CIDR dan Peering untuk VPC dan AWS Control Tower - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CIDR dan Peering untuk VPC dan AWS Control Tower

Bagian ini ditujukan terutama untuk administrator jaringan. Administrator jaringan perusahaan Anda biasanya adalah orang yang memilih rentang CIDR keseluruhan untuk organisasi AWS Control Tower Anda. Administrator jaringan kemudian mengalokasikan subnet dari dalam rentang tersebut untuk tujuan tertentu.

Saat Anda memilih rentang CIDR untuk VPC Anda, AWS Control Tower memvalidasi rentang alamat IP sesuai dengan spesifikasi RFC 1918. Account Factory memungkinkan blok CIDR hingga /16 dalam rentang:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

  • 100.64.0.0/10(hanya jika penyedia internet Anda mengizinkan penggunaan rentang ini)

/16Pembatas memungkinkan hingga 65.536 alamat IP yang berbeda.

Anda dapat menetapkan alamat IP yang valid dari rentang berikut:

  • 10.0.x.x to 10.255.x.x

  • 172.16.x.x – 172.31.x.x

  • 192.168.0.0 – 192.168.255.255(tidak ada IP di luar 192.168 jangkauan)

Jika rentang yang Anda tentukan berada di luar ini, AWS Control Tower memberikan pesan kesalahan.

Rentang CIDR default adalah172.31.0.0/16.

Saat AWS Control Tower membuat VPC menggunakan rentang CIDR yang Anda pilih, AWS Control Tower menetapkan rentang CIDR yang sama ke setiap VPC untuk setiap akun yang Anda buat dalam unit organisasi (OU). Karena tumpang tindih default alamat IP, implementasi ini pada awalnya tidak mengizinkan pengintipan di antara VPC AWS Control Tower Anda di OU.

Subnet

Dalam setiap VPC, AWS Control Tower membagi rentang CIDR yang Anda tentukan secara merata menjadi sembilan subnet (kecuali di AS Barat (California Utara), di mana itu adalah enam subnet). Tak satu pun dari subnet dalam VPC tumpang tindih. Oleh karena itu, mereka semua dapat berkomunikasi satu sama lain, di dalam VPC.

Singkatnya, secara default, komunikasi subnet dalam VPC tidak dibatasi. Praktik terbaik untuk mengendalikan komunikasi di antara subnet VPC Anda, jika diperlukan, adalah mengatur daftar kontrol akses dengan aturan yang menentukan arus lalu lintas yang diizinkan. Gunakan grup keamanan untuk mengontrol lalu lintas di antara instans tertentu. Untuk informasi selengkapnya tentang menyiapkan grup keamanan dan firewall di AWS Control Tower, lihat Panduan: Mengatur Grup Keamanan di AWS Control Tower Dengan Firewall Manager AWS.

Mengintip

AWS Control Tower tidak membatasi pengintipan VPC-ke-VPC untuk komunikasi di beberapa VPC. Namun, secara default, semua AWS Control Tower VPC memiliki rentang CIDR default yang sama. Untuk mendukung peering, Anda dapat memodifikasi rentang CIDR di pengaturan Account Factory sehingga alamat IP tidak tumpang tindih.

Jika Anda mengubah rentang CIDR di pengaturan Account Factory, semua akun baru yang kemudian dibuat oleh AWS Control Tower (menggunakan Account Factory) ditetapkan rentang CIDR baru. Akun lama tidak diperbarui. Misalnya, Anda dapat membuat akun, lalu mengubah rentang CIDR dan membuat akun baru, dan VPC yang dialokasikan ke kedua akun tersebut dapat diintip. Peering dimungkinkan karena rentang alamat IP mereka tidak identik.