Networking na AWS - Subnets

Quando você cria uma VPC, você pode escolher o endereçamento de rede dessa VPC.
Você pode usar endereçamento de rede das classes A, B e C.
Porém, falando de endereçamento de rede LAN na AWS, existem algumas características
importantes que você precisa saber.

Uma dessas características é quanto ao tamanho do range de IPs.

O maior range que você pode ter é um /16 e o menor range é um /28.

Lembrando que um range /16 fornece 256 subnets e 65.534 IPs por rede.
Já uma rede /28 fornece 1.048.576 de subnets e 14 IPs em cada subnet.

Então, os ranges seriam:

• Classe A: 10.0.0.0/16, que por padrão poderia ser um /8, porém dentro da VPC você só
pode usar /16 pra frente.
• Classe B: 172.16.0.0/16
• Classe C: 192.168.0.0/24

Outra caraterística é quanto aos IPs reservados de uma subnet.

Geralmente, em uma subnet, nós reservamos o primeiro e o último IP para endereçamento de
rede e de broadcast, respectivamente.
Na AWS, porém, além do endereçamento de rede, os primeiros 3 IPs são reservados para uso
da AWS, portanto não devem ser usados no ambiente.

Exemplo: subnet 10.0.0.0/24

Endereço Descrição
10.0.0.0 Network Address
10.0.0.1 Reservado para o roteador da VPC
10.0.0.2 Reservado para o serviço de DNS
10.0.0.3 Reservado uso futuro
10.0.0.4 – 10.0.0.254 Disponíveis para uso
10.0.0.255 Network Broadcast Address

Lembra quando falamos sobre escopo de serviços? No caso da VPC, como já falamos, o escopo
é de Região, ou seja, quando você cria uma VPC, ela automaticamente passa a existir em todas
as AZ’s da região. Porém existe um detalhe importante. Quando você “quebra” seu range de IP’s
da VPC em subnets, cada subnet passa a ter escopo de AZ. Isso significa que se você criou uma
subnet 10.0.0.0/24 na AZ-A, você não poderá usar endereços dessa rede em qualquer outra AZ.

Vamos simular o cenário de uma VPC com 4 subnets, sendo duas subnets públicas e duas
subnets Privadas, trabalhando em multi-az. O endereçamento de rede poderia ser algo como:

Para reduzir a complexidade do ambiente, evite usar muitas subnets. Os recursos de Security
Groups e Network ACL’s podem ser usados para segmentar recursos dentro de uma mesma
subnet.

Isso não quer dizer que não se deva segmentar seu ambiente em rede pública e privada. Isso é
altamente recomendável.