Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Überblick über AWS Control Tower und VPCs
<a name="vpc-concepts"></a>

Hier sind einige wichtige Fakten über AWS Control Tower VPCs:
+ Die von AWS Control Tower bei der Bereitstellung eines Kontos in Account Factory erstellte VPC entspricht nicht der AWS Standard-VPC.
+ Wenn AWS Control Tower ein neues Konto in einer unterstützten AWS Region einrichtet, löscht AWS Control Tower automatisch die AWS Standard-VPC und richtet eine neue, von AWS Control Tower konfigurierte VPC ein.
+ Für jedes AWS Control Tower-Konto ist eine VPC zulässig, die von AWS Control Tower erstellt wurde. Ein Konto kann AWS VPCs innerhalb des Kontolimits zusätzliche Konten haben.
+ Jede AWS Control Tower VPC hat drei Availability Zones in allen Regionen außer der Region USA West (Nordkalifornien) und zwei Availability Zones in`us-west-1`. `us-west-1` Standardmäßig werden jeder Availability Zone ein öffentliches Subnetz und zwei private Subnetze zugeteilt. Daher enthält in Regionen mit Ausnahme der USA West (Nordkalifornien) jede AWS Control Tower VPC standardmäßig neun Subnetze, die auf drei Availability Zones aufgeteilt sind. In USA West (Nordkalifornien) sind sechs Subnetze auf zwei Availability Zones aufgeteilt.
+ Jedem der Subnetze in Ihrer AWS Control Tower VPC wird ein eindeutiger Bereich gleicher Größe zugewiesen.
+ Die Anzahl der Subnetze in einer VPC ist konfigurierbar. Weitere Informationen zum Ändern der VPC-Subnetzkonfiguration finden Sie im Thema [Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Da sich die IP-Adressen nicht überschneiden, können die sechs oder neun Subnetze innerhalb Ihrer AWS Control Tower VPC uneingeschränkt miteinander kommunizieren.

Bei der Arbeit mit VPCs unterscheidet AWS Control Tower nicht auf regionaler Ebene. Jedem Subnetz wird genau aus dem CIDR-Bereich zugewiesen, den Sie angeben. Die VPC-Subnetze können in jeder Region vorhanden sein.

**Hinweise**

**VPC-Kosten verwalten**  
Wenn Sie die Account Factory-VPC-Konfiguration so einrichten, dass öffentliche Subnetze bei der Bereitstellung eines neuen Kontos aktiviert werden, konfiguriert Account Factory VPC so, dass ein NAT-Gateway erstellt wird. Seine Nutzung wird Ihnen von Amazon VPC in Rechnung gestellt.

**VPC- und Steuerungseinstellungen**  
Wenn Sie Account Factory Factory-Konten mit aktivierten VPC-Internetzugriffseinstellungen bereitstellen, hat diese Account Factory Factory-Einstellung Vorrang vor der Einstellung [Internetzugriff verbieten für eine von einem Kunden verwaltete Amazon VPC-Instance](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access). Um zu verhindern, dass der Internetzugang für neu bereitgestellte Konten aktiviert wird, müssen Sie die Einstellung in Account Factory ändern. Weitere Informationen finden Sie unter [Exemplarische Vorgehensweise: Konfiguration von AWS Control Tower ohne VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).

# CIDR und Peering für VPC und AWS Control Tower
<a name="vpc-ct-cidr"></a>

Dieser Abschnitt richtet sich in erster Linie an Netzwerkadministratoren. Der Netzwerkadministrator Ihres Unternehmens ist in der Regel die Person, die den gesamten CIDR-Bereich für Ihre AWS Control Tower Tower-Organisation auswählt. Der Netzwerkadministrator weist dann Subnetze aus diesem Bereich für bestimmte Zwecke zu.

Wenn Sie einen CIDR-Bereich für Ihre VPC auswählen, validiert AWS Control Tower die IP-Adressbereiche gemäß der RFC 1918-Spezifikation. Account Factory ermöglicht einen CIDR-Block von bis zu folgenden `/16` Bereichen: 
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`(nur wenn Ihr Internetanbieter die Nutzung dieses Bereichs zulässt)

Das `/16`-Trennzeichen erlaubt bis zu 65 536 verschiedene IP-Adressen.

Sie können beliebige gültige IP-Adressen aus den folgenden Bereichen zuweisen:
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(nicht IPs außerhalb der `192.168` Reichweite)

Wenn der von Ihnen angegebene Bereich außerhalb dieser Werte liegt, gibt AWS Control Tower eine Fehlermeldung aus.

Der Standard-CIDR-Bereich ist `172.31.0.0/16`.

Wenn AWS Control Tower eine VPC mit dem von Ihnen ausgewählten CIDR-Bereich erstellt, weist es *jeder VPC für jedes* Konto, das Sie innerhalb der Organisationseinheit (OU) erstellen, den identischen CIDR-Bereich zu. Aufgrund der standardmäßigen Überschneidung von IP-Adressen erlaubt diese Implementierung zunächst kein Peering zwischen Ihren AWS Control Tower VPCs in der Organisationseinheit.

**Subnets**

Innerhalb jeder VPC teilt AWS Control Tower Ihren angegebenen CIDR-Bereich gleichmäßig in neun Subnetze auf (außer in USA West (Nordkalifornien), wo es sich um sechs Subnetze handelt). Keines der Subnetze innerhalb einer VPC überschneidet sich. Daher können sie alle innerhalb der VPC miteinander kommunizieren.

Zusammenfassend lässt sich sagen, dass die Subnetzkommunikation innerhalb der VPC standardmäßig uneingeschränkt ist. Die bewährte Methode für die Steuerung der Kommunikation zwischen Ihren VPC-Subnetzen besteht bei Bedarf darin, Zugriffskontrolllisten mit Regeln einzurichten, die den zulässigen Datenfluss definieren. Verwenden Sie Sicherheitsgruppen für die Kontrolle des Datenverkehrs zwischen bestimmten Instances. Weitere Informationen zur Einrichtung von Sicherheitsgruppen und Firewalls in AWS Control Tower finden Sie unter [Exemplarische Vorgehensweise: Sicherheitsgruppen in AWS Control Tower mit AWS Firewall Manager einrichten](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).

**Peering**

AWS Control Tower schränkt das VPC-to-VPC Peering für die Kommunikation zwischen mehreren VPCs Personen nicht ein. Standardmäßig VPCs haben jedoch alle AWS Control Tower denselben Standard-CIDR-Bereich. Um Peering zu unterstützen, können Sie den CIDR-Bereich in den Einstellungen von Account Factory so ändern, dass sich die IP-Adressen nicht überschneiden.

Wenn Sie den CIDR-Bereich in den Einstellungen von Account Factory ändern, wird allen neuen Konten, die anschließend von AWS Control Tower (mithilfe von Account Factory) erstellt werden, der neue CIDR-Bereich zugewiesen. Die alten Konten werden nicht aktualisiert. Sie können beispielsweise ein Konto erstellen, dann den CIDR-Bereich ändern und ein neues Konto erstellen, und die diesen beiden Konten VPCs zugewiesenen Konten können per Peering miteinander verknüpft werden. Peering ist möglich, da ihre IP-Adressbereiche nicht identisch sind.