Blocs CIDR VPC
Les adresses IP de votre cloud privé virtuel (VPC) sont représentées en notation CIDR (Routage inter-domaines sans classe). Un VPC doit être associé à un bloc d'adresse CIDR IPv4. Vous pouvez éventuellement associer des blocs d'adresse CIDR IPv4 supplémentaires et un ou plusieurs blocs d'adresse CIDR IPv6. Pour de plus amples informations, consultez Adressage IP pour vos VPC et sous-réseaux.
Table des matières
Blocs d'adresse CIDR VPC IPv4
Lorsque vous créez un VPC, vous devez spécifier un bloc d'adresse CIDR IPv4 pour le VPC. La taille de bloc autorisée est comprise entre un masque réseau en /16 (65 536 adresses IP) et un masque réseau en /28 (16 adresses IP). Après avoir créé votre VPC, vous pouvez lui associer des blocs d'adresse CIDR IPv4 supplémentaires. Pour de plus amples informations, consultez Ajouter ou supprimer un bloc d’adresse CIDR de votre VPC.
Nous vous conseillons de créer un VPC avec un bloc d'adresse CIDR tiré des plages d'adresses IPv4 privées, comme spécifié dans la norme RFC 1918
| Plage RFC 1918 | Exemple de bloc d'adresse CIDR |
|---|---|
| 10.0.0.0 - 10.255.255.255 (préfixe 10/8) | 10.0.0.0/16 |
| 172.16.0.0 - 172.31.255.255 (préfixe 172.16/12) | 172.31.0.0/16 |
| 192.168.0.0 - 192.168.255.255 (préfixe 192.168/16) | 192.168.0.0/20 |
Considérations
-
Vous ne pouvez pas spécifier les blocs CIDR suivants pour vos VPC :
0.0.0.0/8
127.0.0.0/8 (plage d’adresses de bouclage interne de l’hôte)
169.254.0.0/16 (plage d’adresses lien-local)
224.0.0.0/4 (plage d’adresses multicast)
-
Lorsque vous créez un VPC en vue de l'utiliser avec un service AWS, consultez la documentation du service en question pour savoir s'il existe des conditions spécifiques au niveau de sa configuration.
-
Certains services AWS utilisent la plage CIDR
172.17.0.0/16. Les services peuvent être confrontés à des conflits d’adresses IP si la plage d’adresses IP est déjà utilisée sur votre réseau. Par exemple, AWS Cloud9 et Amazon SageMaker AI utilisent172.17.0.0/16. Pour éviter les conflits, n’utilisez pas cette plage lors de la création de votre VPC. Pour plus d'informations, veuillez consulter la section Impossible de se connecter à l'environnement EC2 car les adresses IP du VPC sont utilisées par Docker du Guide de l'utilisateur AWS Cloud9. -
Vous pouvez créer un VPC avec un bloc d’adresses CIDR publiquement routable ne faisant pas partie des plages d’adresses IPv4 privées spécifiées dans la norme RFC 1918. Toutefois, dans le cadre de cette documentation, nous faisons référence à des adresses IP privées en tant qu'adresses IPv4 se trouvant dans la plage CIDR de votre VPC.
-
Si vous créez un VPC à l'aide d'un outil de ligne de commande ou de l'API Amazon EC2, le bloc d'adresse CIDR est automatiquement ramené à sa forme canonique. Par exemple, si vous spécifiez 100.68.0.18/18 pour le bloc d'adresse CIDR, nous créons un bloc d'adresse CIDR de 100.68.0.0/18.
Gestion des blocs d'adresse CIDR IPv4 pour un VPC
Vous pouvez associer des blocs d'adresse CIDR IPv4 à votre VPC. Lorsque vous associez un bloc d'adresse CIDR à votre VPC, une route est ajoutée automatiquement à vos tables de routage VPC afin de permettre le routage au sein du VPC (la destination est le bloc d'adresse CIDR et la cible est local).
Dans l'exemple suivant, le VPC comporte un bloc d'adresse CIDR principal et un bloc d'adresse CIDR secondaire. Les blocs CIDR pour le sous-réseau A et le sous-réseau B proviennent du bloc CIDR VPC principal. Le bloc CIDR du sous-réseau C provient du bloc CIDR VPC secondaire.
La table de routage suivante présente les acheminements locaux du VPC.
| Destination | Cible |
|---|---|
| 10.0.0.0/16 | Locale |
| 10.2.0.0/16 | Local |
Pour ajouter un bloc d'adresse CIDR à votre VPC, les règles suivantes s'appliquent :
-
La taille de bloc autorisée est comprise entre un masque réseau en
/28et un masque réseau en/16. -
Le bloc d'adresse CIDR ne doit chevaucher aucun bloc d'adresse CIDR existant associé au VPC.
-
Il existe des restrictions pour les plages d'adresses IPv4 que vous pouvez utiliser. Pour plus d'informations, consultez Restrictions des associations de blocs d'adresse CIDR IPv4.
-
Vous ne pouvez pas augmenter ou diminuer la taille d'un bloc CIDR existant.
-
Vous avez un quota sur le nombre de blocs d'adresse CIDR que vous pouvez associer à un VPC et le nombre d'acheminements que vous pouvez ajouter à une table de routage. Vous ne pouvez pas associer un bloc d'adresse CIDR si cela entraîne un dépassement de vos quotas. Pour plus d'informations, consultez Quotas Amazon VPC.
-
Le bloc d'adresse CIDR ne doit pas être le même, ni être plus important, qu'une plage CIDR de destination d'une route dans une table de routage de VPC. Par exemple, dans un VPC où le bloc CIDR principal est
10.2.0.0/16, vous avez une route existante dans une table de routage avec une destination de10.0.0.0/24vers une passerelle privée virtuelle. Vous souhaitez associer un bloc CIDR secondaire dans la plage10.0.0.0/16. En raison de l'itinéraire existant, vous ne pouvez pas associer un bloc CIDR de10.0.0.0/24ou plus grand. Toutefois, vous pouvez associer un bloc d'adresse CIDR de10.0.0.0/25ou plus petit. -
Les règles suivantes s'appliquent lorsque vous ajoutez des blocs d'adresse CIDR IPv4 à un VPC faisant partie d'une connexion d'appairage de VPC :
-
Si la connexion d'appairage de VPC est
active, vous pouvez ajouter des blocs d'adresse CIDR à un VPC, à condition qu'ils ne chevauchent pas un bloc d'adresse CIDR du VPC pair. -
Si la connexion d'appairage de VPC est
pending-acceptance, le propriétaire du VPC demandeur ne peut pas ajouter de bloc d'adresse CIDR au VPC, qu'il chevauche ou non le bloc d'adresse CIDR du VPC demandeur. Soit le propriétaire du VPC demandeur doit accepter la connexion d'appairage, soit il doit supprimer la demande de connexion d'appairage du VPC, ajouter le bloc d'adresse CIDR, puis demander une nouvelle connexion d'appairage du VPC. -
Si la connexion d'appairage du VPC est
pending-acceptance, le propriétaire du VPC demandeur peut ajouter des blocs d'adresse CIDR au VPC. Si un bloc d'adresse CIDR secondaire chevauche un bloc CIDR du VPC demandeur, la demande de connexion d'appairage du VPC échoue et ne peut pas être acceptée.
-
-
Si vous utilisez Direct Connect pour vous connecter à plusieurs VPC via une passerelle Direct Connect, les VPC associés à la passerelle Direct Connect ne doivent pas avoir de blocs d'adresse CIDR qui se chevauchent. Si vous ajoutez un bloc d'adresse CIDR à l'un des VPC qui est associé à la passerelle Direct Connect, assurez-vous que le nouveau bloc d'adresse CIDR ne chevauche pas un bloc d'adresse CIDR existant d'un autre VPC associé. Pour plus d'informations, consultez la section Passerelles Direct Connect du Guide de l'utilisateur Direct Connect.
-
Lorsque vous ajoutez ou supprimez un bloc d'adresse CIDR, il peut passer par différents états:
associating|associated|disassociating|disassociated|failing|failed. Le bloc d'adresse CIDR est prêt pour que vous l'utilisiez utilisé lorsqu'il a l'étatassociated.
Vous pouvez dissocier un bloc d'adresse CIDR que vous avez associé à votre VPC, mais vous ne pouvez pas dissocier le bloc d'adresse CIDR avec lequel vous avez initialement créé le VPC (bloc d'adresse CIDR principal). Pour afficher le CIDR principal de votre VPC sur la console Amazon VPC, choisissez Your VPCs (Vos VPC), cochez la case de votre VPC et choisissez l'onglet CIDRs (CIDR). Pour afficher le CIDR principal à l'aide d'AWS CLI, utilisez la commande describe-vpcs comme suit. Le CIDR principal est retourné dans le de niveau supérieur CidrBlock element.
aws ec2 describe-vpcs --vpc-idvpc-1a2b3c4d--query Vpcs[*].CidrBlock --output text
Voici un exemple de sortie.
10.0.0.0/16Restrictions des associations de blocs d'adresse CIDR IPv4
Le tableau suivant donne un aperçu des associations autorisées et limitées pour les blocs CIDR VPC existants. Les restrictions s'expliquent par le fait que certains services AWS utilisent des fonctionnalités entre VPC et entre comptes qui nécessitent des blocs CIDR non conflictuels du côté du service AWS.
| Plage d’adresses IPv4 existante | Associations limitées | Associations autorisées |
|---|---|---|
|
10.0.0.0/8 |
Les blocs d'adresse CIDR d'autres plages RFC 1918* (172.16.0.0/12 and 192.168.0.0/16). Si l'un des blocs d'adresse CIDR associés au VPC se trouve dans la plage 10.0.0.0/15 (10.0.0.0 à 10.1.255.255), vous ne pouvez pas ajouter un bloc d'adresse CIDR provenant de la plage 10.0.0.0/16 (10.0.0.0 à 10.0.255.255). Blocs d'adresse CIDR provenant de la plage 198.19.0.0/16. |
Tout autre bloc d’adresse CIDR provenant de la plage 10.0.0.0/8 entre un masque réseau /16 et un masque réseau /28 qui n’est pas limité. Tout bloc d’adresse CIDR IPv4 (non RFC 1918) publiquement routable entre un masque réseau /16 et un masque réseau /28 ou un bloc d’adresse CIDR entre un masque réseau /16 et un masque réseau /28 provenant de la plage 100.64.0.0/10. |
|
169.254.0.0/16 |
Les blocs CIDR du bloc « link local » sont réservés comme décrit dans le RFC 5735 |
|
|
172.16.0.0/12 |
Les blocs d'adresse CIDR d'autres plages RFC 1918* (10.0.0.0/8 and 192.168.0.0/16). Blocs d'adresse CIDR provenant de la plage 172.31.0.0/16. Blocs d'adresse CIDR provenant de la plage 198.19.0.0/16. |
Tout autre bloc d’adresse CIDR provenant de la plage 172.16.0.0/12 entre un masque réseau /16 et un masque réseau /28 qui n’est pas limité. Tout bloc d’adresse CIDR IPv4 (non RFC 1918) publiquement routable entre un masque réseau /16 et un masque réseau /28 ou un bloc d’adresse CIDR entre un masque réseau /16 et un masque réseau /28 provenant de la plage 100.64.0.0/10. |
|
192.168.0.0/16 |
Les blocs d'adresse CIDR d'autres plages RFC 1918* (10.0.0.0/8 et 172.16.0.0/12). Blocs d'adresse CIDR provenant de la plage 198.19.0.0/16. |
Tout autre bloc d’adresse CIDR provenant de la plage 192.168.0.0/16 entre un masque réseau /16 et un masque réseau /28. Tout bloc d’adresse CIDR IPv4 (non RFC 1918) publiquement routable entre un masque réseau /16 et un masque réseau /28 ou un bloc d’adresse CIDR provenant de la plage 100.64.0.0/10 entre un masque réseau /16 et un masque réseau /28. |
|
198.19.0.0/16 |
Blocs d'adresse CIDR provenant des places RFC 1918*. |
Tout bloc d’adresse CIDR IPv4 (non RFC 1918) publiquement routable entre un masque réseau /16 et un masque réseau /28 ou un bloc d’adresse CIDR provenant de la plage 100.64.0.0/10 entre un masque réseau /16 et un masque réseau /28. |
|
Un bloc d'adresse CIDR (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10 |
Blocs d'adresse CIDR provenant des places RFC 1918*. Blocs d'adresse CIDR provenant de la plage 198.19.0.0/16. |
Tout autre bloc d’adresse CIDR IPv4 (non RFC 1918) publiquement routable entre un masque réseau /16 et un masque réseau /28 ou un bloc d’adresse CIDR entre un masque réseau /16 et un masque réseau /28 provenant de la plage 100.64.0.0/10. Vous pouvez également associer un CIDR dans l’une des plages RFC 1918, mais pour cela, vous devez d’abord ajouter ce CIDR à la création du VPC, puis ajouter le CIDR hors RFC 1918. |
*Les plages RFC 1918 sont les plages d'adresses IPv4 privées spécifiées dans RFC 1918
Blocs d'adresse CIDR VPC IPv6
Vous pouvez associer un seul bloc d'adresse CIDR IPv6 lorsque vous créez un nouveau VPC ou vous pouvez en associer jusqu'à cinq blocs d'adresse CIDR IPv6 de /44 à /60 par incréments de /4. Vous pouvez demander un bloc d'adresse CIDR IPv6 à partir du groupe d'adresses IPv6 d'Amazon. Pour de plus amples informations, consultez Ajouter ou supprimer un bloc d’adresse CIDR de votre VPC.
Si vous avez associé un bloc d'adresse CIDR IPv6 à votre VPC, vous pouvez associer un bloc d'adresse CIDR IPv6 à un sous-réseau existant de votre VPC ou lorsque vous créez un sous-réseau. Pour de plus amples informations, consultez Dimensionnement de sous-réseau pour IPv6.
Par exemple, vous créez un VPC et vous spécifiez que vous voulez associer un bloc d'adresse CIDR IPv6 fourni par Amazon au VPC. Amazon attribue le bloc d'adresse CIDR IPv6 suivant à votre VPC : 2001:db8:1234:1a00::/56. Vous ne pouvez pas choisir vous-même la plage d'adresses IP. Vous pouvez créer un sous-réseau et associer un bloc d'adresse CIDR IPv6 à partir de cette plage ; par exemple, 2001:db8:1234:1a00::/64.
Vous pouvez dissocier un bloc d'adresse CIDR IPv6 d'un VPC Une fois que vous avez dissocié un bloc d'adresse CIDR IPv6 d'un VPC, vous ne pouvez pas vous attendre à recevoir le même CIDR si vous associez une nouvelle fois un bloc d'adresse CIDR IPv6 à votre VPC ultérieurement.
