VPC CIDR 區塊 - Amazon Virtual Private Cloud
IPv4 VPC CIDR 區塊管理 VPC 的 IPv4 CIDR 區塊IPv4 CIDR 區塊關聯限制IPv6 VPC CIDR 區塊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC CIDR 區塊

您的虛擬私有雲端 (VPC) 的 IP 地址使用無類別域間路由 (CIDR) 表示法來表示。VPC 必須具有關聯的 IPv4 CIDR 區塊。您可以選擇將額外的 IPv4 CIDR 區塊與一個或多個 IPv6 CIDR 區塊建立關聯。如需詳細資訊,請參閱 您 VPC 和子網路的 IP 定址

IPv4 VPC CIDR 區塊

在您建立 VPC 時,您必須指定 VPC 的 IPv4 CIDR 區塊。允許的區塊大小介於 /16 網路遮罩 (65,536 個 IP 地址) 和 /28 網路遮罩 (16 個 IP 地址) 之間。在您建立 VPC 之後,您可以將其他 IPv4 CIDR 區塊與 VPC 建立關聯。如需詳細資訊,請參閱 將 IPv4 CIDR 區塊新增至您的 VPC

當您建立 VPC 時,我們建議您指定來自 RFC 1918 中指定之私有 IPv4 地址範圍的 CIDR 區塊。

RFC 1918 範圍 CIDR 區塊範例
10.0.0.0 ‒ 10.255.255.255 (10/8 字首) 10.0.0.0/16
172.16.0.0 ‒ 172.31.255.255 (172.16/12 字首) 172.31.0.0/16
192.168.0.0 ‒ 192.168.255.255 (192.168/16 字首) 192.168.0.0/20
重要

某些 AWS 服務會使用 172.17.0.0/16 CIDR 範圍。為避免將來發生衝突,請勿在建立 VPC 時使用此範圍。例如,如果 IP 地址範圍已在網絡中的任何地方使用,則像AWS Cloud9或 Amazon 這樣的服務 SageMaker 可能會遇到 172.17.0.0/16 IP 地址衝突。如需詳細資訊,請參閱《AWS Cloud9 使用者指南》中的無法連接到 EC2 環境,因為 VPC 的 IP 地址已由 Docker 使用

您可以建立具有可公開路由 CIDR 區塊的 VPC,而此 CIDR 區塊不在 RFC 1918 所指定的私有 IPv4 地址範圍內。不過,基於本文件的用途,我們會將私有 IP 地址參照為您 VPC 之 CIDR 範圍內的 IPv4 地址。

在您建立 VPC 以與 AWS 服務搭配使用時,請檢查服務文件,確認其組態是否有特定需求。

如果您使用命令列工具或 Amazon EC2 API 建立 VPC,CIDR 區塊會自動修改為其正式形式。例如,如果您為 CIDR 區塊指定 100.68.0.18/18,我們會建立一個範圍為 100.68.0.0/18 CIDR 區塊。

管理 VPC 的 IPv4 CIDR 區塊

您可以將輔助 IPv4 CIDR 區塊與您的 VPC 建立關聯。當您將 CIDR 區塊與您的 VPC 建立關聯時,會自動將路由新增至您的 VPC 路由表,以啟用 VPC 內的路由 (目標為 CIDR 區塊,方向則是 local)。

在下列範例中,VPC 具有主要 CIDR 區塊及次要 CIDR 區塊。子網 A 和子網 B 的 CIDR 區塊來自主要 VPC CIDR 區塊。子網 C 的 CIDR 區塊來自次要 VPC CIDR 區塊。

使用單一及多個 CIDR 區塊的 VPC

下方的路由表顯示了 VPC 的本機路由。

目的地 目標
10.0.0.0/16 區域
10.2.0.0/16 區域

若要將 CIDR 區塊新增到您的 VPC,將套用下列規則:

  • 允許的區塊大小介於 /28 網路遮罩和 /16 網路遮罩之間。

  • CIDR 區塊不可和任何現有與 VPC 相關聯的 CIDR 區塊重疊。

  • 您可以使用的 IPv4 地址範圍有所限制。如需詳細資訊,請參閱 IPv4 CIDR 區塊關聯限制

  • 您無法增加或減少現有 CIDR 區塊的大小。

  • 您可以與 VPC 建立關聯的 CIDR 區塊數,以及您可以新增到路由表的路由數皆具有配額。如果會導致您超過配額,便無法與 CIDR 區塊建立關聯。如需詳細資訊,請參閱 Amazon VPC 配額

  • CIDR 區塊不可和任何 VPC 路由表中路由的目的地 CIDR 範圍相同,或大於該範圍。例如,在主要 CIDR 區塊所在的 VPC 中 10.2.0.0/16,路由表中有一個現有的路由,其目的地 10.0.0.0/24 為虛擬私有閘道。您想要關聯 10.0.0.0/16 範圍中的次要 CIDR 區塊。由於現有的路由,您無法關聯 10.0.0.0/24 或更大的 CIDR 區塊。但是,您可以與 10.0.0.0/25 或更小的 CIDR 區塊建立關聯。

  • 下列規則會在您將 IPv4 CIDR 區塊新增到做為 VPC 對等互連連線一部分的 VPC 時套用:

    • 若 VPC 對等互連連線為 active,只要它們不會和對等 VPC 的 CIDR 區塊重疊,您便可以將 CIDR 區塊新增到 VPC。

    • 若 VPC 對等互連連線為 pending-acceptance,則申請者 VPC 的擁有者便無法將任何 CIDR 區塊新增到 VPC,無論其是否與接受者 VPC 的 CIDR 區塊重疊。接受者 VPC 的擁有者必須接受對等互連連線,否則申請者 VPC 的擁有者必須刪除 VPC 對等互連連線請求、新增 CIDR 區塊,然後請求新的 VPC 對等互連連線。

    • 若 VPC 對等互連連線為 pending-acceptance,則接受者 VPC 的擁有者可將 CIDR 區塊新增到 VPC。若輔助 CIDR 區塊與申請者 VPC 的 CIDR 區塊重疊,則 VPC 對等互連連線會失敗,無法獲得接受。

  • 若您使用 AWS Direct Connect 透過直接連線閘道連線到多個 VPC,則與 Direct Connect 閘道相關聯的 VPC 不可擁有重疊的 CIDR 區塊。若您將 CIDR 區塊新增到其中一個與 Direct Connect 閘道建立關聯的 VPC,請確認新的 CIDR 區塊不會和任何其他相關聯 VPC 的現有 CIDR 區塊重疊。如需詳細資訊,請參閱《AWS Direct Connect 使用者指南》中的 Direct Connect 閘道

  • 當您新增或移除 CIDR 區塊時,它可能會經過多種狀態:associating |associated |disassociating |disassociated |failing |failed 。當其處於 associated 狀態時,表示 CIDR 區塊已準備好可供您使用。

您可以取消關聯您已和 VPC 建立關聯的 CIDR 區塊;但是,您無法取消關聯您一開始用來建立 VPC (主要 CIDR 區塊) 的 CIDR 區塊。若要在 Amazon VPC 主控台中檢視 VPC 的主要 CIDR,請選擇 Your VPCs (您的 VPC),接著選取 VPC 的核取方塊,然後選擇 CIDRs 標籤頁。若要檢視使用 AWS CLI 的主要 CIDR,請使用 describe-vpcs 命令,如下所示。主要 CIDR 會在頂層 CidrBlock element 中傳回。

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d --query Vpcs[*].CidrBlock --output text

下列為範例輸出。

10.0.0.0/16

IPv4 CIDR 區塊關聯限制

下表概述了允許和受限 VPC CIDR 區塊關聯。造成限制的原因是某些 AWS 服務會使用跨 VPC 和跨帳戶功能,這些功能需要 AWS 服務端沒有發生衝突的 CIDR 區塊。

IP 位址範圍 受限制的關聯 許可的關聯

10.0.0.0/8

來自其他 RFC 1918* 範圍 (172.16.0.0/12 及 192.168.0.0/16) 的 CIDR 區塊。

如果與 VPC 關聯的任何 CIDR 區塊位於 10.0.0.0/15 範圍 (10.0.0.0 至 10.1.255.255) 內,您便無法新增來自 10.0.0.0/16 範圍 (10.0.0.0 至 10.0.255.255) 的 CIDR 區塊。

來自 198.19.0.0/16 範圍的 CIDR 區塊。

位於 /16 網路遮罩與 /28 網路遮罩之間的 10.0.0/8 範圍內的任何其他 CIDR 區塊,但不受限制。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由 IPv4 CIDR 區塊 (非 RFC 1918),或介於 100.64.0.0/10 範圍之間的 /16 網路遮罩與 /28 網路遮罩之間的 CIDR 區塊。

169.254.0.0/16

RFC 5735 中所述,會保留來自「本機連結」區塊的 CIDR 區塊,且無法指派給 VPC。

172.16.0.0/12

來自其他 RFC 1918* 範圍 (10.0.0.0/8 及 192.168.0.0/16) 的 CIDR 區塊。

來自 172.31.0.0/16 範圍的 CIDR 區塊。

來自 198.19.0.0/16 範圍的 CIDR 區塊。

172.16.0.0/12 範圍介於 /16 網路遮罩與 /28 網路遮罩之間且未受限制的任何其他 CIDR 區塊。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由 IPv4 CIDR 區塊 (非 RFC 1918),或介於 100.64.0.0/10 範圍之間的 /16 網路遮罩與 /28 網路遮罩之間的 CIDR 區塊。

192.168.0.0/16

來自其他 RFC 1918* 範圍 (10.0.0.0/8 及 172.16.0.0/12) 的 CIDR 區塊。

來自 198.19.0.0/16 範圍的 CIDR 區塊。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何其他 CIDR 區塊。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由的 IPv4 CIDR 區塊 (非 RFC 1918),或介於 /16 網路遮罩與 /28 網路遮罩之間 100.64.0.0/10 範圍的 CIDR 區塊。

198.19.0.0/16

來自 RFC 1918* 範圍的 CIDR 區塊。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何公開路由的 IPv4 CIDR 區塊 (非 RFC 1918),或介於 /16 網路遮罩與 /28 網路遮罩之間 100.64.0.0/10 範圍的 CIDR 區塊。

可公開路由的 CIDR 區塊 (非 RFC 1918),或是來自 100.64.0.0/10 範圍的 CIDR 區塊

來自 RFC 1918* 範圍的 CIDR 區塊。

來自 198.19.0.0/16 範圍的 CIDR 區塊。

介於 /16 網路遮罩與 /28 網路遮罩之間的任何其他公開路由 IPv4 CIDR 區塊 (非 RFC 1918),或介於 100.64.0.0/10 範圍之間的 /16 網路遮罩與 /28 網路遮罩之間的 CIDR 區塊。

* RFC 1918 範圍是 RFC 1918 中指定的私有 IPv4 地址範圍。

IPv6 VPC CIDR 區塊

您可以在建立新 VPC 時關聯單一 IPv6 CIDR 區塊,或者從 /44/60 (增量為 /4) 關聯最多五個 IPv6 CIDR 區塊。您可以從 Amazon 的 IPv6 地址集區中申請 IPv6 CIDR 區塊。如需詳細資訊,請參閱 將 IPv6 CIDR 區塊新增至您的 VPC

若您已將 IPv6 CIDR 區塊與您的 VPC 建立關聯,您可以將 IPv6 CIDR 區塊與您 VPC 中的現有子網,或是在您建立新的子網時建立關聯。如需詳細資訊,請參閱 IPv6 的子網規模

例如,您建立 VPC,並指定您希望將 Amazon 提供的 IPv6 CIDR 區塊與 VPC 建立關聯。Amazon 會指派下列 IPv6 CIDR 區塊給您的 VPC:2001:db8:1234:1a00::/56。您不能自行選擇 IP 地址的範圍。您可以建立子網,並關聯來自此範圍的 IPv6 CIDR 區塊;例如:2001:db8:1234:1a00::/64

您可以取消 IPv6 CIDR 區塊與 VPC 的關聯 在您將 IPv6 CIDR 區塊與 VPC 取消關聯後,若您在稍後重新將 IPv6 CIDR 區塊與 VPC 建立關聯,您無法預期取得相同的 CIDR。