適用於 VPC 和 AWS Control Tower 的 CIDR 和對等互連

本節主要供網路管理員使用。您公司的網路管理員通常是為 AWS Control Tower 組織選擇整體 CIDR 範圍的人員。網路管理員之後會因特定目的，從該範圍內配置子網路。

當您為 VPC 選擇 CIDR 範圍時，AWS Control Tower 會根據 RFC 1918 規格驗證 IP 地址範圍。Account Factory 允許 CIDR 區塊達到/16以下範圍：

• 10.0.0.0/8

• 172.16.0.0/12

• 192.168.0.0/16

• 100.64.0.0/10（僅當您的互聯網提供商允許使用此範圍時）

/16 分隔符號允許多達 65,536 個不同的 IP 位址。

您可以從下列範圍指派任何有效的 IP 位址：

• 10.0.x.x to 10.255.x.x

• 172.16.x.x – 172.31.x.x

• 192.168.0.0 – 192.168.255.255 （沒有超出 192.168 範圍的 IP）

如果您指定的範圍超出這些範圍，AWS Control Tower 會提供錯誤訊息。

預設 CIDR 範圍為 172.31.0.0/16。

當 AWS Control Tower 使用您選取的 CIDR 範圍建立 VPC 時，會為您在組織單位 (OU) 內建立的每個帳戶指派相同的 CIDR 範圍給每個 VPC。由於 IP 地址的預設重疊，此實作一開始不允許在 OU 中的任何 AWS Control Tower VPC 之間進行對等互連。

子網

在每個 VPC 中，AWS Control Tower 會將您指定的 CIDR 範圍平均劃分為九個子網路 (美國西部 (加利佛尼亞北部) 除外，其中有六個子網路)。VPC 內沒有任何子網路重疊。因此，它們都可以在 VPC 內相互通信。

總而言之，根據預設，VPC 內的子網路通訊不受限制。必要時，控制 VPC 子網路之間通訊的最佳實務，就是使用定義允許之流量的規則設定存取控制清單。使用安全群組來控制特定執行個體之間的流量。如需在 AWS Control Tower 中設定安全群組和防火牆的詳細資訊，請參閱逐步解說：使用 AWS Firewall Manager 員在 AWS Control Tower 中設定安全群組。

對等互連

AWS Control Tower 不會限制 VPC 到 VPC 的對等互連，以便在多個 VPC 之間進行通訊。不過，依預設，所有 AWS Control Tower VPC 都具有相同的預設 CIDR 範圍。若要支援對等互連，您可以在 Account Factory 的設定中修改 CIDR 範圍，讓 IP 位址不會重疊。

如果您在 Account Factory 的設定中變更 CIDR 範圍，AWS Control Tower Town 隨後建立的所有新帳戶 (使用 Account Factory) 都會指派新的 CIDR 範圍。舊帳戶不會更新。例如，您可以建立一個帳戶， 然後變更 CIDR 範圍並建立新的帳戶 , 並互連配置給這兩個帳戶的 VPC。由於其 IP 地址範圍並不相同，因此可以互連。