CIDR et appairage pour VPC et AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CIDR et appairage pour VPC et AWS Control Tower

Cette section est destinée principalement aux administrateurs réseau. L'administrateur réseau de votre entreprise est généralement la personne qui sélectionne la plage CIDR globale pour votre organisation AWS Control Tower. L'administrateur réseau alloue ensuite des sous-réseaux à partir de cette plage à des fins spécifiques.

Lorsque vous choisissez une plage d'adresses CIDR pour votre VPC, AWS Control Tower valide les plages d'adresses IP conformément à la spécification RFC 1918. Account Factory autorise un bloc d'adresse CIDR allant jusqu'à/16dans les gammes de :

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

  • 100.64.0.0/10(uniquement si votre fournisseur d'accès Internet autorise l'utilisation de cette plage)

Le délimiteur /16 permet jusqu'à 65 536 adresses IP distinctes.

Vous pouvez attribuer des adresses IP valides à partir des plages suivantes :

  • 10.0.x.x to 10.255.x.x

  • 172.16.x.x – 172.31.x.x

  • 192.168.0.0 – 192.168.255.255 ( pas d'IP en dehors de la plage 192.168)

Si la plage que vous spécifiez est en dehors de celle-ci, AWS Control Tower fournit un message d'erreur.

La plage d'adresses CIDR par défaut est 172.31.0.0/16.

Quand AWS Control Tower crée un VPC à l'aide de la plage d'adresses CIDR que vous sélectionnez, il attribue la plage d'adresses CIDR identique àchaque VPCpour chaque compte que vous créez au sein de l'unité d'organisation. En raison du chevauchement par défaut des adresses IP, cette implémentation n'autorise initialement pas l'appairage entre vos VPC AWS Control Tower dans l'unité d'organisation.

Sous-réseaux

Au sein de chaque VPC, AWS Control Tower divise la plage d'adresses CIDR spécifiée de façon uniforme en neuf sous-réseaux. Aucun des sous-réseaux au sein d'un VPC ne se chevauche. Par conséquent, ils peuvent tous communiquer entre eux au sein du VPC.

En résumé, par défaut, la communication de sous-réseau au sein du VPC est illimitée. La bonne pratique pour contrôler la communication entre vos sous-réseaux VPC, si nécessaire, consiste à configurer les listes de contrôle d'accès avec des règles qui définissent le flux de trafic autorisé. Utilisez des groupes de sécurité pour contrôler le trafic entre des instances spécifiques. Pour de plus amples informations sur la configuration des groupes de sécurité et des pare-feu dans AWS Control Tower, veuillez consulterProcédure : Configurer des groupes de sécurité dans AWS Control Tower avec AWS Firewall Manager.

Appairage

AWS Control Tower ne restreint pas l'appairage de VPC à VPC pour les communications entre plusieurs VPC. Cependant, par défaut, tous les VPC AWS Control Tower ont la même plage d'adresses CIDR par défaut. Pour prendre en charge l'appairage, vous pouvez modifier la plage d'adresses CIDR dans les paramètres de Account Factory afin que les adresses IP ne se chevauchent pas.

Si vous modifiez la plage d'adresses CIDR dans les paramètres de Account Factory, tous les nouveaux comptes qui sont ensuite créés par AWS Control Tower (à l'aide de Account Factory) se voient attribuer la nouvelle plage d'adresses CIDR. Les anciens comptes ne sont pas mis à jour. Par exemple, vous pouvez créer un compte, modifier la plage d'adresses CIDR et créer un nouveau compte, et les VPC alloués à ces deux comptes peuvent être appairés. L'appairage est possible, car leurs plages d'adresses IP ne sont pas identiques.