Soluzione 3: condivisione degli endpoint dell'interfaccia VPC - AWS Guida prescrittiva
Caso d'usoSfideSoluzioneArchitetturaPassaggi dell'implementazioneLimitazioniConsiderazioni di natura progettuale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Soluzione 3: condivisione degli endpoint dell'interfaccia VPC

Caso d'uso

Le tue applicazioni sono mappate su diverse unità aziendali e desideri migrarle su diversi account di AWS destinazione nella stessa regione per scopi di fatturazione e isolamento.

Sfide

Più account di carico di lavoro aumentano sia il sovraccarico amministrativo che il costo dei singoli endpoint di interfaccia VPC in ogni account. Pertanto, potresti voler disporre di un minor numero di staging VPCs per Application Migration Service e gestire centralmente il routing per lo staging VPCs per ridurre i costi e il sovraccarico amministrativo.

Soluzione

Condividi gli endpoint VPC utilizzando una sottorete dell'area di staging condivisa e. AWS Organizations AWS RAM Per ulteriori informazioni sulla condivisione di VPC, consulta la documentazione di Amazon VPC.

Architettura

Il diagramma seguente illustra l'architettura di questa soluzione.

Flusso di traffico per il rehosting di più account condividendo gli endpoint VPC.

Il diagramma illustra il seguente flusso di traffico:

1. Il server di replica di Application Migration Service interroga il DNS VPC+2 per risolvere l'endpoint API per Application Migration Service, Amazon o Amazon S3. EC2

2. Il DNS VPC+2 risolve l'IP privato dell'endpoint con l'aiuto di zone ospitate private AWS gestite e risponde al server di replica dell'Application Migration Service.

3-6. Il server di replica utilizza tale IP per connettersi all' Servizio AWS API tramite l'endpoint di interfaccia del servizio.

Passaggi dell'implementazione

  1. Nell'account di rete centrale, crea il VPC di staging e la sottorete per il servizio di migrazione delle applicazioni.

  2. Crea endpoint per Application Migration Service EC2, Amazon o Amazon S3 con nomi DNS privati abilitati. Questo crea una zona ospitata privata AWS gestita e la associa al VPC di staging.

  3. Condividi la sottorete di gestione temporanea con gli account delle applicazioni di destinazione nella stessa organizzazione e. AWS Regione AWS

  4. Per la connettività ibrida tra AWS e il data center locale (non mostrata nel diagramma precedente) usa Transit Gateway AWS Direct Connect o AWS Site-to-Site VPN con gli endpoint Route 53 Resolver, come mostrato nella soluzione 1 e nella soluzione 2.

Limitazioni

  • Il Account AWS VPC del partecipante VPCs e del proprietario deve far parte della stessa organizzazione in. AWS Organizations

  • Per un elenco di risorse condivisibili, consulta la documentazione di Amazon VPC.

  • Per le limitazioni alla condivisione di VPC, consulta la documentazione di Amazon VPC.

Considerazioni di natura progettuale

  • Per ridurre il sovraccarico operativo, crea una risorsa una sola volta e poi usala AWS RAM per condividerla con altri account. Ciò elimina la necessità di fornire risorse duplicate in ogni account e riduce il sovraccarico operativo.

  • Semplifica la gestione della sicurezza per le risorse condivise utilizzando un unico set di policy e autorizzazioni. Se crei risorse duplicate in account separati, devi implementare politiche e autorizzazioni identiche e mantenerle sincronizzate su tutti gli account. Puoi invece gestire tutti gli utenti che condividono una AWS RAM risorsa tramite un unico set di politiche e autorizzazioni. AWS RAM offre un'esperienza coerente per la condivisione di diversi tipi di AWS risorse.

  • Offri visibilità e verificabilità. Visualizza i dettagli di utilizzo delle tue risorse condivise mediante l'integrazione AWS RAM con Amazon CloudWatch e AWS CloudTrail. Per ulteriori informazioni, consulta Monitoraggio, AWS RAM utilizzo EventBridge e registrazione delle chiamate AWS RAM API con AWS CloudTrail nella AWS RAM documentazione.