Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
CIDR et peering pour VPC et AWS Control Tower
Cette section est destinée principalement aux administrateurs réseau. L'administrateur réseau de votre entreprise est généralement la personne qui sélectionne la plage d'adresses CIDR globale pour votre organisation AWS Control Tower. L'administrateur réseau alloue ensuite des sous-réseaux à partir de cette plage à des fins spécifiques.
Lorsque vous choisissez une plage d'adresses CIDR pour votre VPC, AWS Control Tower valide les plages d'adresses IP conformément à la spécification RFC 1918. Account Factory autorise un bloc CIDR allant jusqu'/16à une valeur comprise entre :
-
10.0.0.0/8 -
172.16.0.0/12 -
192.168.0.0/16 -
100.64.0.0/10(uniquement si votre fournisseur d'accès Internet autorise l'utilisation de cette plage)
Le délimiteur /16 permet jusqu'à 65 536 adresses IP distinctes.
Vous pouvez attribuer des adresses IP valides à partir des plages suivantes :
-
10.0.x.x to 10.255.x.x -
172.16.x.x – 172.31.x.x -
192.168.0.0 – 192.168.255.255( pas d'IP en dehors de la plage192.168)
Si la plage que vous spécifiez se situe en dehors de ces valeurs, AWS Control Tower affiche un message d'erreur.
La plage d'adresses CIDR par défaut est 172.31.0.0/16.
Lorsqu'AWS Control Tower crée un VPC à l'aide de la plage d'adresses CIDR que vous sélectionnez, elle attribue la même plage d'adresses CIDR à chaque VPC pour chaque compte que vous créez au sein de l'unité organisationnelle (UO). En raison du chevauchement par défaut des adresses IP, cette implémentation n'autorise initialement pas le peering entre vos VPC AWS Control Tower au sein de l'unité d'organisation.
Sous-réseaux
Au sein de chaque VPC, AWS Control Tower divise la plage de CIDR spécifiée de manière égale en neuf sous-réseaux (sauf dans l'ouest des États-Unis (Californie du Nord), où elle est de six sous-réseaux). Aucun des sous-réseaux au sein d'un VPC ne se chevauche. Ils peuvent donc tous communiquer entre eux, au sein du VPC.
En résumé, par défaut, les communications de sous-réseau au sein du VPC ne sont pas restreintes. La bonne pratique pour contrôler la communication entre vos sous-réseaux VPC, si nécessaire, consiste à configurer les listes de contrôle d'accès avec des règles qui définissent le flux de trafic autorisé. Utilisez des groupes de sécurité pour contrôler le trafic entre des instances spécifiques. Pour plus d'informations sur la configuration des groupes de sécurité et des pare-feux dans AWS Control Tower, consultez la section Procédure pas à pas : configurer des groupes de sécurité dans AWS Control Tower With AWS Firewall Manager.
Appairage
AWS Control Tower ne limite pas le peering VPC à VPC pour les communications entre plusieurs VPC. Cependant, par défaut, tous les VPC AWS Control Tower ont la même plage d'adresses CIDR par défaut. Pour prendre en charge le peering, vous pouvez modifier la plage CIDR dans les paramètres d'Account Factory afin que les adresses IP ne se chevauchent pas.
Si vous modifiez la plage d'adresses CIDR dans les paramètres d'Account Factory, la nouvelle plage d'adresses CIDR est attribuée à tous les nouveaux comptes créés ultérieurement par AWS Control Tower (à l'aide de Account Factory). Les anciens comptes ne sont pas mis à jour. Par exemple, vous pouvez créer un compte, modifier la plage d'adresses CIDR et créer un nouveau compte, et les VPC alloués à ces deux comptes peuvent être appairés. L'appairage est possible, car leurs plages d'adresses IP ne sont pas identiques.
