Solusi 3: Berbagi titik akhir antarmuka VPC - AWS Bimbingan Preskriptif
Kasus penggunaanTantanganSolusiArsitekturLangkah-langkah implementasiBatasanPertimbangan desain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Solusi 3: Berbagi titik akhir antarmuka VPC

Kasus penggunaan

Aplikasi Anda dipetakan ke unit bisnis yang berbeda, dan Anda ingin memigrasikannya ke akun AWS target yang berbeda di Wilayah yang sama untuk tujuan penagihan dan isolasi.

Tantangan

Beberapa akun beban kerja meningkatkan overhead administratif dan biaya titik akhir antarmuka VPC individual di setiap akun. Oleh karena itu, Anda mungkin ingin memiliki lebih sedikit pementasan VPCs untuk Layanan Migrasi Aplikasi dan mengelola perutean secara terpusat untuk pementasan VPCs untuk mengurangi biaya dan overhead administratif.

Solusi

Bagikan titik akhir VPC dengan menggunakan subnet area pementasan bersama,, dan. AWS Organizations AWS RAM Untuk informasi selengkapnya tentang berbagi VPC, lihat dokumentasi Amazon VPC.

Arsitektur

Diagram berikut menggambarkan arsitektur untuk solusi ini.

Arus lalu lintas untuk rehosting beberapa akun dengan berbagi titik akhir VPC.

Diagram menggambarkan arus lalu lintas berikut:

1. Server replikasi Layanan Migrasi Aplikasi menanyakan DNS VPC+2 untuk menyelesaikan titik akhir API untuk Layanan Migrasi Aplikasi, Amazon, atau Amazon S3. EC2

2. DNS VPC+2 menyelesaikan IP pribadi titik akhir dengan bantuan zona host pribadi AWS terkelola dan merespons server replikasi Layanan Migrasi Aplikasi.

3-6. Server replikasi menggunakan IP tersebut untuk terhubung ke Layanan AWS API melalui titik akhir antarmuka untuk layanan.

Langkah-langkah implementasi

  1. Di akun jaringan pusat, buat pementasan VPC dan subnet untuk Layanan Migrasi Aplikasi.

  2. Buat titik akhir untuk Layanan Migrasi Aplikasi, Amazon EC2, atau Amazon S3 dengan nama DNS pribadi diaktifkan. Ini menciptakan zona host pribadi AWS terkelola dan mengaitkannya dengan VPC pementasan.

  3. Bagikan subnet pementasan dengan akun aplikasi target di AWS organisasi yang sama dan. Wilayah AWS

  4. Untuk konektivitas hibrid antara AWS dan pusat data lokal Anda (tidak ditampilkan pada diagram sebelumnya) gunakan Transit Gateway, AWS Direct Connect atau AWS Site-to-Site VPN dengan titik akhir Resolver Route 53, seperti yang ditunjukkan pada solusi 1 dan solusi 2.

Batasan

  • Akun AWS Untuk peserta VPCs dan pemilik VPC harus menjadi bagian dari organisasi yang sama di. AWS Organizations

  • Untuk daftar sumber daya yang dapat dibagikan, lihat dokumentasi Amazon VPC.

  • Untuk batasan berbagi VPC, lihat dokumentasi Amazon VPC.

Pertimbangan desain

  • Untuk mengurangi overhead operasional Anda, buat sumber daya sekali, lalu gunakan AWS RAM untuk berbagi sumber daya tersebut dengan akun lain. Ini menghilangkan kebutuhan untuk menyediakan sumber daya duplikat di setiap akun dan mengurangi overhead operasional.

  • Sederhanakan manajemen keamanan untuk sumber daya bersama Anda dengan menggunakan satu set kebijakan dan izin. Jika Anda membuat sumber daya duplikat di akun terpisah, Anda harus menerapkan kebijakan dan izin yang identik dan membuatnya tetap disinkronkan di semua akun. Sebagai gantinya, Anda dapat mengelola semua pengguna yang berbagi AWS RAM sumber daya melalui satu set kebijakan dan izin. AWS RAM menawarkan pengalaman yang konsisten untuk berbagi berbagai jenis AWS sumber daya.

  • Memberikan visibilitas dan auditabilitas. Lihat detail penggunaan untuk sumber daya bersama Anda dengan mengintegrasikan AWS RAM dengan Amazon CloudWatch dan AWS CloudTrail. Untuk informasi selengkapnya, lihat Monitoring AWS RAM using EventBridge and Logging AWS RAM API call with AWS CloudTrail in the AWS RAM documentation.