Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Panoramica di AWS Control Tower e VPCs
<a name="vpc-concepts"></a>

Ecco alcuni dati essenziali su AWS Control Tower VPCs:
+ Il VPC creato da AWS Control Tower quando si effettua il provisioning di un account in Account Factory non è lo stesso del AWS VPC predefinito.
+ Quando AWS Control Tower configura un nuovo account in una AWS regione supportata, AWS Control Tower elimina automaticamente il AWS VPC predefinito e configura un nuovo VPC configurato da AWS Control Tower.
+ A ogni account AWS Control Tower è consentito un VPC creato da AWS Control Tower. Un account può averne altri AWS VPCs entro il limite dell'account.
+ Ogni VPC AWS Control Tower ha tre zone di disponibilità in tutte le regioni ad eccezione della regione Stati Uniti occidentali (California settentrionale) e due zone di disponibilità all'interno. `us-west-1` `us-west-1` Per impostazione predefinita, a ogni zona di disponibilità è assegnata una sottorete pubblica e due sottoreti private. Pertanto, nelle regioni ad eccezione degli Stati Uniti occidentali (California settentrionale), ogni VPC AWS Control Tower contiene nove sottoreti per impostazione predefinita, suddivise in tre zone di disponibilità. Negli Stati Uniti occidentali (California settentrionale), sei sottoreti sono suddivise in due zone di disponibilità.
+ A ciascuna delle sottoreti del tuo VPC AWS Control Tower viene assegnato un intervallo univoco, di uguali dimensioni.
+ Il numero di sottoreti in un VPC è configurabile. Per ulteriori informazioni su come modificare la configurazione delle sottoreti del VPC, consulta [l'argomento Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Poiché gli indirizzi IP non si sovrappongono, le sei o nove sottoreti all'interno del tuo VPC AWS Control Tower possono comunicare tra loro senza restrizioni.

Quando si lavora con VPCs, AWS Control Tower non fa distinzioni a livello di regione. Ogni sottorete viene allocata secondo l'esatto intervallo CIDR specificato. Le sottoreti VPC possono esistere in qualsiasi regione.

**Note**

**Gestisci i costi del VPC**  
Se imposti la configurazione VPC di Account Factory in modo che le sottoreti pubbliche siano abilitate durante il provisioning di un nuovo account, Account Factory configura VPC per creare un gateway NAT. Ti verrà addebitato l’utilizzo da parte di Amazon VPC.

**VPC e impostazioni di controllo**  
Se esegui il provisioning di account Account Factory con le impostazioni di accesso a Internet VPC abilitate, tale impostazione Account Factory ha la precedenza sul controllo Impedisci l'[accesso a Internet per un'istanza Amazon VPC gestita](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access) da un cliente. Per evitare di abilitare l'accesso a Internet per gli account appena assegnati, è necessario modificare l'impostazione in Account Factory. Per ulteriori informazioni, consulta [Procedura dettagliata: Configurazione di AWS Control Tower senza un VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).

# CIDR e peering per VPC e AWS Control Tower
<a name="vpc-ct-cidr"></a>

Questa sezione è destinata principalmente agli amministratori di rete. L'amministratore di rete della tua azienda di solito è la persona che seleziona l'intervallo CIDR complessivo per la tua organizzazione AWS Control Tower. L'amministratore di rete alloca quindi le sottoreti a partire da tale intervallo per scopi specifici.

Quando scegli un intervallo CIDR per il tuo VPC, AWS Control Tower convalida gli intervalli di indirizzi IP in base alla specifica RFC 1918. Account Factory consente un blocco CIDR fino `/16` a un massimo di intervalli di: 
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`(solo se il tuo provider Internet consente l'utilizzo di questo intervallo)

Il delimitatore `/16` consente fino a 65.536 indirizzi IP distinti.

È possibile assegnare qualsiasi indirizzo IP valido dai seguenti intervalli:
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(non IPs al di fuori dell'`192.168`intervallo)

Se l'intervallo specificato non rientra in questi valori, AWS Control Tower fornisce un messaggio di errore.

L'intervallo CIDR predefinito è `172.31.0.0/16`.

Quando AWS Control Tower crea un VPC utilizzando l'intervallo CIDR selezionato, assegna lo stesso intervallo CIDR a ogni *VPC* per ogni account creato all'interno dell'unità organizzativa (OU). A causa della sovrapposizione predefinita degli indirizzi IP, questa implementazione inizialmente non consente il peering tra nessuna delle tue AWS Control Tower VPCs nell'unità organizzativa.

**Sottoreti**

All'interno di ogni VPC, AWS Control Tower divide l'intervallo CIDR specificato in modo uniforme in nove sottoreti (tranne negli Stati Uniti occidentali (California settentrionale), dove è composto da sei sottoreti). Nessuna delle sottoreti all'interno di un VPC si sovrappone. Pertanto, tutti possono comunicare tra loro, all'interno del VPC.

In sintesi, per impostazione predefinita, la comunicazione tra sottoreti all'interno del VPC è illimitata. La best practice per controllare la comunicazione tra le sottoreti VPC, se necessario, è quella di configurare liste di controllo degli accessi con regole che definiscono il flusso di traffico consentito. Per il controllo del traffico tra istanze specifiche, utilizza i gruppi di sicurezza. Per ulteriori informazioni sulla configurazione di gruppi di sicurezza e firewall in AWS Control Tower, consulta [Walkthrough: Configurare i gruppi di sicurezza in AWS Control Tower With Firewall Manager AWS](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).

**Peering**

AWS Control Tower non limita il VPC-to-VPC peering per la comunicazione tra più VPCs utenti. Tuttavia, per impostazione predefinita, tutte le AWS Control Tower VPCs hanno lo stesso intervallo CIDR predefinito. Per supportare il peering, è possibile modificare l'intervallo CIDR nelle impostazioni di Account Factory in modo che gli indirizzi IP non si sovrappongano.

Se modifichi l'intervallo CIDR nelle impostazioni di Account Factory, a tutti i nuovi account che vengono successivamente creati da AWS Control Tower (utilizzando Account Factory) viene assegnato il nuovo intervallo CIDR. I vecchi account non vengono aggiornati. Ad esempio, puoi creare un account, quindi modificare l'intervallo CIDR e creare un nuovo account, e gli account VPCs allocati a questi due account possono essere sottoposti a peering. Il peering è possibile perché i relativi intervalli di indirizzi IP non sono identici.