기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Control Tower 및 VPC 개요
<a name="vpc-concepts"></a>

AWS Control Tower VPC에 대한 몇 가지 중요한 사실은 다음과 같습니다.
+ Account Factory에서 계정을 프로비저닝할 때 AWS Control Tower에서 생성한 VPC는AWS기본 VPC와 동일하지 않습니다.
+ AWS Control Tower가 지원되는AWS리전에 새 계정을 설정하면 AWS Control Tower는 기본AWS VPC를 자동으로 삭제하고 AWS Control Tower에서 구성한 새 VPC를 설정합니다.
+ 각 AWS Control Tower 계정에는 AWS Control Tower에서 생성한 VPC 하나가 허용됩니다. 계정에는 계정 한도 내에 추가AWS VPCs가 있을 수 있습니다.
+ 모든 AWS Control Tower VPC에는 미국 서부(캘리포니아 북부) 리전 `us-west-1`을 제외한 모든 리전에 3개의 가용 영역이 있습니다. `us-west-1`에는 2개의 가용 영역이 있습니다. 기본적으로 각 가용 영역에는 퍼블릭 서브넷 1개와 프라이빗 서브넷 2개가 할당됩니다. 따라서 미국 서부(캘리포니아 북부)를 제외한 리전에서 각 AWS Control Tower VPC에는 기본적으로 3개의 가용 영역에 걸쳐 나뉘어진 9개의 서브넷이 포함되어 있습니다. 미국 서부(캘리포니아 북부)에는 6개의 서브넷이 2개의 가용 영역으로 나뉘어 있습니다.
+ AWS Control Tower VPC의 각 서브넷에는 동일한 크기의 고유한 범위가 할당됩니다.
+ VPC의 서브넷 수는 구성 가능합니다. VPC 서브넷 구성을 변경하는 방법에 대한 자세한 내용은 [Account Factory 주제](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)를 참조하세요.
+ IP 주소가 중첩되지 않으므로, AWS Control Tower VPC 내의 6개 또는 9개 서브넷이 무제한으로 서로 통신할 수 있습니다.

VPC를 사용할 때 AWS Control Tower는 리전 수준에서 구분하지 않습니다. 모든 서브넷은 지정하는 정확한 CIDR 범위에서 할당됩니다. VPC 서브넷은 모든 리전에 존재할 수 있습니다.

**참고**

**VPC 비용 관리**  
새 계정을 프로비저닝할 때 퍼블릭 서브넷이 활성화되도록 Account Factory VPC 구성을 설정하면 Account Factory에서 NAT 게이트웨이를 생성하도록 VPC가 구성됩니다. 따라서 Amazon VPC 사용에 대한 요금이 청구됩니다.

**VPC 및 제어 설정**  
VPC 인터넷 액세스 설정이 활성화된 Account Factory 계정을 프로비저닝하면 해당 Account Factory 설정이 [고객이 관리하는 Amazon VPC 인스턴스에 대한 인터넷 액세스 허용 안 함](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access) 제어를 재정의합니다. 새로 프로비저닝된 계정에 대한 인터넷 액세스를 활성화하지 않으려면 Account Factory에서 설정을 변경해야 합니다. 자세한 내용은 [연습: VPC 없이 AWS Control Tower 구성](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)을 참조하세요.

# VPC 및 AWS Control Tower용 CIDR 및 피어링
<a name="vpc-ct-cidr"></a>

이 섹션은 주로 네트워크 관리자용입니다. 회사의 네트워크 관리자는 일반적으로 AWS Control Tower 조직에 대한 전체 CIDR 범위를 선택하는 사람입니다. 네트워크 관리자는 특정한 목적에 맞게 해당 범위 내에서 서브넷을 할당합니다.

VPC에 대한 CIDR 범위를 선택하면 AWS Control Tower는 RFC 1918 사양에 따라 IP 주소 범위를 검증합니다. Account Factory는 다음 범위에서 최대 `/16`의 CIDR 블록을 허용합니다.
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`(인터넷 공급자가 이 범위의 사용을 허용하는 경우에만 해당)

`/16` 구분 기호는 최대 65,536개의 고유 IP 주소를 허용합니다.

다음 범위에서 유효한 IP 주소를 할당할 수 있습니다.
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(`192.168` 범위를 벗어난 IP 없음)

지정한 범위가 이를 벗어나는 경우, AWS Control Tower가 오류 메시지를 표시합니다.

기본 CIDR 범위는 `172.31.0.0/16`입니다.

AWS Control Tower가 선택한 CIDR 범위를 사용하여 VPC를 생성할 때 동일한 CIDR 범위를 조직 단위(OU) 내에서 생성한 모든 계정에 대한 *모든 VPC*에 할당합니다. IP 주소의 기본 중복으로 인해 이 구현에서는 처음에 OU의 AWS Control Tower VPC 간에 피어링을 허용하지 않습니다.

**서브넷**

각 VPC 내에서 AWS Control Tower는 지정된 CIDR 범위를 9개의 서브넷에 균등하게 나눕니다(서브넷이 6개인 미국 서부(캘리포니아 북부) 제외). VPC 내의 서브넷은 중첩되지 않습니다. 따라서 모두 VPC 내에서 서로 통신할 수 있습니다.

요약하자면 기본적으로 VPC 내에서 서브넷 통신은 무제한입니다. VPC 서브넷 간의 통신을 제어하는 모범 사례는 필요한 경우 허용된 트래픽 흐름을 정의하는 규칙으로 액세스 제어 목록을 설정하는 것입니다. 특정 인스턴스 간의 트래픽을 제어하기 위해 보안 그룹을 사용합니다. AWS Control Tower에서 보안 그룹 및 방화벽을 설정하는 방법에 대한 자세한 내용은 [연습:AWS Firewall Manager를 사용하여 AWS Control Tower에서 보안 그룹 설정을 참조하세요](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).

**피어링**

AWS Control Tower는 여러 VPC 간의 통신을 위한 VPC 간 피어링을 제한하지 않습니다. 그러나 기본적으로 모든 AWS Control Tower VPC의 기본 CIDR 범위는 동일합니다. 피어링을 지원하기 위해 Account Factory 설정에서 CIDR 범위를 수정하여 IP 주소가 겹치지 않도록 할 수 있습니다.

Account Factory의 설정에서 CIDR 범위를 변경하면 이후 AWS Control Tower에서 생성(Account Factory 사용)하는 모든 새 계정에 새 CIDR 범위가 할당됩니다. 이전 계정은 업데이트되지 않습니다. 예를 들어 계정을 생성한 다음 CIDR 범위를 변경하고 새 계정을 생성하면 두 계정에 할당된 VPC를 피어링할 수 있습니다. IP 주소 범위가 동일하지 않으므로 피어링이 가능합니다.