Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
CIDR e peering per VPC e AWS Control Tower
Questa sezione è destinata principalmente agli amministratori di rete. L'amministratore di rete della tua azienda di solito è la persona che seleziona l'intervallo CIDR complessivo per la tua organizzazione AWS Control Tower. L'amministratore di rete alloca quindi le sottoreti a partire da tale intervallo per scopi specifici.
Quando scegli un intervallo CIDR per il tuo VPC, AWS Control Tower convalida gli intervalli di indirizzi IP in base alla specifica RFC 1918. Account Factory consente un blocco CIDR fino /16 a un massimo di intervalli di:
-
10.0.0.0/8 -
172.16.0.0/12 -
192.168.0.0/16 -
100.64.0.0/10(solo se il tuo provider Internet consente l'utilizzo di questo intervallo)
Il delimitatore /16 consente fino a 65.536 indirizzi IP distinti.
È possibile assegnare qualsiasi indirizzo IP valido dai seguenti intervalli:
-
10.0.x.x to 10.255.x.x -
172.16.x.x – 172.31.x.x -
192.168.0.0 – 192.168.255.255( nessun IP al di fuori dell'intervallo192.168)
Se l'intervallo specificato non rientra in questi valori, AWS Control Tower fornisce un messaggio di errore.
L'intervallo CIDR predefinito è 172.31.0.0/16.
Quando AWS Control Tower crea un VPC utilizzando l'intervallo CIDR selezionato, assegna lo stesso intervallo CIDR a ogni VPC per ogni account creato all'interno dell'unità organizzativa (OU). A causa della sovrapposizione predefinita degli indirizzi IP, questa implementazione inizialmente non consente il peering tra nessuno dei tuoi VPC AWS Control Tower nell'unità organizzativa.
Sottoreti
All'interno di ogni VPC, AWS Control Tower divide l'intervallo CIDR specificato in modo uniforme in nove sottoreti (tranne negli Stati Uniti occidentali (California settentrionale), dove è composto da sei sottoreti). Nessuna delle sottoreti all'interno di un VPC si sovrappone. Pertanto, tutti possono comunicare tra loro, all'interno del VPC.
In sintesi, per impostazione predefinita, la comunicazione tra sottoreti all'interno del VPC è illimitata. La best practice per controllare la comunicazione tra le sottoreti VPC, se necessario, è quella di configurare liste di controllo degli accessi con regole che definiscono il flusso di traffico consentito. Per il controllo del traffico tra istanze specifiche, utilizza i gruppi di sicurezza. Per ulteriori informazioni sulla configurazione di gruppi di sicurezza e firewall in AWS Control Tower, consulta Walkthrough: Configurare i gruppi di sicurezza in AWS Control Tower With Firewall Manager AWS.
Peering
AWS Control Tower non limita il peering da VPC a VPC per la comunicazione tra più VPC. Tuttavia, per impostazione predefinita, tutti i VPC AWS Control Tower hanno lo stesso intervallo CIDR predefinito. Per supportare il peering, è possibile modificare l'intervallo CIDR nelle impostazioni di Account Factory in modo che gli indirizzi IP non si sovrappongano.
Se modifichi l'intervallo CIDR nelle impostazioni di Account Factory, a tutti i nuovi account che vengono successivamente creati da AWS Control Tower (utilizzando Account Factory) viene assegnato il nuovo intervallo CIDR. I vecchi account non vengono aggiornati. Ad esempio, è possibile creare un account, quindi modificare l'intervallo CIDR e creare un nuovo account e i VPC allocati a questi due account possono essere collegati in peering. Il peering è possibile perché i relativi intervalli di indirizzi IP non sono identici.
