适用于 VPC 和 AWS Control Tower 的 CIDR 和对等互连

本部分主要供网络管理员使用。贵公司的网络管理员通常是为您的 AWS Control Tower 组织选择整个 CIDR 范围的人。然后，网络管理员在该范围内分配子网，用于特定用途。

当您为 VPC 选择 CIDR 范围时，AWS Control Tower 会根据 RFC 1918 规范验证 IP 地址范围。Account Factory 允许/16的 CIDR 块不超过以下范围：

• 10.0.0.0/8

• 172.16.0.0/12

• 192.168.0.0/16

• 100.64.0.0/10（仅当您的互联网提供商允许使用此范围时）

/16 分隔符允许最多 65536 个不同的 IP 地址。

您可以分配以下范围中的任何有效的 IP 地址：

• 10.0.x.x to 10.255.x.x

• 172.16.x.x – 172.31.x.x

• 192.168.0.0 – 192.168.255.255（没有 192.168 范围之外的 IP）

如果您指定的范围超出了这些范围，AWS Control Tower 会提供一条错误消息。

默认的 CIDR 范围为 172.31.0.0/16。

当 AWS Control Tower 使用您选择的 CIDR 范围创建 VPC 时，它会为您在组织单位 (OU) 内创建的每个账户的每个 VPC 分配相同的 CIDR 范围。由于 IP 地址的默认重叠，此实现最初不允许在 OU 中的任何 AWS Control Tower VPC 之间进行对等。

子网

在每个 VPC 中，AWS Control Tower 将您指定的 CIDR 范围平均划分为九个子网（美国西部（加利福尼亚北部）除外，那里有六个子网）。VPC 中的所有子网都不会重叠。因此，它们都可以在 VPC 内相互通信。

总之，默认情况下，VPC 内的子网通信不受限制。控制 VPC 子网之间通信的最佳实践（如果需要）是设置访问控制列表，其中包含定义允许流量的规则。使用安全组控制具体实例间的流量。有关在 AWS Control Tower 中设置安全组和防火墙的更多信息，请参阅演练：使用防火 AWS 墙管理器在 AWS Control Tower 中设置安全组。

对等连接

AWS Control Tower 不限制 vpc 到 VPC 的对等互连，以便在多个 VPC 之间进行通信。但是，默认情况下，所有 AWS Control Tower 虚拟私有云都具有相同的默认 CIDR 范围。要支持对等互连，您可以在 Account Factory 的设置中修改 CIDR 范围，以便 IP 地址不会重叠。

如果您在 Account Factory 的设置中更改 CIDR 范围，则随后由 AWS Control Tower（使用 Account Factory）创建的所有新账户都将分配新的 CIDR 范围。不会更新旧账户。例如，您可以创建一个账户，然后更改 CIDR 范围并创建一个新账户，那么分配给这两个账户的 VPC 就可以实现对等了。由于 IP 地址范围不同，因而可以实现对等。