适用于 VPC 和 AWS Control Tower 的 CIDR 和对等连接

本部分主要供网络管理员使用。您公司的网络管理员通常会为您的 AWS Control Tower 组织选择整体 CIDR 范围。然后，网络管理员在该范围内分配子网，用于特定用途。

当您选择 VPC 的 CIDR 范围时，AWS Control Tower 会根据 RFC 1918 规范验证 IP 地址范围。Account Factory 支持的 CIDR 块大小不得超过 /16，并且只能从以下范围中选择：

• 10.0.0.0/8

• 172.16.0.0/12

• 192.168.0.0/16

• 100.64.0.0/10（仅当您的互联网提供商准许使用此范围时）

/16 分隔符支持最多 65536 个不同的 IP 地址。

您可以分配以下范围中的任何有效的 IP 地址：

• 10.0.x.x to 10.255.x.x

• 172.16.x.x – 172.31.x.x

• 192.168.0.0 – 192.168.255.255（不 IPs 超出192.168范围）

如果您指定的范围超出该范围，AWS Control Tower 会提供一条错误消息。

默认的 CIDR 范围为 172.31.0.0/16。

当 AWS Control Tower 使用您选择的 CIDR 范围创建 VPC 时，它会向您在组织单位（OU）中创建的每个账户的每个 VPC 分配相同的 CIDR 范围。由于 IP 地址的默认重叠，此实现最初不允许 VPCs 在 OU 中的任何 AWS Control Tower 之间进行对等。

子网

在每个 VPC 中，AWS Control Tower 将您指定的 CIDR 范围平均划分为九个子网 [美国西部（北加利福尼亚）除外，该区域有六个子网]。VPC 中的所有子网都不会重叠。因此，在 VPC 中，它们能够互相通信。

总之，默认情况下，子网在 VPC 中的通信不受限制。控制 VPC 子网之间通信的最佳实践（如果需要）是设置访问控制列表，其中包含定义允许流量的规则。使用安全组控制具体实例间的流量。有关在 AWS Control Tower 中设置安全组和防火墙的更多信息，请参阅演练：使用防火 AWS 墙管理器在 AWS Control Tower 中设置安全组。

对等连接

AWS Control Tower 不限制多 VPC-to-VPC VPCs人之间的对等通信。但是，默认情况下，所有 AWS Control Tower 的默认 CIDR 范围 VPCs 都相同。要支持对等连接，您可以在 Account Factory 的设置中修改 CIDR 范围，这样 IP 地址就不会重叠。

如果您在 Account Factory 的设置中更改 CIDR 范围，则后来由 AWS Control Tower（使用 Account Factory）创建的所有新账户都会被分配新的 CIDR 范围。不会更新旧账户。例如，您可以创建一个账户，然后更改 CIDR 范围并创建一个新账户， VPCs 分配给这两个账户的 CIDR 可以进行对等互通。由于 IP 地址范围不同，因而可以实现对等连接。