本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Control Tower 中的联网
<a name="networking"></a>

AWS Control Tower 通过以下方式为联网提供基本支持 VPCs。

如果 AWS Control Tower VPC 的默认配置或功能无法满足您的需求，则可以使用其他AWS服务来配置您的 VPC。有关如何使用 VPCs 和 AWS Control Tower 的更多信息，请参阅[构建可扩展且安全的多 VPC AWS网络基础设施](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf)。

AWS Control Tower 通过双堆栈 IP 地址支持 IPv4 和 IPv6 协议。有关更多信息，请参阅 [AWS Control Catalog 端点和配额](https://docs.aws.amazon.com//general/latest/gr/controlcatalog.html)以及 [AWS Control Tower 端点和配额](https://docs.aws.amazon.com//general/latest/gr/controltower.html)。

**相关主题**
+ 有关注册现有账户时 AWS Control Tower 的工作原理的信息 VPCs，请参阅[使用注册现有账户 VPCs](enroll-account.md#enroll-existing-accounts-with-vpcs)。
+ 使用 Account Factory，您可以预置包含 AWS Control Tower VPC 的账户，也可以预置没有 VPC 的账户。有关如何删除 AWS Control Tower VPC 或配置没有 VPC 的 AWS Control Tower 账户的信息，请参阅 [演练：配置不含 VPC 的 AWS Control Tower](configure-without-vpc.md)。
+ 有关如何更改账户设置的信息 VPCs，请参阅有关更新账户的 Acco [unt Factory 文档](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html#configuring-account-factory-with-VPC-settings)。
+ 有关使用联网和 VPCs AWS Control Tower 的更多信息，请参阅本*用户指南**相关信息*页面上有关[联网](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#networking)的部分。

## VPCs 以及 AWS Control Tower 中的AWS区域
<a name="vpcs-and-regions"></a>

作为账户创建的标准部分，在每个区域AWS创建AWS默认 VPC，即使是您不使用 AWS Control Tower 管理的区域也是如此。此默认 VPC 与 AWS Control Tower 为预配置账户创建的 VPC 不同，但是 IAM 用户可以访问非受监管区域中的AWS默认 VPC。

管理员可以启用区域拒绝控件，这样您的最终用户就无权连接到 *AWS Control Tower 支持的区域，而是连接到您监管区域之外的 * VPC。要配置该区域拒绝控件，请转到**登录区设置**页面，然后选择**修改设置**。

区域拒绝控件会阻止对非监管AWS 区域内大多数服务的 API 调用。有关更多信息，请参阅[AWS根据请求拒绝访问AWS 区域。](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html) 。

**注意**  
在不支持 AWS Control Tower 的区域中，区域拒绝控件可能不会阻止 IAM 用户连接到AWS默认 VPC。

或者，您可以移除非治理区域 VPCs 中的AWS默认设置。要列出某个区域中的默认 VPC，您可以使用类似于以下示例的 CLI 命令：

```
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
```

# AWS Control Tower 概述和 VPCs
<a name="vpc-concepts"></a>

以下是有关 AWS Control Tower 的一些基本信息 VPCs：
+ 当您在 Account Factory 中配置账户时，AWS Control Tower 创建的 VPC 与AWS默认 VPC 不同。
+ 当 AWS Control Tower 在支持的AWS区域设置新账户时，AWS Control Tower 会自动删除默认AWS VPC，并设置由 AWS Control Tower 配置的新 VPC。
+ 每个 AWS Control Tower 账户只能有一个由 AWS Control Tower 创建的 VPC。一个账户可以在账户限额AWS VPCs 内有额外资金。
+ 每个 AWS Control Tower VPC 在除美国西部（北加利福尼亚）区域（`us-west-1`）之外的所有区域都有三个可用区，并在 `us-west-1` 有两个可用区。默认情况下，每个可用区均分配有一个公有子网和两个私有子网。因此，在除美国西部（北加利福尼亚）以外的区域，每个 AWS Control Tower VPC 默认包含九个子网，这些子网被划分到三个可用区内。在美国西部（北加利福尼亚），六个子网被划分到两个可用区。
+ 您的 AWS Control Tower VPC 中的每个子网都会获得一个唯一的大小相等的范围。
+ VPC 中的子网数量是可以配置的。有关如何更改 VPC 子网配置的更多信息，请参阅 [Account Factory 主题](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)。
+ 由于 IP 地址互不重叠，您的 AWS Control Tower VPC 中的六个或九个子网可以不受限制地互相通信。

使用时 VPCs，AWS Control Tower 在区域级别上没有区别。每个子网都是通过您指定的准确 CIDR 范围分配的。VPC 子网可存在于任何区域。

**备注**

**管理 VPC 成本**  
如果您将 Account Factory VPC 配置设置为在预置新账户时启用公有子网，则 Account Factory 会将 VPC 配置为创建 NAT 网关。Amazon VPC 将对您的用量计费。

**VPC 和控制设置**  
如果您在启用 VPC 互联网访问权限设置的情况下预置 Account Factory 账户，Account Factory 设置会覆盖以下控制设置：[禁止客户管理的 Amazon VPC 实例访问互联网](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access)。要避免为新预置的账户启用互联网访问权限，您必须在 Account Factory 中更改设置。有关更多信息，请参阅 [Walkthrough: Configure AWS Control Tower Without a VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)。

# 适用于 VPC 和 AWS Control Tower 的 CIDR 和对等连接
<a name="vpc-ct-cidr"></a>

本部分主要供网络管理员使用。您公司的网络管理员通常会为您的 AWS Control Tower 组织选择整体 CIDR 范围。然后，网络管理员在该范围内分配子网，用于特定用途。

当您选择 VPC 的 CIDR 范围时，AWS Control Tower 会根据 RFC 1918 规范验证 IP 地址范围。Account Factory 支持的 CIDR 块大小不得超过 `/16`，并且只能从以下范围中选择：
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`（仅当您的互联网提供商准许使用此范围时）

`/16` 分隔符支持最多 65536 个不同的 IP 地址。

您可以分配以下范围中的任何有效的 IP 地址：
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`（不 IPs 超出`192.168`范围）

如果您指定的范围超出该范围，AWS Control Tower 会提供一条错误消息。

默认的 CIDR 范围为 `172.31.0.0/16`。

当 AWS Control Tower 使用您选择的 CIDR 范围创建 VPC 时，它会向您在组织单位（OU）中创建的每个账户的*每个 VPC* 分配相同的 CIDR 范围。由于 IP 地址的默认重叠，此实现最初不允许 VPCs 在 OU 中的任何 AWS Control Tower 之间进行对等。

**子网**

在每个 VPC 中，AWS Control Tower 将您指定的 CIDR 范围平均划分为九个子网 [美国西部（北加利福尼亚）除外，该区域有六个子网]。VPC 中的所有子网都不会重叠。因此，在 VPC 中，它们能够互相通信。

总之，默认情况下，子网在 VPC 中的通信不受限制。控制 VPC 子网之间通信的最佳实践（如果需要）是设置访问控制列表，其中包含定义允许流量的规则。使用安全组控制具体实例间的流量。有关在 AWS Control Tower 中设置安全组和防火墙的更多信息，请参阅[演练：使用防火AWS墙管理器在 AWS Control Tower 中设置安全组](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html)。

**对等连接**

AWS Control Tower 不限制多 VPC-to-VPC VPCs人之间的对等通信。但是，默认情况下，所有 AWS Control Tower 的默认 CIDR 范围 VPCs 都相同。要支持对等连接，您可以在 Account Factory 的设置中修改 CIDR 范围，这样 IP 地址就不会重叠。

如果您在 Account Factory 的设置中更改 CIDR 范围，则后来由 AWS Control Tower（使用 Account Factory）创建的所有新账户都会被分配新的 CIDR 范围。不会更新旧账户。例如，您可以创建一个账户，然后更改 CIDR 范围并创建一个新账户， VPCs 分配给这两个账户的 CIDR 可以进行对等互通。由于 IP 地址范围不同，因而可以实现对等连接。

# 使用接口端点（AWS PrivateLink）访问 AWS Control Tower
<a name="networking-privatelink"></a>

您可以使用 AWS PrivateLink 在您的 VPC 和 AWS Control Tower 之间创建私有连接。您可以像在您的 VPC 中一样访问 AWS Control Tower，无需使用互联网网关、NAT 设备、VPN Direct Connect 连接或连接。VPC 中的实例不需要公有 IP 地址即可访问 AWS Control Tower。

您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口，用作发往 AWS Control Tower 的流量的入口点。

有关更多信息，请参阅*AWS PrivateLink 指南 AWS PrivateLink*中的[AWS 服务 直通访问](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。

## AWS Control Tower 的注意事项
<a name="privatelink-vpc-endpoint-considerations"></a>

在为 AWS Control Tower 设置接口端点之前，请首先查看《AWS PrivateLink 指南》**中的[注意事项](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。

AWS Control Tower 支持通过接口端点调用其所有 API 操作。

## 为 AWS Control Tower 创建接口端点
<a name="privatelink-vpc-endpoint-create"></a>

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 AWS Control Tower 创建接口终端节点。有关更多信息，请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

使用以下服务名称为 AWS Control Tower 创建接口端点：

```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```

如果为接口端点启用私有 DNS，则可使用其默认区域 DNS 名称向 AWS Control Tower 发出 API 请求。例如 `controltower.us-east-1.amazonaws.com`。

## 为 VPC 端点创建端点策略
<a name="privatelink-vpc-endpoint-policy"></a>

端点策略是一种 IAM 资源，您可以将其附加到接口端点。默认端点策略允许通过接口端点完全访问 AWS Control Tower。要控制允许从 VPC 访问 AWS Control Tower 的权限，请将自定义端点策略附加到接口端点。

端点策略指定以下信息：
+ 可执行操作的主体（AWS 账户、IAM 用户和 IAM 角色）。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**示例：AWS Control Tower 操作的 VPC 端点策略**  
以下是自定义端点策略的示例。将此策略附加到接口端点时，其会向所有资源上的所有主体授予对列出的 AWS Control Tower 操作的访问权限。

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}
```

**注意**  
有关 AWS Control Tower API 操作的完整列表，请参阅 [AWS Control Tower API 参考](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html)。