VPC 및 AWS Control Tower를 위한 CIDR 및 피어링

이 섹션은 주로 네트워크 관리자용입니다. 일반적으로 회사의 네트워크 관리자는 AWS Control Tower 조직의 전체 CIDR 범위를 선택하는 사람입니다. 네트워크 관리자는 특정한 목적에 맞게 해당 범위 내에서 서브넷을 할당합니다.

VPC의 CIDR 범위를 선택하면 AWS Control Tower는 RFC 1918 사양에 따라 IP 주소 범위를 검증합니다. Account Factory는 다음 범위의 CIDR 차단을 허용합니다. /16

• 10.0.0.0/8

• 172.16.0.0/12

• 192.168.0.0/16

• 100.64.0.0/10(인터넷 공급자가 이 범위의 사용을 허용하는 경우에만 해당)

/16 구분 기호는 최대 65,536개의 고유 IP 주소를 허용합니다.

다음 범위에서 유효한 IP 주소를 할당할 수 있습니다.

• 10.0.x.x to 10.255.x.x

• 172.16.x.x – 172.31.x.x

• 192.168.0.0 – 192.168.255.255(192.168 범위를 벗어난 IP 없음)

지정한 범위가 범위를 벗어나는 경우, AWS Control Tower는 오류 메시지를 제공합니다.

기본 CIDR 범위는 172.31.0.0/16입니다.

AWS Control Tower는 사용자가 선택한 CIDR 범위를 사용하여 VPC를 생성하면 조직 단위 (OU) 내에 생성하는 모든 계정에 대해 모든 VPC에 동일한 CIDR 범위를 할당합니다. 기본적으로 중복되는 IP 주소로 인해 이 구현에서는 OU에 있는 AWS Control Tower VPC 간의 피어링이 처음에는 허용되지 않습니다.

서브넷

각 VPC 내에서 AWS Control Tower는 지정된 CIDR 범위를 9개의 서브넷으로 균등하게 나눕니다 (서브넷이 6개인 미국 서부 (캘리포니아 북부) 제외). VPC 내의 서브넷은 중첩되지 않습니다. 따라서 VPC 내에서 모두 서로 통신할 수 있습니다.

요약하면 VPC 내의 서브넷 통신은 기본적으로 제한이 없습니다. VPC 서브넷 간의 통신을 제어하는 모범 사례는 필요한 경우 허용된 트래픽 흐름을 정의하는 규칙으로 액세스 제어 목록을 설정하는 것입니다. 특정 인스턴스 간의 트래픽을 제어하기 위해 보안 그룹을 사용합니다. AWS Control Tower에서 보안 그룹 및 방화벽을 설정하는 방법에 대한 자세한 내용은 안내: Firewall AWS Manager를 사용하여 AWS Control Tower에서 보안 그룹 설정을 참조하십시오.

피어링

AWS Control Tower는 여러 VPC 간의 통신을 위한 VPC 간 피어링을 제한하지 않습니다. 하지만 기본적으로 모든 AWS Control Tower VPC의 기본 CIDR 범위는 동일합니다. 피어링을 지원하려면 Account Factory의 설정에서 CIDR 범위를 수정하여 IP 주소가 겹치지 않도록 할 수 있습니다.

Account Factory의 설정에서 CIDR 범위를 변경하면 이후에 AWS 컨트롤 타워에서 Account Factory를 사용하여 생성하는 모든 새 계정에 새 CIDR 범위가 할당됩니다. 이전 계정은 업데이트되지 않습니다. 예를 들어 계정을 생성한 다음 CIDR 범위를 변경하고 새 계정을 생성하면 두 계정에 할당된 VPC를 피어링할 수 있습니다. IP 주소 범위가 동일하지 않으므로 피어링이 가능합니다.