Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Sekilas tentang AWS Control Tower dan VPCs
Berikut adalah beberapa fakta penting tentang AWS Control Tower VPCs:
+ VPC yang dibuat oleh AWS Control Tower saat Anda menyediakan akun di Account Factory tidak sama dengan AWS VPC default.
+ Saat AWS Control Tower menyiapkan akun baru di AWS Wilayah yang didukung, AWS Control Tower secara otomatis menghapus AWS VPC default, dan menyiapkan VPC baru yang dikonfigurasi oleh AWS Control Tower.
+ Setiap akun AWS Control Tower diizinkan satu VPC yang dibuat oleh AWS Control Tower. Akun dapat memiliki tambahan AWS VPCs dalam batas akun.
+ Setiap AWS Control Tower VPC memiliki tiga Availability Zone di semua Wilayah kecuali Wilayah AS Barat (California Utara)`us-west-1`, dan dua Availability Zone di. `us-west-1` Secara default, setiap Availability Zone diberi satu subnet publik dan dua subnet pribadi. Oleh karena itu, di Wilayah kecuali US West (California N.) setiap AWS Control Tower VPC berisi sembilan subnet secara default, dibagi menjadi tiga Availability Zone. Di AS Barat (California Utara), enam subnet dibagi menjadi dua Availability Zone.
+ Setiap subnet di AWS Control Tower VPC Anda diberi rentang unik, dengan ukuran yang sama.
+ Jumlah subnet dalam VPC dapat dikonfigurasi. Untuk informasi selengkapnya tentang cara mengubah konfigurasi subnet VPC Anda, lihat topik [Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Karena alamat IP tidak tumpang tindih, enam atau sembilan subnet dalam AWS Control Tower VPC Anda dapat berkomunikasi satu sama lain secara tidak terbatas.
Saat bekerja sama VPCs, AWS Control Tower tidak membuat perbedaan di tingkat Wilayah. Setiap subnet dialokasikan dari rentang CIDR yang tepat yang Anda tentukan. Subnet VPC dapat ada di Wilayah mana pun.
**Catatan**
**Kelola biaya VPC**
Jika Anda menyetel konfigurasi VPC Account Factory sehingga subnet publik diaktifkan saat menyediakan akun baru, Account Factory akan mengonfigurasi VPC untuk membuat NAT Gateway. Anda akan ditagih untuk penggunaan Anda oleh Amazon VPC.
**VPC dan pengaturan kontrol**
Jika Anda menyediakan akun Account Factory dengan pengaturan akses internet VPC diaktifkan, setelan Account Factory akan mengganti kontrol Larang [akses internet untuk instans Amazon VPC yang](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access) dikelola oleh pelanggan. Untuk menghindari mengaktifkan akses internet untuk akun yang baru disediakan, Anda harus mengubah pengaturan di Account Factory. Untuk informasi selengkapnya, lihat [Panduan: Mengonfigurasi AWS Control Tower Tanpa VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).
# CIDR dan Peering untuk VPC dan AWS Control Tower
Bagian ini ditujukan terutama untuk administrator jaringan. Administrator jaringan perusahaan Anda biasanya adalah orang yang memilih rentang CIDR keseluruhan untuk organisasi AWS Control Tower Anda. Administrator jaringan kemudian mengalokasikan subnet dari dalam rentang tersebut untuk tujuan tertentu.
Saat Anda memilih rentang CIDR untuk VPC Anda, AWS Control Tower memvalidasi rentang alamat IP sesuai dengan spesifikasi RFC 1918. Account Factory memungkinkan blok CIDR hingga `/16` dalam rentang:
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`(hanya jika penyedia internet Anda mengizinkan penggunaan rentang ini)
`/16`Pembatas memungkinkan hingga 65.536 alamat IP yang berbeda.
Anda dapat menetapkan alamat IP yang valid dari rentang berikut:
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(tidak ada IPs di luar `192.168` jangkauan)
Jika rentang yang Anda tentukan berada di luar ini, AWS Control Tower memberikan pesan kesalahan.
Rentang CIDR default adalah`172.31.0.0/16`.
Saat AWS Control Tower membuat VPC menggunakan rentang CIDR yang Anda pilih, AWS Control Tower menetapkan rentang CIDR yang sama ke setiap *VPC* untuk setiap akun yang Anda buat dalam unit organisasi (OU). Karena tumpang tindih default alamat IP, implementasi ini pada awalnya tidak mengizinkan pengintipan di antara AWS Control Tower Anda VPCs di OU.
**Subnet**
Dalam setiap VPC, AWS Control Tower membagi rentang CIDR yang Anda tentukan secara merata menjadi sembilan subnet (kecuali di AS Barat (California Utara), di mana itu adalah enam subnet). Tak satu pun dari subnet dalam VPC tumpang tindih. Oleh karena itu, mereka semua dapat berkomunikasi satu sama lain, di dalam VPC.
Singkatnya, secara default, komunikasi subnet dalam VPC tidak dibatasi. Praktik terbaik untuk mengendalikan komunikasi di antara subnet VPC Anda, jika diperlukan, adalah mengatur daftar kontrol akses dengan aturan yang menentukan arus lalu lintas yang diizinkan. Gunakan grup keamanan untuk mengontrol lalu lintas di antara instans tertentu. Untuk informasi selengkapnya tentang menyiapkan grup keamanan dan firewall di AWS Control Tower, lihat [Panduan: Mengatur Grup Keamanan di AWS Control Tower Dengan Firewall Manager AWS](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).
**Mengintip**
AWS Control Tower tidak membatasi VPC-to-VPC peering untuk komunikasi di beberapa. VPCs Namun, secara default, semua AWS Control Tower VPCs memiliki rentang CIDR default yang sama. Untuk mendukung peering, Anda dapat memodifikasi rentang CIDR di pengaturan Account Factory sehingga alamat IP tidak tumpang tindih.
Jika Anda mengubah rentang CIDR di pengaturan Account Factory, semua akun baru yang kemudian dibuat oleh AWS Control Tower (menggunakan Account Factory) ditetapkan rentang CIDR baru. Akun lama tidak diperbarui. Misalnya, Anda dapat membuat akun, lalu mengubah rentang CIDR dan membuat akun baru, dan VPCs dialokasikan ke kedua akun tersebut dapat dipeer. Peering dimungkinkan karena rentang alamat IP mereka tidak identik.