本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
VPCCIDR塊
虛擬私有雲 (VPC) 的 IP 位址會使用無類別網域間路由 (CIDR) 標記法來表示。A VPC 必須有一個關聯的IPv4CIDR塊。您可以選擇關聯其他IPv4CIDR圖塊和一個或多個IPv6CIDR圖塊。如需詳細資訊,請參閱您VPCs和子網路的 IP 位址。
IPv4VPCCIDR塊
建立時VPC,您必須指定的IPv4CIDR圖塊VPC。允許的區塊大小介於 /16
網路遮罩 (65,536 個 IP 地址) 和 /28
網路遮罩 (16 個 IP 地址) 之間。建立之後VPC,您可以將其他IPv4CIDR區塊與VPC. 如需詳細資訊,請參閱在 VPC 中新增或移除 CIDR 區塊。
建立時VPC,建議您依照 RFC1918 年
RFC三十八射程 | 範例 CIDR 區塊 |
---|---|
10.0.0.0 ‒ 10.255.255.255 (10/8 字首) | 10.0.0.0/16 |
172.16.0.0 ‒ 172.31.255.255 (172.16/12 字首) | 172.31.0.0/16 |
192.168.0.0 ‒ 192.168.255.255 (192.168/16 字首) | 192.168.0.0/20 |
重要
某些 AWS 服務使用該172.17.0.0/16
CIDR範圍。為了避免 future 發生衝突,請不要在創建VPC. 例如,如果 IP 地址範圍已在網絡中的任何地方使用,則像 AWS Cloud9 或 Amazon 這樣的服務 SageMaker 可能會遇到 172.17.0.0/16
IP 地址衝突。如需詳細資訊,請參閱使用AWS Cloud9 者指南中VPC的 Docker 使用的 IP 位址,因此無法連線至EC2環境。
您可以創建一個包VPC含位于 RFC 1918 年指定的私有IPv4地址范圍之外的可公開路由CIDR塊。不過,就本文件而言,我們將私有 IP 位IPv4址稱為您CIDR的VPC.
當您建立VPC與 AWS 服務搭配使用時,請查看服務文件以確認其組態是否有特定需求。
如果您VPC使用命令行工具或 Amazon 創建 EC2API,則該CIDR塊將自動修改為其規範形式。例如,如果您將圖塊指定為 100.68.0.18/18,我們將建立一個CIDR圖塊為 100.68.0.0/18。CIDR
管理IPv4CIDR圖塊 VPC
您可以將次要IPv4CIDR圖塊與VPC. 當您將CIDR區塊與您的區塊相關聯時VPC,路由會自動新增至您的VPC路由表,以便在路由表中啟用路由 VPC (目的地為CIDR區塊,目標為local
)。
在以下範例中,VPC具有主要圖塊和次要CIDR圖塊。子網路 A 和子網路 B 的CIDR區塊來自主要區VPCCIDR塊。子網路 C 的CIDR區塊來自次要VPCCIDR區塊。
下列路由表顯示的本機路由VPC。
目的地 | 目標 |
---|---|
10.0.0.0/16 | 區域 |
10.2.0.0/16 | 區域 |
若要將CIDR區塊新增至您的VPC,請遵循下列規則:
-
允許的區塊大小介於
/28
網路遮罩和/16
網路遮罩之間。 -
圖CIDR塊不得與與相關聯的任何既有CIDR圖塊重疊VPC。
-
您可以使用的IPv4位址範圍有限制。如需詳細資訊,請參閱IPv4CIDR圖塊關聯限制。
-
您無法增加或減少既有CIDR圖塊的大小。
-
您有可以關聯的CIDR區塊數量配額,以VPC及可新增至路由表的路由數量。如果這會導致您超出配額,則無法關聯CIDR區塊。如需詳細資訊,請參閱Amazon VPC 配額。
-
在任何路由表中,該CIDR塊不得大於路由中的目標CIDR範圍或大於路由中的VPC目標範圍。例如,在主要CIDR區塊所在的路由表中
10.2.0.0/16
,目的地為虛擬私人閘道的10.0.0.0/24
現有路由。VPC您要關聯10.0.0.0/16
範圍中的次要CIDR圖塊。由於現有的佈線,您無法關聯10.0.0.0/24
或更大的CIDR圖塊。但是,您可以關聯10.0.0.0/25
或更小的次要CIDR圖塊。 -
當您將IPv4CIDR區塊新增至VPC對等連線的VPC一部分時,下列規則適用:
-
如果VPC對等連接是
active
,您可以將CIDR塊添加到,前VPC提是它們不與對等VPC的CIDR塊重疊。 -
如果VPC對等連線是
pending-acceptance
,請求者的擁有者VPC無法將任何CIDR區塊新增至中VPC,無論區塊是否與接受者的CIDR區塊重疊。VPC接受者的擁有者VPC必須接受對等連線,或者請求者的擁有者VPC必須刪除VPC對等連線要求、新增CIDR區塊,然後請求新的對等連線。VPC -
如果VPC對等連線是
pending-acceptance
,則接受者的擁有者VPC可以將CIDR區塊新增至。VPC如果次要CIDR區塊與要求者CIDR區塊重疊VPC,則VPC對等連線要求會失敗且無法接受。
-
-
如果您使用 AWS Direct Connect VPCs透過 Direct Connect 閘道連線到多個閘道,則與 Direct Connect 閘道相關聯的閘道不得有重疊的CIDR區塊。VPCs如果您將CIDR區塊新增至與 Direct Connect 閘道相關聯的其中一個區塊,請確定新CIDR區塊不會與任何其他關聯的現有CIDR區塊重疊VPC。VPCs如需詳細資訊,請參閱《AWS Direct Connect 使用者指南》中的 Direct Connect 閘道。
-
當您添加或刪除CIDR塊時,它可以通過各種狀態:
associating
associated
disassociating
| |disassociated
|failing
|failed
。該CIDR塊已準備好供您在associated
狀態下使用。
您可以取消與您關聯的CIDR圖塊的關聯VPC;但是,您無法取消原先建立CIDR圖塊 VPC (主要CIDR圖塊) 的關聯。若要在 Amazon 主CIDRVPC控台VPC中檢視您的主要項目,請選擇您的VPCs,選取您的核取方塊VPC,然後選擇CIDRs索引標籤。若要使用檢視主要項目 AWS CLI,請CIDR使用描述-vpcs 指令,如下所示。主要CIDR會傳回頂層CidrBlock element
。
aws ec2 describe-vpcs --vpc-id
vpc-1a2b3c4d
--query Vpcs[*].CidrBlock --output text
下列為範例輸出。
10.0.0.0/16
IPv4CIDR圖塊關聯限制
下表提供允許與限制VPCCIDR區塊關聯的概觀。造成限制的原因是某些 AWS 服務會使用跨帳戶VPC和跨帳戶功能,這些功能需要在 AWS 服務端使用非衝突的CIDR區塊。
IP 地址範圍 | 受限制的關聯 | 許可的關聯 |
---|---|---|
10.0.0.0/8 |
CIDR來自其他一RFC九八年 * 範圍的區塊 (十二年六月十六日及十二分之一)。 如果任何與之相關聯的CIDR圖塊VPC位於 10.0.0/15 的範圍 (10.0.0.0 到 10.1.255.255) 之間,您就無法新增介於 10.0.0/16 範圍 (10.0.0.0 到 10.0.255.255) 之間的圖CIDR塊。 CIDR位於 16 年 8 月 19 日範圍內的區塊。 |
位於 /16 網路遮罩與 /28 網路遮罩之間的其他 10.0.0/8 範圍內未受限制的任何CIDR區塊。 介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由IPv4CIDR區塊 (非 RFC 1918 年),或介於 100.64.0.0/10 範圍之 /16 網路遮罩與 /28 網路遮罩之間的CIDR區塊。 |
169.254.0.0/16 |
CIDR來自「本地鏈接」塊的塊按照 RFC5735 |
|
172.16.0.0/12 |
CIDR來自其他一RFC九八年 * 範圍的區塊 (8 和 16)。 CIDR來自 172.31 0.0/16 範圍的塊。 CIDR位於 16 年 8 月 19 日範圍內的區塊。 |
172.16.0.0/12 範圍介於 /16 網路遮罩與 /28 網路遮罩之間並未受限制的任何其他CIDR區塊。 介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由IPv4CIDR區塊 (非 RFC 1918 年),或介於 100.64.0.0/10 範圍之 /16 網路遮罩與 /28 網路遮罩之間的CIDR區塊。 |
192.168.0.0/16 |
CIDR來自其他一RFC九八年 * 範圍的區塊 (八分之十點零及十二年六月十六日)。 CIDR位於 16 年 8 月 19 日範圍內的區塊。 |
位於 /16 網路CIDR遮罩與 /28 網路遮罩之間的任何其他區塊。 介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由IPv4CIDR區塊 (非 RFC 1918 年),或介於 /16 網路遮罩與 /28 網路遮罩之間 100.64.0.0/10 範圍的CIDR區塊。 |
198.19.0.0/16 |
CIDR來自 RFC 1918* 範圍的區塊。 |
介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由IPv4CIDR區塊 (非 RFC 1918 年),或介於 /16 網路遮罩與 /28 網路遮罩之間 100.64.0.0/10 範圍的CIDR區塊。 |
可公開路由的CIDR區塊 (非 RFC 1918 年),或來自 100.64.0.0/10 範圍的CIDR區塊 |
CIDR來自 RFC 1918* 範圍的區塊。 CIDR位於 16 年 8 月 19 日範圍內的區塊。 |
介於 /16 網路遮罩與 /28 網路遮罩之間的任何其他公開路由IPv4CIDR區塊 (非 RFC 1918 年),或介於 100.64.0.0/10 範圍之 /16 網路遮罩與 /28 網路遮罩之間的CIDR區塊。 |
* RFC 1918 年的範圍是 RFC19
IPv6VPCCIDR塊
您可以/60
在建立新圖IPv6CIDR塊時關聯單一圖塊,VPC也可以使用的增量關聯最多五個IPv6CIDR圖塊/4
。/44
您可以從亞馬遜的IPv6地址池請求IPv6CIDR塊。如需詳細資訊,請參閱在 VPC 中新增或移除 CIDR 區塊。
如果您已將IPv6CIDR區塊與您的關聯VPC,您可以將IPv6CIDR區塊與您的現有子網路建立關聯,VPC或在您建立新子網路時建立關聯。如需詳細資訊,請參閱子網路大小 IPv6。
例如,您建立VPC並指定您想要將 Amazon 提供的IPv6CIDR區塊與. VPC Amazon 將以下IPv6CIDR塊分配給您的VPC:2001:db8:1234:1a00::/56
。您不能自行選擇 IP 地址的範圍。您可以建立子網路並關聯此範圍的IPv6CIDR區塊;例如,2001:db8:1234:1a00::/64
。
您可以取消圖塊與圖IPv6CIDR塊的VPC關聯。取消與IPv6CIDR區塊的關聯後VPC,如果您稍後VPC再次將某個區塊與您的IPv6CIDR區塊建立關聯,CIDR則無法期望收到相同的資訊。