導致您超出配額,則無法關聯CIDR區塊。如需詳細資訊,請參閱Amazon VPC 配額

  • 在任何路由表中,該CIDR塊不得大於路由中的目標CIDR範圍或大於路由中的VPC目標範圍。例如,在主要CIDR區塊所在的路由表中10.2.0.0/16,目的地為虛擬私人閘道的10.0.0.0/24現有路由。VPC您要關聯10.0.0.0/16範圍中的次要CIDR圖塊。由於現有的佈線,您無法關聯10.0.0.0/24或更大的CIDR圖塊。但是,您可以關聯10.0.0.0/25或更小的次要CIDR圖塊。

  • 當您將IPv4CIDR區塊新增至VPC對等連線的VPC一部分時,下列規則適用:

    • 如果VPC對等連接是active,您可以將CIDR塊添加到,前VPC提是它們不與對等VPC的CIDR塊重疊。

    • 如果VPC對等連線是pending-acceptance,請求者的擁有者VPC無法將任何CIDR區塊新增至中VPC,無論區塊是否與接受者的CIDR區塊重疊。VPC接受者的擁有者VPC必須接受對等連線,或者請求者的擁有者VPC必須刪除VPC對等連線要求、新增CIDR區塊,然後請求新的對等連線。VPC

    • 如果VPC對等連線是pending-acceptance,則接受者的擁有者VPC可以將CIDR區塊新增至。VPC如果次要CIDR區塊與要求者CIDR區塊重疊VPC,則VPC對等連線要求會失敗且無法接受。

  • 如果您使用 AWS Direct Connect VPCs透過 Direct Connect 閘道連線到多個閘道,則與 Direct Connect 閘道相關聯的閘道不得有重疊的CIDR區塊。VPCs如果您將CIDR區塊新增至與 Direct Connect 閘道相關聯的其中一個區塊,請確定新CIDR區塊不會與任何其他關聯的現有CIDR區塊重疊VPC。VPCs如需詳細資訊,請參閱《AWS Direct Connect 使用者指南》中的 Direct Connect 閘道

  • 當您添加或刪除CIDR塊時,它可以通過各種狀態:associatingassociateddisassociating| | disassociated | failing | failed。該CIDR塊已準備好供您在associated狀態下使用。

您可以取消與您關聯的CIDR圖塊的關聯VPC;但是,您無法取消原先建立CIDR圖塊 VPC (主要CIDR圖塊) 的關聯。若要在 Amazon 主CIDRVPC控台VPC中檢視您的主要項目,請選擇的VPCs,選取您的核取方塊VPC,然後選擇CIDRs索引標籤。若要使用檢視主要項目 AWS CLI,請CIDR使用描述-vpcs 指令,如下所示。主要CIDR會傳回頂層CidrBlock element

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d --query Vpcs[*].CidrBlock --output text

下列為範例輸出。

10.0.0.0/16

IPv4CIDR圖塊關聯限制

下表提供允許與限制VPCCIDR區塊關聯的概觀。造成限制的原因是某些 AWS 服務會使用跨帳戶VPC和跨帳戶功能,這些功能需要在 AWS 服務端使用非衝突的CIDR區塊。

IP 地址範圍 受限制的關聯 許可的關聯

10.0.0.0/8

CIDR來自其他一RFC九八年 * 範圍的區塊 (十二年六月十六日及十二分之一)。

如果任何與之相關聯的CIDR圖塊VPC位於 10.0.0/15 的範圍 (10.0.0.0 到 10.1.255.255) 之間,您就無法新增介於 10.0.0/16 範圍 (10.0.0.0 到 10.0.255.255) 之間的圖CIDR塊。

CIDR位於 16 年 8 月 19 日範圍內的區塊。

位於 /16 網路遮罩與 /28 網路遮罩之間的其他 10.0.0/8 範圍內未受限制的任何CIDR區塊。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由IPv4CIDR區塊 (非 RFC 1918 年),或介於 100.64.0.0/10 範圍之 /16 網路遮罩與 /28 網路遮罩之間的CIDR區塊。

169.254.0.0/16

CIDR來自「本地鏈接」塊的塊按照 RFC5735 中的描述保留,並且無法指定給VPCs。

172.16.0.0/12

CIDR來自其他一RFC九八年 * 範圍的區塊 (8 和 16)。

CIDR來自 172.31 0.0/16 範圍的塊。

CIDR位於 16 年 8 月 19 日範圍內的區塊。

172.16.0.0/12 範圍介於 /16 網路遮罩與 /28 網路遮罩之間並未受限制的任何其他CIDR區塊。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由IPv4CIDR區塊 (非 RFC 1918 年),或介於 100.64.0.0/10 範圍之 /16 網路遮罩與 /28 網路遮罩之間的CIDR區塊。

192.168.0.0/16

CIDR來自其他一RFC九八年 * 範圍的區塊 (八分之十點零及十二年六月十六日)。

CIDR位於 16 年 8 月 19 日範圍內的區塊。

位於 /16 網路CIDR遮罩與 /28 網路遮罩之間的任何其他區塊。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由IPv4CIDR區塊 (非 RFC 1918 年),或介於 /16 網路遮罩與 /28 網路遮罩之間 100.64.0.0/10 範圍的CIDR區塊。

198.19.0.0/16

CIDR來自 RFC 1918* 範圍的區塊。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由IPv4CIDR區塊 (非 RFC 1918 年),或介於 /16 網路遮罩與 /28 網路遮罩之間 100.64.0.0/10 範圍的CIDR區塊。

可公開路由的CIDR區塊 (非 RFC 1918 年),或來自 100.64.0.0/10 範圍的CIDR區塊

CIDR來自 RFC 1918* 範圍的區塊。

CIDR位於 16 年 8 月 19 日範圍內的區塊。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何其他公開路由IPv4CIDR區塊 (非 RFC 1918 年),或介於 100.64.0.0/10 範圍之 /16 網路遮罩與 /28 網路遮罩之間的CIDR區塊。

* RFC 1918 年的範圍是 RFC19 18 年指定的私人IPv4地址範圍。

IPv6VPCCIDR塊

您可以/60在建立新圖IPv6CIDR塊時關聯單一圖塊,VPC也可以使用的增量關聯最多五個IPv6CIDR圖塊/4/44您可以從亞馬遜的IPv6地址池請求IPv6CIDR塊。如需詳細資訊,請參閱在 VPC 中新增或移除 CIDR 區塊

如果您已將IPv6CIDR區塊與您的關聯VPC,您可以將IPv6CIDR區塊與您的現有子網路建立關聯,VPC或在您建立新子網路時建立關聯。如需詳細資訊,請參閱子網路大小 IPv6

例如,您建立VPC並指定您想要將 Amazon 提供的IPv6CIDR區塊與. VPC Amazon 將以下IPv6CIDR塊分配給您的VPC:2001:db8:1234:1a00::/56。您不能自行選擇 IP 地址的範圍。您可以建立子網路並關聯此範圍的IPv6CIDR區塊;例如,2001:db8:1234:1a00::/64

您可以取消圖塊與圖IPv6CIDR塊的VPC關聯。取消與IPv6CIDR區塊的關聯後VPC,如果您稍後VPC再次將某個區塊與您的IPv6CIDR區塊建立關聯,CIDR則無法期望收到相同的資訊。