本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Control Tower 概述和 VPCs
<a name="vpc-concepts"></a>

以下是有关 AWS Control Tower 的一些基本信息 VPCs：
+ 当您在 Account Factory 中配置账户时，AWS Control Tower 创建的 VPC 与AWS默认 VPC 不同。
+ 当 AWS Control Tower 在支持的AWS区域设置新账户时，AWS Control Tower 会自动删除默认AWS VPC，并设置由 AWS Control Tower 配置的新 VPC。
+ 每个 AWS Control Tower 账户只能有一个由 AWS Control Tower 创建的 VPC。一个账户可以在账户限额AWS VPCs 内有额外资金。
+ 每个 AWS Control Tower VPC 在除美国西部（北加利福尼亚）区域（`us-west-1`）之外的所有区域都有三个可用区，并在 `us-west-1` 有两个可用区。默认情况下，每个可用区均分配有一个公有子网和两个私有子网。因此，在除美国西部（北加利福尼亚）以外的区域，每个 AWS Control Tower VPC 默认包含九个子网，这些子网被划分到三个可用区内。在美国西部（北加利福尼亚），六个子网被划分到两个可用区。
+ 您的 AWS Control Tower VPC 中的每个子网都会获得一个唯一的大小相等的范围。
+ VPC 中的子网数量是可以配置的。有关如何更改 VPC 子网配置的更多信息，请参阅 [Account Factory 主题](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)。
+ 由于 IP 地址互不重叠，您的 AWS Control Tower VPC 中的六个或九个子网可以不受限制地互相通信。

使用时 VPCs，AWS Control Tower 在区域级别上没有区别。每个子网都是通过您指定的准确 CIDR 范围分配的。VPC 子网可存在于任何区域。

**备注**

**管理 VPC 成本**  
如果您将 Account Factory VPC 配置设置为在预置新账户时启用公有子网，则 Account Factory 会将 VPC 配置为创建 NAT 网关。Amazon VPC 将对您的用量计费。

**VPC 和控制设置**  
如果您在启用 VPC 互联网访问权限设置的情况下预置 Account Factory 账户，Account Factory 设置会覆盖以下控制设置：[禁止客户管理的 Amazon VPC 实例访问互联网](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access)。要避免为新预置的账户启用互联网访问权限，您必须在 Account Factory 中更改设置。有关更多信息，请参阅 [Walkthrough: Configure AWS Control Tower Without a VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)。