CIDR und Peering für VPC und AWS Control Tower - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CIDR und Peering für VPC und AWS Control Tower

Dieser Abschnitt richtet sich in erster Linie an Netzwerkadministratoren. Der Netzwerkadministrator Ihres Unternehmens ist in der Regel die Person, die den gesamten CIDR-Bereich für Ihre AWS Control Tower Tower-Organisation auswählt. Der Netzwerkadministrator weist dann Subnetze aus diesem Bereich für bestimmte Zwecke zu.

Wenn Sie einen CIDR-Bereich für Ihre VPC auswählen, validiert AWS Control Tower die IP-Adressbereiche gemäß der RFC 1918-Spezifikation. Account Factory ermöglicht einen CIDR-Block von bis zu folgenden /16 Bereichen:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

  • 100.64.0.0/10(nur wenn Ihr Internetanbieter die Nutzung dieses Bereichs zulässt)

Das /16-Trennzeichen erlaubt bis zu 65 536 verschiedene IP-Adressen.

Sie können beliebige gültige IP-Adressen aus den folgenden Bereichen zuweisen:

  • 10.0.x.x to 10.255.x.x

  • 172.16.x.x – 172.31.x.x

  • 192.168.0.0 – 192.168.255.255 (keine IPs außerhalb des 192.168-Bereichs)

Wenn der von Ihnen angegebene Bereich außerhalb dieser Werte liegt, gibt AWS Control Tower eine Fehlermeldung aus.

Der Standard-CIDR-Bereich ist 172.31.0.0/16.

Wenn AWS Control Tower eine VPC mit dem von Ihnen ausgewählten CIDR-Bereich erstellt, weist es jeder VPC für jedes Konto, das Sie innerhalb der Organisationseinheit (OU) erstellen, den identischen CIDR-Bereich zu. Aufgrund der standardmäßigen Überschneidung von IP-Adressen erlaubt diese Implementierung zunächst kein Peering zwischen Ihren AWS Control Tower Tower-VPCs in der Organisationseinheit.

Subnets

Innerhalb jeder VPC teilt AWS Control Tower Ihren angegebenen CIDR-Bereich gleichmäßig in neun Subnetze auf (außer in USA West (Nordkalifornien), wo es sich um sechs Subnetze handelt). Keines der Subnetze innerhalb einer VPC überschneidet sich. Daher können sie alle innerhalb der VPC miteinander kommunizieren.

Zusammenfassend lässt sich sagen, dass die Subnetzkommunikation innerhalb der VPC standardmäßig uneingeschränkt ist. Die bewährte Methode für die Steuerung der Kommunikation zwischen Ihren VPC-Subnetzen besteht bei Bedarf darin, Zugriffskontrolllisten mit Regeln einzurichten, die den zulässigen Datenfluss definieren. Verwenden Sie Sicherheitsgruppen für die Kontrolle des Datenverkehrs zwischen bestimmten Instances. Weitere Informationen zur Einrichtung von Sicherheitsgruppen und Firewalls in AWS Control Tower finden Sie unter Exemplarische Vorgehensweise: Sicherheitsgruppen in AWS Control Tower mit AWS Firewall Manager einrichten.

Peering

AWS Control Tower schränkt das VPC-zu-VPC-Peering für die Kommunikation zwischen mehreren VPCs nicht ein. Standardmäßig haben jedoch alle AWS Control Tower VPCs denselben Standard-CIDR-Bereich. Um Peering zu unterstützen, können Sie den CIDR-Bereich in den Einstellungen von Account Factory so ändern, dass sich die IP-Adressen nicht überschneiden.

Wenn Sie den CIDR-Bereich in den Einstellungen von Account Factory ändern, wird allen neuen Konten, die anschließend von AWS Control Tower (mithilfe von Account Factory) erstellt werden, der neue CIDR-Bereich zugewiesen. Die alten Konten werden nicht aktualisiert. Sie können beispielsweise ein Konto erstellen, dann den CIDR-Bereich ändern und ein neues Konto erstellen. Die VPCs, die diesen beiden Konten zugeordnet sind, können per Peering verbunden werden. Peering ist möglich, da ihre IP-Adressbereiche nicht identisch sind.