Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
CIDR e interconexión para VPC y AWS Control Tower
Esta sección está destinada principalmente a los administradores de red. El administrador de red de su empresa suele ser la persona que selecciona el rango general de CIDR para su organización de la Torre de Control de AWS. A continuación, el administrador de red asigna subredes dentro de ese rango para fines específicos.
Cuando elige un rango de CIDR para su VPC, AWS Control Tower valida los rangos de direcciones IP de acuerdo con la especificación RFC 1918. Account Factory permite un bloque CIDR de hasta /16 los siguientes rangos:
-
10.0.0.0/8 -
172.16.0.0/12 -
192.168.0.0/16 -
100.64.0.0/10(solo si su proveedor de Internet permite el uso de este rango)
El delimitador /16 permite hasta 65 536 direcciones IP distintas.
Puede asignar cualquier dirección IP válida de los siguientes rangos:
-
10.0.x.x to 10.255.x.x -
172.16.x.x – 172.31.x.x -
192.168.0.0 – 192.168.255.255(sin IP fuera del rango192.168)
Si el rango que especifica está fuera de estos, la Torre de Control de AWS mostrará un mensaje de error.
El rango de CIDR predeterminado es 172.31.0.0/16.
Cuando AWS Control Tower crea una VPC con el rango de CIDR que seleccione, asigna el mismo rango de CIDR a cada VPC para cada cuenta que cree en la unidad organizativa (OU). Debido a la superposición predeterminada de direcciones IP, esta implementación inicialmente no permite la interconexión entre ninguna de las VPC de la Torre de Control de AWS en la OU.
Subredes
Dentro de cada VPC, la Torre de Control de AWS divide el rango de CIDR especificado de manera uniforme en nueve subredes (excepto en el oeste de EE. UU. (norte de California), donde hay seis subredes). Ninguna de las subredes de una VPC se solapan. Por lo tanto, todos pueden comunicarse entre sí, dentro de la VPC.
En resumen, de forma predeterminada, la comunicación de subred dentro de la VPC no está restringida. La práctica recomendada para controlar la comunicación entre las subredes de VPC, si es necesario, consiste en configurar listas de control de acceso con reglas que definan el flujo de tráfico permitido. Utilice grupos de seguridad para controlar el tráfico entre instancias específicas. Para obtener más información sobre la configuración de grupos de seguridad y firewalls en AWS Control Tower, consulte Tutorial: Configurar grupos de seguridad en AWS Control Tower con AWS Firewall Manager.
Intercambio de tráfico
AWS Control Tower no restringe la interconexión de VPC a VPC para la comunicación entre varias VPC. Sin embargo, de forma predeterminada, todas las VPC de AWS Control Tower tienen el mismo rango de CIDR predeterminado. Para admitir el emparejamiento, puede modificar el rango CIDR en la configuración de Account Factory para que las direcciones IP no se superpongan.
Si cambia el rango de CIDR en la configuración de Account Factory, a todas las cuentas nuevas que AWS Control Tower cree posteriormente (mediante Account Factory) se les asigna el nuevo rango de CIDR. Las cuentas antiguas no se actualizan. Por ejemplo, puede crear una cuenta y, a continuación, cambiar el rango de CIDR y crear una cuenta nueva, y las VPC asignadas a esas dos cuentas se pueden interconectar. La interconexión es posible porque sus rangos de direcciones IP no son idénticos.
