本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
网络配置
Transit Gateway ASN 编号
这是边界网关协议 (BGP) 会话中 AWS 端的自治系统编号 (ASN),它必须是唯一的,并且不能与用于您的 Direct Connect 或 VPN 的相同。 16 位的范围为 64512 到 65534(含)。 ASNs
您的 AMS 多账户着陆区域基础设施 VPC CIDR 范围。
这些 CIDR 范围不能与您的本地网络重叠
您可以包含 /22 CIDR 范围,也可以单独提供每个 VPC CIDR。请注意,仅允许使用以下 CIDR 范围:
10.0.0.0 - 10.255.255.255(10/8 前缀)
172.16.0.0 - 172.31.255.255(172.16/12 前缀)
192.168.0.0 - 192.168.255.255(192.168/16 前缀)
请注意,不得使用 IP 范围 198.18.0.0/15(由 AWS Directory Service 保留)。
核心基础设施 VPC CIDR 范围(推荐 /22 范围)
网络 VPC CIDR 范围(推荐 /24 范围)
共享服务 VPC CIDR 范围(推荐 /23 范围)
DMZ VPC CIDR 范围(推荐 /25 范围)
VPN ECMP(启用或禁用)
对于 VPN ECMP support (VPN ECMP 支持),如果您在 VPN 连接之前需要等价多路径 (ECMP) 路由支持,则选择 enable (启用)。如果连接通告相同 CIDRs,则流量将在它们之间平均分配。
网络访问控制列表 (NACL)
网络访问控制列表 (NACL) 是您的 VPC 的可选安全层,它充当防火墙,用于控制进出一个或多个子网的流量。您可以使用 ACLs 与您的安全组相似的规则来设置网络,以便为您的 VPC 增加额外的安全层。有关安全组和网络之间差异的更多信息 ACLs,请参阅安全组和网络的比较 ACLs。
但是,在 AMS 多账户 landing zone 中,为了让 AMS 有效地管理和监控基础设施,使用 NACLs 仅限于以下范围:
NACLs 不支持多账户 landing zone 核心账户:管理、联网、共享服务、日志和安全。
NACLs 支持多账户 landing zone 应用程序帐户,前提是它们仅用作 “拒绝” 列表。此外,他们必须配置 “Allow All All”,以确保 AMS 的监控和管理运行。
在大规模的多账户环境中,您还可以利用集中式出口防火墙等功能来控制出站流量和/或 AMS 多账户着陆区中的 Tr AWS ansit Gateway 路由表来隔离网络流量。 VPCs
