本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
網路組態
傳輸閘道 ASN 號碼
這是邊界閘道協定 (BGP) 工作階段 AWS 端的自治系統編號 (ASN),必須是唯一的,且不能與 Direct Connect 或 VPN 相同的系統編號。 16 位元 ASNs 的範圍為 64512 到 65534 (含)。
您的 AMS 多帳戶登陸區域基礎設施 VPC CIDR 範圍。
這些 CIDR 範圍不能與您的內部部署網路重疊
您可以包含 /22 CIDR 範圍,或個別提供每個 VPC CIDR。請注意,只允許這些 CIDR 範圍:
10.0.0.0 ‒ 10.255.255.255 (10/8 字首)
172.16.0.0 ‒ 172.31.255.255 (172.16/12 字首)
192.168.0.0 ‒ 192.168.255.255 (192.168/16 字首)
請注意,可能無法使用 IP 範圍 198.18.0.0/15 (由 AWS Directory Service 保留)。
核心基礎設施 VPC CIDR 範圍 (建議 /22 範圍)
網路 VPC CIDR 範圍 (建議 /24 範圍)
共享服務 VPC CIDR 範圍 (建議 /23 範圍)
DMZ VPC CIDR 範圍 (建議 /25 範圍)
VPN ECMP (啟用或停用)
若您要在 VPN 連線中取得等價多路徑 (ECMP) 路由支援,請在 VPN ECMP support (VPN ECMP 支援) 中選擇 enable (啟用)。若連接公告相同 CIDR,則流量就是在其之間平均分佈。
網路存取控制清單 (NACL)
網路存取控制清單 (NACL) 是 VPC 的選用安全層,可做為防火牆來控制傳入和傳出一或多個子網路的流量。您可以使用與您的安全群組相似的規則來設定網路 ACL,以為您的 VPC 新增額外的安全 layer。如需安全群組和網路 ACLs 之間差異的詳細資訊,請參閱安全群組和網路 ACLs的比較。
不過,在 AMS 多帳戶登陸區域中,為了讓 AMS 有效管理和監控基礎設施,NACLs 的使用僅限於下列範圍:
多帳戶登陸區域核心帳戶不支援 NACLs:管理、聯網、共享服務、記錄和安全性。
多帳戶登陸區域應用程式帳戶支援 NACLs,只要它們只用作「拒絕」清單即可。此外,他們必須設定「允許全部」以確保 AMS 監控和管理操作。
在大規模的多帳戶環境中,您也可以利用集中式輸出防火牆等功能來控制 AMS 多帳戶登陸區域中的傳出流量和/或 AWS Transit Gateway 路由表,以隔離 VPCs之間的網路流量。
