Назад | Перейти на главную страницу

Что произойдет, если диапазон частных IP-адресов VPC выйдет за рамки, определенные IANA?

В Документация VPC говорит:

При создании VPC рекомендуется указывать блок CIDR (размером / 16 или меньше) из диапазонов частных IPv4-адресов, как указано в RFC 1918:

  • 10.0.0.0 - 10.255.255.255 (префикс 10/8)
  • 172.16.0.0 - 172.31.255.255 (префикс 172.16 / 12)
  • 192.168.0.0 - 192.168.255.255 (префикс 192.168 / 16)

Вы можете создать VPC с публично маршрутизируемым блоком CIDR, который выходит за пределы диапазонов частных IPv4-адресов, указанных в RFC 1918; однако для целей данной документации мы называем частные IP-адреса адресами IPv4, которые находятся в диапазоне CIDR вашего VPC.

Что произойдет, если VPC будет создан с диапазоном вне этих диапазонов, например 172.40.0.0/16? Наверное, сразу ничего, но чего мне нужно было бы остерегаться, если бы я сделал это?

Предположим, вы назначили хосту IP-адрес, например: 172.40.0.1. Это общедоступный IP-адрес, что означает, что кто-то уже купил этот IP-адрес. Давайте посмотрим данные whois.

IP address: 172.40.0.1
hostname:   172.40.0.1
ISP:    T-Mobile USA
Country:    United States (US) flag
latitude:   37.751
longitude:  -97.822

Теперь, если вы используете собственный DNS-сервер для VPC, вы можете использовать его внутри VPC локально. Хотя мы можем настроить его локально, сети по-прежнему создают конфликты, потому что у нас нет контроля над некоторыми методами обнаружения системы.

При типичной конфигурации вашего маршрутизатора это будет означать, что все пакеты, предназначенные для «реального» IP-адреса в Интернете, например 172.40.1.2 (скажем), не будут доступны из вашей сети, поскольку ваш маршрутизатор попытается найти соответствующее интернет-устройство. в пределах ваша сеть.

Ваша сеть будет просто нарушена, я имею в виду, что ваш контейнер будет недоступен извне (из Интернета), и ваш PVC не сможет отправлять что-либо за пределы мира. Amazon предварительно сконфигурировал свои перечисленные частные сети, чтобы они принимались только в качестве пулов адресов источника и назначения для PVC. Имея два собственных PVC на одном и том же реальном аппаратном узле, возможно, они могли общаться только друг с другом, имея оба адреса, назначенные из неавторизованного пула Amazon 172.40.1.2 и, скажем, 172.40.1.1, но я не уверен, это зависит от настройки сети есть у Amazon.