CIDR e interconexión para VPC y AWS Control Tower - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CIDR e interconexión para VPC y AWS Control Tower

Esta sección está destinada principalmente a los administradores de red. El administrador de red de su empresa suele ser la persona que selecciona el rango de CIDR general para su organización de AWS Control Tower. A continuación, el administrador de red asigna subredes dentro de ese rango para fines específicos.

Cuando elige un rango de CIDR para la VPC, AWS Control Tower valida los rangos de direcciones IP de acuerdo con la especificación RFC 1918. El generador de cuentas permite un bloque de CIDR de hasta /16 en los siguientes rangos:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

  • 100.64.0.0/10 (solo si su proveedor de Internet permite el uso de este rango)

El delimitador /16 permite hasta 65 536 direcciones IP distintas.

Puede asignar cualquier dirección IP válida de los siguientes rangos:

  • 10.0.x.x to 10.255.x.x

  • 172.16.x.x – 172.31.x.x

  • 192.168.0.0 – 192.168.255.255(no IPs fuera del 192.168 rango)

Si el rango especificado está fuera de estos rangos, AWS Control Tower proporciona un mensaje de error.

El rango de CIDR predeterminado es 172.31.0.0/16.

Cuando AWS Control Tower crea una VPC con el rango de CIDR que ha seleccionado, asigna el rango de CIDR idéntico a cada VPC para cada cuenta que cree dentro de la unidad organizativa (OU). Debido a la superposición predeterminada de las direcciones IP, esta implementación inicialmente no permite la interconexión entre ninguna de las torres de control de AWS de VPCs la OU.

Subredes

Dentro de cada VPC, AWS Control Tower divide el rango de CIDR especificado de manera uniforme en nueve subredes (excepto en el oeste de EE. UU. (norte de California), donde hay seis subredes). Ninguna de las subredes de una VPC se solapan. Por lo tanto, todos pueden comunicarse entre sí dentro de la VPC

En resumen, de forma predeterminada, la comunicación de subred dentro de la VPC no está restringida. La práctica recomendada para controlar la comunicación entre las subredes de VPC, si es necesario, consiste en configurar listas de control de acceso con reglas que definan el flujo de tráfico permitido. Utilice grupos de seguridad para controlar el tráfico entre instancias específicas. Para obtener más información sobre la configuración de grupos de seguridad y firewalls en AWS Control Tower, consulte Tutorial: Configurar grupos de seguridad en AWS Control Tower con AWS Firewall Manager.

Intercambio de tráfico

AWS Control Tower no restringe la VPC-to-VPC interconexión para la comunicación entre múltiples VPCs. Sin embargo, de forma predeterminada, todas las torres de control de AWS VPCs tienen el mismo rango de CIDR predeterminado. Para admitir la interconexión, puede modificar el rango de CIDR en la configuración del generador de cuentas para que las direcciones IP no se superpongan.

Si cambia el rango de CIDR en la configuración del generador de cuentas, a todas las cuentas nuevas creadas posteriormente por AWS Control Tower (utilizando el generador de cuentas) se les asigna el nuevo rango de CIDR. Las cuentas antiguas no se actualizan. Por ejemplo, puede crear una cuenta y, a continuación, cambiar el rango de CIDR y crear una cuenta nueva, y lo VPCs asignado a esas dos cuentas se puede emparejar. La interconexión es posible porque sus rangos de direcciones IP no son idénticos.