VPC 및 AWS Control Tower용 CIDR 및 피어링

이 섹션은 주로 네트워크 관리자용입니다. 회사의 네트워크 관리자는 일반적으로 AWS Control Tower 조직에 대한 전체 CIDR 범위를 선택하는 사람입니다. 네트워크 관리자는 특정한 목적에 맞게 해당 범위 내에서 서브넷을 할당합니다.

VPC에 대한 CIDR 범위를 선택하면 AWS Control Tower는 RFC 1918 사양에 따라 IP 주소 범위를 검증합니다. Account Factory는 다음 범위에서 최대 /16의 CIDR 블록을 허용합니다.

• 10.0.0.0/8

• 172.16.0.0/12

• 192.168.0.0/16

• 100.64.0.0/10(인터넷 공급자가 이 범위의 사용을 허용하는 경우에만 해당)

/16 구분 기호는 최대 65,536개의 고유 IP 주소를 허용합니다.

다음 범위에서 유효한 IP 주소를 할당할 수 있습니다.

• 10.0.x.x to 10.255.x.x

• 172.16.x.x – 172.31.x.x

• 192.168.0.0 – 192.168.255.255(192.168 범위를 벗어난 IP 없음)

지정한 범위가 이를 벗어나는 경우, AWS Control Tower가 오류 메시지를 표시합니다.

기본 CIDR 범위는 172.31.0.0/16입니다.

AWS Control Tower가 선택한 CIDR 범위를 사용하여 VPC를 생성할 때 동일한 CIDR 범위를 조직 단위(OU) 내에서 생성한 모든 계정에 대한 모든 VPC에 할당합니다. IP 주소의 기본 중복으로 인해 이 구현에서는 처음에 OU의 AWS Control Tower VPC 간에 피어링을 허용하지 않습니다.

서브넷

각 VPC 내에서 AWS Control Tower는 지정된 CIDR 범위를 9개의 서브넷에 균등하게 나눕니다(서브넷이 6개인 미국 서부(캘리포니아 북부) 제외). VPC 내의 서브넷은 중첩되지 않습니다. 따라서 모두 VPC 내에서 서로 통신할 수 있습니다.

요약하자면 기본적으로 VPC 내에서 서브넷 통신은 무제한입니다. VPC 서브넷 간의 통신을 제어하는 모범 사례는 필요한 경우 허용된 트래픽 흐름을 정의하는 규칙으로 액세스 제어 목록을 설정하는 것입니다. 특정 인스턴스 간의 트래픽을 제어하기 위해 보안 그룹을 사용합니다. AWS Control Tower에서 보안 그룹 및 방화벽을 설정하는 방법에 대한 자세한 내용은 연습: AWS Firewall Manager를 사용하여 AWS Control Tower에서 보안 그룹 설정을 참조하세요.

피어링

AWS Control Tower는 여러 VPC 간의 통신을 위한 VPC 간 피어링을 제한하지 않습니다. 그러나 기본적으로 모든 AWS Control Tower VPC의 기본 CIDR 범위는 동일합니다. 피어링을 지원하기 위해 Account Factory 설정에서 CIDR 범위를 수정하여 IP 주소가 겹치지 않도록 할 수 있습니다.

Account Factory의 설정에서 CIDR 범위를 변경하면 이후 AWS Control Tower에서 생성(Account Factory 사용)하는 모든 새 계정에 새 CIDR 범위가 할당됩니다. 이전 계정은 업데이트되지 않습니다. 예를 들어 계정을 생성한 다음 CIDR 범위를 변경하고 새 계정을 생성하면 두 계정에 할당된 VPC를 피어링할 수 있습니다. IP 주소 범위가 동일하지 않으므로 피어링이 가능합니다.