As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
CIDR e emparelhamento para VPC e AWS Control Tower
Esta seção destina-se principalmente a administradores de rede. O administrador de rede da sua empresa geralmente é a pessoa que seleciona a faixa geral de CIDR para sua organização do AWS Control Tower. Depois, o administrador da rede aloca sub-redes dentro desse intervalo para fins específicos.
Quando você escolhe um intervalo CIDR para sua VPC, o AWS Control Tower valida os intervalos de endereços IP de acordo com a especificação RFC 1918. O Account Factory permite um bloco CIDR /16
de até intervalos de:
-
10.0.0.0/8
-
172.16.0.0/12
-
192.168.0.0/16
-
100.64.0.0/10
(somente se o seu provedor de internet permitir o uso dessa faixa)
O delimitador /16
permite até 65.536 endereços IP distintos.
É possível atribuir qualquer endereço IP válido dos seguintes intervalos:
-
10.0.x.x to 10.255.x.x
-
172.16.x.x – 172.31.x.x
-
192.168.0.0 – 192.168.255.255
(sem IPs fora do intervalo192.168
)
Se o intervalo que você especificar estiver fora desses, o AWS Control Tower fornecerá uma mensagem de erro.
O intervalo CIDR padrão é 172.31.0.0/16
.
Quando o AWS Control Tower cria uma VPC usando o intervalo CIDR selecionado, ele atribui o intervalo CIDR idêntico a cada VPC para cada conta que você cria dentro da unidade organizacional (OU). Devido à sobreposição padrão de endereços IP, essa implementação não permite inicialmente o emparelhamento entre nenhuma das suas VPCs do AWS Control Tower na OU.
Subredes
Dentro de cada VPC, o AWS Control Tower divide seu intervalo de CIDR especificado uniformemente em nove sub-redes (exceto no Oeste dos EUA (Norte da Califórnia), onde são seis sub-redes). Nenhuma das sub-redes se sobrepõe dentro de uma VPC. Portanto, todos eles podem se comunicar entre si, dentro da VPC.
Em resumo, por padrão, a comunicação de sub-rede dentro da VPC é irrestrita. A melhor prática para controlar a comunicação entre as sub-redes da VPC, se necessário, é configurar listas de controle de acesso com regras que definem o fluxo de tráfego permitido. Use grupos de segurança para controlar o tráfego entre instâncias específicas. Para obter mais informações sobre a configuração de grupos de segurança e firewalls no AWS Control Tower, consulte Passo a passo: Configurar grupos de segurança no AWS Control Tower com o Firewall Manager AWS.
Emparelhamento
O AWS Control Tower não restringe o emparelhamento de VPC para VPC para comunicação entre várias VPCs. No entanto, por padrão, todas as VPCs do AWS Control Tower têm o mesmo intervalo CIDR padrão. Para oferecer suporte ao peering, você pode modificar o intervalo CIDR nas configurações do Account Factory para que os endereços IP não se sobreponham.
Se você alterar o intervalo do CIDR nas configurações do Account Factory, todas as novas contas criadas posteriormente pelo AWS Control Tower (usando o Account Factory) receberão o novo intervalo do CIDR. As contas antigas não são atualizadas. Por exemplo, você pode criar uma conta, alterar o intervalo CIDR e criar uma nova conta, e as VPCs alocadas para essas duas contas podem ser emparelhadas. O emparelhamento é possível porque os intervalos de endereços IP não são idênticos.