As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Visão geral do AWS Control Tower e VPCs
Aqui estão alguns fatos essenciais sobre o AWS Control Tower VPCs:
+ A VPC criada pelo AWS Control Tower quando você provisiona uma conta no Account Factory não é a mesma que a AWS VPC padrão.
+ Quando a AWS Control Tower configura uma nova conta em uma AWS região compatível, a AWS Control Tower exclui automaticamente a AWS VPC padrão e configura uma nova VPC configurada pela AWS Control Tower.
+ Cada conta do AWS Control Tower pode ter uma VPC criada pelo AWS Control Tower. Uma conta pode ter mais AWS VPCs dentro do limite da conta.
+ Cada VPC do AWS Control Tower tem três zonas de disponibilidade em todas as regiões, exceto na região Oeste dos EUA (N. da Califórnia), `us-west-1`, e duas zonas de disponibilidade em `us-west-1`. Por padrão, a cada zona de disponibilidade são atribuídas uma sub-rede pública e duas sub-redes privadas. Portanto, nas regiões, exceto no Oeste dos EUA (N. da Califórnia), cada VPC do AWS Control Tower contém nove sub-redes por padrão, divididas em três zonas de disponibilidade. Na região Oeste dos EUA (N. da Califórnia), seis sub-redes são divididas em duas zonas de disponibilidade.
+ Um intervalo exclusivo, de mesmo tamanho é atribuído a cada uma das sub-redes na VPC do AWS Control Tower.
+ O número de sub-redes em uma VPC é configurável. Para obter mais informações sobre como alterar a configuração da sub-rede da VPC, consulte [o tópico Fábrica de contas](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Como os endereços IP não se sobrepõem, as seis ou nove sub-redes na VPC do AWS Control Tower podem se comunicar entre si de forma irrestrita.
Ao trabalhar com VPCs, o AWS Control Tower não faz distinção no nível da região. Cada sub-rede é alocada do intervalo CIDR exato que você especificar. As sub-redes da VPC podem existir em qualquer região.
**Observações**
**Gerenciar custos da VPC**
Se você definir a configuração da VPC do Account Factory para que as sub-redes públicas sejam habilitadas ao provisionar uma nova conta, o Account Factory configurará a VPC para criar um gateway NAT. Você será cobrado pelo uso da Amazon VPC.
**Configurações de VPC e controles**
Se você provisionar contas do Account Factory com as configurações de acesso à internet da VPC habilitadas, essa configuração do Account Factory substituirá o controle [Proibir o acesso à internet para uma instância da Amazon VPC gerenciada por um cliente](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access). Para evitar a habilitação do acesso à internet para contas recém-provisionadas, você deve alterar a configuração no Account Factory. Consulte mais informações em [Walkthrough: Configure AWS Control Tower Without a VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).
# CIDR e emparelhamento para VPC e AWS Control Tower
Esta seção destina-se principalmente a administradores de rede. O administrador de rede da sua empresa geralmente é a pessoa que seleciona o intervalo CIDR geral para a sua organização do AWS Control Tower. Depois, o administrador da rede aloca sub-redes dentro desse intervalo para fins específicos.
Quando você escolhe um intervalo CIDR para a VPC, o AWS Control Tower valida os intervalos de endereços IP de acordo com a especificação RFC 1918. O Account Factory permite um bloco CIDR de até `/16` em intervalos de:
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10` (somente se o seu provedor de internet permitir o uso desse intervalo)
O delimitador `/16` permite até 65.536 endereços IP distintos.
É possível atribuir qualquer endereço IP válido dos seguintes intervalos:
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(não IPs fora do `192.168` alcance)
Se o intervalo especificado estiver fora desses, o AWS Control Tower exibirá uma mensagem de erro.
O intervalo CIDR padrão é `172.31.0.0/16`.
Quando o AWS Control Tower cria uma VPC usando o intervalo CIDR selecionado, ele atribui o intervalo CIDR idêntico a *cada VPC* de cada conta criada dentro da unidade organizacional (UO). Devido à sobreposição padrão de endereços IP, essa implementação não permite inicialmente o emparelhamento entre nenhuma das suas AWS Control Tower VPCs na OU.
**Sub-redes**
Dentro de cada VPC, o AWS Control Tower divide seu intervalo de CIDR especificado uniformemente em nove sub-redes (exceto no Oeste dos EUA (N. da Califórnia), onde são seis sub-redes). Nenhuma das sub-redes se sobrepõe dentro de uma VPC. Portanto, todas podem se comunicar entre si dentro da VPC.
Em resumo, por padrão, a comunicação de sub-redes dentro da VPC é irrestrita. A melhor prática para controlar a comunicação entre as sub-redes da VPC, se necessário, é configurar listas de controle de acesso com regras que definem o fluxo de tráfego permitido. Use grupos de segurança para controlar o tráfego entre instâncias específicas. Para obter mais informações sobre a configuração de grupos de segurança e firewalls no AWS Control Tower, consulte [Passo a passo: Configurar grupos de segurança no AWS Control Tower com o Firewall Manager AWS](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).
**Emparelhamento**
O AWS Control Tower não restringe o VPC-to-VPC peering para comunicação entre vários VPCs. No entanto, por padrão, todas as AWS Control Tower VPCs têm o mesmo intervalo CIDR padrão. Para permitir o emparelhamento, você pode modificar o intervalo CIDR nas configurações do Account Factory para que os endereços IP não se sobreponham.
Se você alterar o intervalo CIDR nas configurações do Account Factory, todas as novas contas que forem criadas posteriormente pelo AWS Control Tower (usando o Account Factory) receberão o novo intervalo CIDR. As contas antigas não são atualizadas. Por exemplo, você pode criar uma conta, alterar o intervalo de CIDR e criar uma nova conta, e as VPCs alocadas para essas duas contas podem ser pareadas. O emparelhamento é possível porque os intervalos de endereços IP não são idênticos.