ネットワーキング

VPC のデフォルト CIDR /16 はなぜ /16 なのか - IP アドレス設計の雑学と落とし穴

VPC のデフォルト CIDR が /16 に設定されている理由、RFC 1918 のプライベートアドレス空間の歴史、サブネットで使えない 5 つの IP アドレス、CIDR 設計の失敗パターンを雑学的に解説します。

約 3 分で読めます

RFC 1918 とプライベート IP アドレスの歴史

VPC の CIDR 設計を理解するには、まず RFC 1918 の歴史を知る必要があります。1996 年に公開された RFC 1918 は、インターネットに直接接続しないプライベートネットワーク用に 3 つのアドレス範囲を予約しました。10.0.0.0/8 (約 1,677 万アドレス)、172.16.0.0/12 (約 104 万アドレス)、192.168.0.0/16 (約 6.5 万アドレス) です。この 3 つの範囲が予約された背景には、1990 年代のインターネットの急速な成長があります。IPv4 のアドレス空間は約 43 億個しかなく、すべてのデバイスにグローバル IP アドレスを割り当てると枯渇することが明らかでした。プライベートアドレスと NAT (Network Address Translation) を組み合わせることで、1 つのグローバル IP アドレスの背後に多数のデバイスを配置できるようになり、アドレス枯渇を緩和しました。VPC のデフォルト CIDR 10.0.0.0/16 は、この RFC 1918 の 10.0.0.0/8 の範囲内から /16 を切り出したものです。

なぜ /16 なのか - 大きすぎず小さすぎない絶妙なサイズ

/16 の CIDR ブロックは 65,536 個の IP アドレスを含みます。AWS がデフォルトで /16 を選んだ理由は、ほとんどのワークロードに十分な IP アドレス空間を提供しつつ、10.0.0.0/8 の範囲内で 256 個の /16 ブロックを切り出せるバランスの良さにあります。VPC の CIDR は /16 から /28 まで指定可能です。/28 は 16 アドレス (うち使用可能は 11) で、最小の VPC です。/16 は 65,536 アドレスで、デフォルトの最大サイズです。実際には、/16 は多くのケースで過剰です。100 台の EC2 インスタンスを動かすだけなら /24 (256 アドレス) で十分です。しかし、VPC の CIDR は後から縮小できないため (拡張は可能)、最初に大きめに設定しておくのが安全です。/16 は「将来の拡張に備えた余裕」を持たせるデフォルト値として合理的です。ただし、マルチ VPC 環境では /16 を乱発すると 10.0.0.0/8 の空間をすぐに使い切ります。256 個の VPC で枯渇するため、計画的な CIDR 割り当てが必要です。

サブネットで使えない 5 つの IP アドレス

VPC のサブネットでは、各サブネットの最初の 4 つと最後の 1 つ、合計 5 つの IP アドレスが AWS によって予約されており、EC2 インスタンスなどに割り当てることができません。/24 サブネット (10.0.1.0/24) の場合、10.0.1.0 はネットワークアドレス、10.0.1.1 は VPC ルーター用、10.0.1.2 は DNS サーバー用、10.0.1.3 は将来の利用のために AWS が予約、10.0.1.255 はブロードキャストアドレスです。つまり、/24 サブネットの 256 アドレスのうち、実際に使えるのは 251 アドレスです。この「5 つの予約」は、小さなサブネットほど影響が大きくなります。/28 サブネット (16 アドレス) では 5 つが予約されるため、使えるのは 11 アドレスだけです。約 31% が使えないことになります。Lambda の VPC 接続や NAT Gateway のように、少数の ENI (Elastic Network Interface) しか必要としないリソース用のサブネットでも、最低 /28 が必要です。この予約アドレスの存在を知らずにサブネットを設計すると、「IP アドレスが足りない」という問題に直面します。

CIDR 設計の失敗パターン

VPC の CIDR 設計で最も多い失敗は、CIDR の重複です。VPC Peering や Transit Gateway で VPC 間を接続する場合、接続する VPC の CIDR が重複しているとルーティングが不可能になります。デフォルトの 10.0.0.0/16 をすべての VPC に使い回すと、VPC 間の接続が一切できなくなります。オンプレミスネットワークとの接続 (Direct Connect、Site-to-Site VPN) でも同様の問題が発生します。オンプレミスのネットワークが 10.0.0.0/8 を使用している場合、VPC の CIDR が 10.x.x.x の範囲にあるとルーティングが衝突します。この場合、VPC には 172.16.0.0/12 や 100.64.0.0/10 (CGN 用アドレス、RFC 6598) の範囲を使用する必要があります。もう一つの失敗パターンは、サブネットの分割が細かすぎることです。/24 サブネットを大量に作ると、各サブネットの IP アドレスが 251 個に制限され、Auto Scaling でインスタンスが増えた際に IP アドレスが枯渇します。逆に、サブネットが大きすぎると、AZ 間の分散が不均等になるリスクがあります。

IPv6 と VPC の未来

AWS は 2016 年から VPC での IPv6 をサポートしています。IPv6 の VPC CIDR は /56 で、AWS が自動的に割り当てます。IPv6 のアドレス空間は 2^128 (約 340 澗) と事実上無限であるため、IPv4 のような CIDR 設計の悩みはありません。しかし、IPv6 への完全移行はまだ先の話です。多くの企業のオンプレミスネットワークが IPv4 のみであり、一部の AWS サービスも IPv6 を完全にはサポートしていません。現実的なアプローチは、デュアルスタック (IPv4 + IPv6) で VPC を構成し、新しいワークロードから段階的に IPv6 を導入することです。VPC の CIDR 設計は、一度決めると変更が困難 (VPC の CIDR は追加はできるが削除や変更はできない) なため、最初の設計が極めて重要です。マルチアカウント・マルチリージョン環境では、IPAM (IP Address Manager) を使用して組織全体の IP アドレス空間を一元管理することが推奨されます。ネットワーク設計の基礎を体系的に学ぶには、専門書籍 (Amazon)が参考になります。

関連するサービス

Amazon VPCAWS 上に論理的に分離された仮想ネットワークを構築するサービスAWS Transit Gateway複数の VPC とオンプレミスネットワークをハブ & スポーク型で接続するネットワークハブ

関連する記事

Amazon VPC のネットワーク設計 - サブネット構成と NAT Gateway の最適化パブリック/プライベートサブネットの分離設計、セキュリティグループの層別管理、Gateway VPC エンドポイントによる NAT Gateway コスト削減を紹介します。AWS Transit Gateway で構築するハブ&スポークネットワーク - マルチ VPC 接続の設計ハブ&スポーク型で複数 VPC とオンプレミスを集約し、ルートテーブル分離でセキュリティ境界を確立する。ピアリングによるマルチリージョン接続も紹介します。AWS PrivateLink でプライベート接続を実現 - VPC エンドポイントとエンドポイントサービスインターネットを経由せず AWS サービスにプライベート接続する。Gateway エンドポイントの無料活用とエンドポイントサービスの構築を紹介します。

同じテーマの記事

AWS App Mesh で構築するサービスメッシュ - マイクロサービス間通信の制御と可観測性Envoy サイドカーによるカナリアデプロイ、リトライポリシー、mTLS 暗号化を宣言的に設定し、X-Ray 統合でサービス間の依存関係を可視化する手法を紹介します。AWS Cloud Map でサービスディスカバリを実現 - マイクロサービス間の動的な名前解決DNS ベースと API ベースの 2 方式でマイクロサービスのエンドポイントを動的に検出する。ECS・EKS との統合でサービスの登録・解除を自動化する手法を紹介します。CloudFront の 600 超 PoP はどう動いているのか - Anycast ルーティングとキャッシュ階層の仕組みCloudFront がユーザーのリクエストを最寄りの PoP にルーティングする Anycast の仕組み、エッジロケーションとリージョナルエッジキャッシュの 2 層構造、キャッシュヒット率を左右する設計要因を解説します。専用線接続の設計 - Direct Connect による安定した閉域網接続の実現AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。AWS Direct Connect で構築する専用線接続 - 冗長構成とトラフィック制御専用線接続の冗長構成を設計し、Direct Connect Gateway で複数リージョンの VPC に接続する。LAG による帯域集約と MACsec 暗号化も紹介します。Elastic IP アドレスの管理と設計 - 静的 IP の活用とコスト最適化Elastic IP の割り当て、EC2 との関連付け、未使用 EIP のコスト影響、代替手段の検討を解説します。ELB の 3 種類はなぜ 3 種類あるのか - ALB・NLB・CLB が分かれた設計判断の裏側ALB、NLB、CLB (Classic) の 3 種類のロードバランサーがなぜ統合されずに併存しているのかを、OSI 参照モデルのレイヤー、パフォーマンス特性、歴史的経緯から解説します。AWS Global Accelerator によるグローバルネットワーク最適化 - 低レイテンシ配信とフェイルオーバーAnycast IP で AWS グローバルネットワークにトラフィックを誘導し、エンドポイントグループの設計とヘルスチェックによるフェイルオーバーを実現する手法を紹介します。

内容が近い記事・サービス

Amazon VPCAWS クラウド内に論理的に隔離された仮想ネットワークを構築し、IP アドレス範囲やルーティング、セキュリティを完全に制御できるサービスElastic IP AddressEC2 インスタンスに関連付ける静的パブリック IPv4 アドレスAWS RAM で実現するクロスアカウントリソース共有 - VPC サブネットと Transit Gateway の共有VPC サブネットや Transit Gateway をアカウント間で共有し、IP アドレス空間の一元管理と VPC ピアリングの削減を実現する手法を紹介します。Amazon VPC のネットワーク設計 - サブネット構成と NAT Gateway の最適化パブリック/プライベートサブネットの分離設計、セキュリティグループの層別管理、Gateway VPC エンドポイントによる NAT Gateway コスト削減を紹介します。