AWS Control Tower 和 VPC 概述

以下是有关 AWS Control Tower VPC 的一些基本信息：

当您在 Account Factory 中配置账户时，AWS Control Tower 创建的 VPC 与 AWS 默认 VPC 不同。
当 AWS Control Tower 在支持的 AWS 区域设置新账户时，AWS Control Tower 会自动删除默认 AWS VPC，并设置由 AWS Control Tower 配置的新 VPC。
每个 AWS Control Tower 账户只能有一个由 AWS Control Tower 创建的 VPC。一个账户可以在账户限制内拥有其他 AWS VPC。
每个 AWS Control Tower VPC 在除美国西部（加利福尼亚北部）地区之外的所有地区都有三个可用区us-west-1，并在其中有两个可用区us-west-1。默认情况下，每个可用区均分配有一个公有子网和两个私有子网。因此，在美国西部（加利福尼亚北部）以外的区域，每个 AWS Control Tower VPC 默认包含九个子网，这些子网分为三个可用区。在美国西部（加利福尼亚北部），六个子网被划分为两个可用区。
您的 AWS Control Tower VPC 中的每个子网都被分配了一个大小相等的唯一范围。
VPC 中的子网数量是可以配置的。有关如何更改 VPC 子网配置的更多信息，请参阅账户工厂主题。
由于 IP 地址不重叠，因此您的 AWS Control Tower VPC 中的六到九个子网可以不受限制地相互通信。

在使用 VPC 时，AWS Control Tower 在区域级别上没有区别。每个子网都是通过您指定的准确 CIDR 范围分配的。VPC 子网可存在于任何区域。

备注

如果您将 Account Factory VPC 配置设置为在配置新账户时启用公有子网，则 Account Factory 会将 VPC 配置为创建 NAT 网关。Amazon VPC 将对您的用量计费。

如果您在启用 VPC 互联网访问设置的情况下配置 Account Factor y 账户，则该 Account Factory 设置将覆盖 “禁止客户管理的 Amazon VPC 实例访问互联网” 控件。要避免为新配置的账户启用互联网访问功能，您必须在 Account Factory 中更改设置。有关更多信息，请参阅演练：在没有 VPC 的情况下配置 AWS Control Tower。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

联网

适用于 VPC 和 AWS Control Tower 的 CIDR 和对等互连