本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Control Tower 和虛擬私人雲端概觀
以下是有關 AWS Control Tower VPC 的一些重要事實:
-
AWS Control Tower 在 Account Factory 佈建帳戶時建立的 VPC 與 AWS 預設 VPC 不同。
-
當 AWS Control Tower 在支援的 AWS 區域中設定新帳戶時,AWS Control Tower 會自動刪除預設 AWS VPC,並設定 AWS Control Tower 設定的新 VPC。
-
每個 AWS Control Tower 帳戶允許一個由 AWS Control Tower 建立的 VPC。帳戶可以在帳戶限制內擁有額外的 AWS VPC。
-
每個 AWS Control Tower VPC 在美國西部 (加利佛尼亞北部) 區域以外的所有區域都有三個可用區域
us-west-1,以及中us-west-1的兩個可用區域。根據預設,各可用區域會指派一個公有子網路和兩個私有子網路。因此,在美國西部 (加利佛尼亞北部) 以外的區域中,每個 AWS Control Tower VPC 預設都包含九個子網路,分成三個可用區域。在美國西部 (加利佛尼亞北部),六個子網路分為兩個可用區域。 -
AWS Control Tower VPC 中的每個子網路都會指派一個大小相同的唯一範圍。
-
VPC 中的子網路數量可以設定。如需如何變更 VPC 子網路組態的詳細資訊,請參閱 Account Factory 主題。
-
由於 IP 地址不重疊,因此 AWS Control Tower VPC 中的六個或九個子網路可以不受限制地互相通訊。
使用 VPC 時,AWS Control Tower 在區域層級沒有區別。每個子網路都是從您指定的確切 CIDR 範圍配置。VPC 子網路可以存在於任何區域。
備註
管理 VPC 成本
如果您設定 Account Factory VPC 組態,以便在佈建新帳戶時啟用公用子網路,Account Factory 會設定 VPC 以建立 NAT 閘道。Amazon VPC 將向您收取您的使用費用。
VPC 和控制設定
如果在啟用 VPC 網際網路存取設定的情況下佈建帳戶 Factory 帳戶,則該 Account Factory 設定會覆寫控制不允許客戶管理的 Amazon VPC 執行個體存取網際網路項。若要避免為新佈建的帳戶啟用網際網路存取,您必須變更 Account Factory 中的設定。如需詳細資訊,請參閱 逐步解說:在沒有 VPC 的情況下設定 AWS Control Tower。
