CIDR e emparelhamento para VPC e AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CIDR e emparelhamento para VPC e AWS Control Tower

Esta seção destina-se principalmente a administradores de rede. O administrador de rede da sua empresa geralmente é a pessoa que seleciona a faixa geral de CIDR para sua organização do AWS Control Tower. Depois, o administrador da rede aloca sub-redes dentro desse intervalo para fins específicos.

Quando você escolhe um intervalo CIDR para sua VPC, o AWS Control Tower valida os intervalos de endereços IP de acordo com a especificação RFC 1918. O Account Factory permite um bloco CIDR /16 de até intervalos de:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

  • 100.64.0.0/10(somente se o seu provedor de internet permitir o uso dessa faixa)

O delimitador /16 permite até 65.536 endereços IP distintos.

É possível atribuir qualquer endereço IP válido dos seguintes intervalos:

  • 10.0.x.x to 10.255.x.x

  • 172.16.x.x – 172.31.x.x

  • 192.168.0.0 – 192.168.255.255 (sem IPs fora do intervalo 192.168)

Se o intervalo que você especificar estiver fora desses, o AWS Control Tower fornecerá uma mensagem de erro.

O intervalo CIDR padrão é 172.31.0.0/16.

Quando o AWS Control Tower cria uma VPC usando o intervalo CIDR selecionado, ele atribui o intervalo CIDR idêntico a cada VPC para cada conta que você cria dentro da unidade organizacional (OU). Devido à sobreposição padrão de endereços IP, essa implementação não permite inicialmente o emparelhamento entre nenhuma das suas VPCs do AWS Control Tower na OU.

Subredes

Dentro de cada VPC, o AWS Control Tower divide seu intervalo de CIDR especificado uniformemente em nove sub-redes (exceto no Oeste dos EUA (Norte da Califórnia), onde são seis sub-redes). Nenhuma das sub-redes se sobrepõe dentro de uma VPC. Portanto, todos eles podem se comunicar entre si, dentro da VPC.

Em resumo, por padrão, a comunicação de sub-rede dentro da VPC é irrestrita. A melhor prática para controlar a comunicação entre as sub-redes da VPC, se necessário, é configurar listas de controle de acesso com regras que definem o fluxo de tráfego permitido. Use grupos de segurança para controlar o tráfego entre instâncias específicas. Para obter mais informações sobre a configuração de grupos de segurança e firewalls no AWS Control Tower, consulte Passo a passo: Configurar grupos de segurança no AWS Control Tower com o Firewall Manager AWS.

Emparelhamento

O AWS Control Tower não restringe o emparelhamento de VPC para VPC para comunicação entre várias VPCs. No entanto, por padrão, todas as VPCs do AWS Control Tower têm o mesmo intervalo CIDR padrão. Para oferecer suporte ao peering, você pode modificar o intervalo CIDR nas configurações do Account Factory para que os endereços IP não se sobreponham.

Se você alterar o intervalo do CIDR nas configurações do Account Factory, todas as novas contas criadas posteriormente pelo AWS Control Tower (usando o Account Factory) receberão o novo intervalo do CIDR. As contas antigas não são atualizadas. Por exemplo, você pode criar uma conta, alterar o intervalo CIDR e criar uma nova conta, e as VPCs alocadas para essas duas contas podem ser emparelhadas. O emparelhamento é possível porque os intervalos de endereços IP não são idênticos.