本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Control Tower 和 VPCs概觀
以下是有關 AWS Control Tower VPCs的一些基本事實:
-
當您在 Account Factory 中佈建帳戶時,AWS Control Tower 建立的 VPC 與 AWS 預設 VPC 不同。
-
當 AWS Control Tower 在支援 AWS 的區域設定新帳戶時,AWS Control Tower 會自動刪除預設 AWS VPC,並設定 AWS Control Tower 設定的新 VPC。
-
每個 AWS Control Tower 帳戶都可以有一個由 AWS Control Tower 建立的 VPC。帳戶可以在帳戶限制內擁有額外的 AWS VPCs。
-
每個 AWS Control Tower VPC 在所有區域中都有三個可用區域,美國西部 (加利佛尼亞北部) 區域除外
us-west-1,以及 中的兩個可用區域us-west-1。根據預設,各可用區域會指派一個公有子網路和兩個私有子網路。因此,在美國西部 (加利佛尼亞北部) 以外的區域中,每個 AWS Control Tower VPC 預設包含九個子網路,分為三個可用區域。在美國西部 (加利佛尼亞北部),六個子網路分為兩個可用區域。 -
您 AWS Control Tower VPC 中的每個子網路都會指派一個大小相等的唯一範圍。
-
VPC 中的子網路數量可以設定。如需如何變更 VPC 子網路組態的詳細資訊,請參閱 Account Factory 主題。
-
由於 IP 地址不重疊,因此 AWS Control Tower VPC 內的六個或九個子網路可以不受限制的方式互相通訊。
使用 VPCs 時,AWS Control Tower 在區域層級沒有區別。每個子網路都是從您指定的確切 CIDR 範圍配置。VPC 子網路可以存在於任何區域。
備註
管理 VPC 成本
如果您設定 Account Factory VPC 組態,以便在佈建新帳戶時啟用公有子網路,則 Account Factory 會設定 VPC 來建立 NAT Gateway。Amazon VPC 將向您收取您的使用費用。
VPC 和控制設定
如果您在啟用 VPC 網際網路存取設定的情況下佈建 Account Factory 帳戶,該 Account Factory 設定會覆寫控制項 不允許客戶管理的 Amazon VPC 執行個體存取網際網路。若要避免啟用新佈建帳戶的網際網路存取,您必須在 Account Factory 中變更設定。如需詳細資訊,請參閱逐步解說:不使用 VPC 設定 AWS Control Tower。
