Обзор
Подсеть - это сегмент сети, ассоциированный с диапазоном внутренних адресов.
С помощью подсетей вы можете:
- разделять ресурсы для повышения отказоустойчивости;
- организовывать ресурсы по функциональному назначению (например, одну подсеть можно выделить под фронтенд приложения, вторую — под бэкенд);
- контролировать взаимодействие между частями сети с помощью правил маршрутизации и файрвола.
Все ресурсы функционируют в подсети и при создании получают внутренний IP-адрес. При создании ресурса необходимо выбрать существующую подсеть или создать новую.
Размер подсети вы определяете самостоятельно при создании, используя метод бесклассовой адресации (CIDR). Можно использовать один из диапазонов, описанных в RFC 1918:
| Подсеть | Диапазон адресов | Префикс |
|---|---|---|
10.0.0.0/8 | 10.0.0.0 — 10.255.255.255 | /8 — /28 |
192.168.0.0/16 | 192.168.0.0 — 192.168.255.255 | /16 — /28 |
172.16.0.0/12 | 172.16.0.0 — 172.31.255.255 | /12 — /28 |
Минимальный размер подсети — /28 (16 IP-адресов).
Настройки DHCP
DNS-суффикс по умолчанию
По умолчанию для подсетей используется DNS-cуффикс вида <имя проекта>.c.mws. При необходимости вы можете указать для подсети собственный DNS-суффикс — например, my-project.org. Этот суффикс будет автоматически добавляться к коротким DNS-запросам внутри сети. Когда вы будете выполнять короткий запрос внутри подсети, система будет добавлять к короткому имени суффикс и выполнять поиск по полному доменному имени (FQDN).
Например, если у вас есть ВМ c именем vm1 и при этом задан собственный DNS-cуффикс my-project.org, при выполнении команда nslookup vm1 будет преобразована в nslookup vm1.my-project.org.
DNS-серверы
По умолчанию во всех подсетях используется внутренний DNS-сервер с IP-адресом 169.254.169.254. Он преобразует в IP-адреса внутренние имена ВМ, а также обрабатывает внешние DNS-запросы через систему рекурсивных DNS-серверов.
При необходимости вы можете указать любые другие DNS-серверы во время создания подсети.
NTP-cерверы
При необходимости вы можете указать собственный сервер точного времени, который будет использоваться с ресурсами подсети.
Особенности и ограничения
- Трафик между подсетями можно передавать только внутри сети. Передача трафика между подсетями из разных сетей невозможна.
- Подсети не должны пересекаться, т.е. иметь общие IP-адреса. В VPC пересечение подсетей исключено: при создании проходит проверка. Если обнаружено пересечение, будет выведено сообщение об ошибке.
Планирование подсетей
При создании сети вы самостоятельно определяете количество и размер подсетей. Правильное планирование подсетей позволяет:
- изолировать критически важные ресурсы и повысить уровень безопасности;
- масштабировать сеть без необходимости перепроектирования;
- обеспечивать соответствие законодательным и отраслевым стандартам (152-ФЗ, HIPAA, GDPR, PCI DSS и другим).
Планирование подсетей основывается на следующих принципах:
В подсети всегда должен быть резерв свободных IP-адресов.
Рассчитывайте размер подсети таким образом, чтобы 20–30% IP-адресов оставались свободными. Свободные IP-адреса образуют резерв для дальнейшего масштабирования.
Пример
Вы планируете создать 20 ВМ в проекте. При этом вы создали подсеть с размером
/28. Эта подсеть включает 16 IP-адресов, и для 20 ВМ этого недостаточно.Чтобы назначить IP-адреса всем ВМ и иметь резерв для дальнейшего масштабирования, можно создать подсеть с маской
/27, которая включает 32 IP-адреса.20 IP-адресов будут заняты, 7 адресов останутся свободными, и их можно будет использовать для масштабирования. Остальные 5 адресов зарезервированы, и пользователь не может их получить.
Под каждую функциональную группу ресурсов желательно выделять отдельную подсеть.
ВМ и другие ресурсы, имеющие общее функциональное назначение, рекомендуется выделять в отдельные подсети с резервом для масштабирования.
Пример
Под приложение выделены три подсети одинакового размера. В каждой подсети есть свободные адреса для масштабирования:
Подсеть Назначение Количество IP-адресов 192.168.0.0/25Фронтенд 128 (48 — заняты, 16 — в резерве) 192.168.0.128/25Бэкенд 128 (64— заняты, 16 — в резерве) 192.168.1.0/25Базы данных 128 (64 — заняты, 64 — в резерве)