解決策 3: VPC インターフェイスエンドポイントの共有

ユースケース

アプリケーションは異なるビジネスユニットにマッピングされ、請求と分離の目的で、同じリージョン内の異なる AWS ターゲットアカウントに移行します。

チャレンジ

複数のワークロードアカウントでは、各アカウントの個々の VPC インターフェイスエンドポイントの管理オーバーヘッドとコストの両方が増加します。したがって、アプリケーション移行サービスのステージング VPCs を減らし、ステージング VPCs のルーティングを一元管理して、コストと管理オーバーヘッドを削減できます。

ソリューション

共有ステージングエリアサブネット、 AWS Organizationsおよび を使用して VPC エンドポイントを共有します AWS RAM。VPC 共有の詳細については、Amazon VPC ドキュメントを参照してください。

アーキテクチャ

次の図は、このソリューションのアーキテクチャを示しています。

この図は、次のトラフィックフローを示しています。

1. Application Migration Service レプリケーションサーバーは VPC+2 DNS をクエリして、Application Migration Service、Amazon EC2、または Amazon S3 の API エンドポイントを解決します。

2. VPC+2 DNS は、マネージドプライベートホストゾーンの AWS 助けを借りてエンドポイントのプライベート IP を解決し、Application Migration Service レプリケーションサーバーに応答します。

3～6。レプリケーションサーバーは、その IP を使用して、サービスのインターフェイスエンドポイントを介して AWS のサービス API に接続します。

実装手順

1. 中央ネットワークアカウントで、Application Migration Service のステージング VPC とサブネットを作成します。

2. プライベート DNS 名を有効にして、Application Migration Service、Amazon EC2、または Amazon S3 のエンドポイントを作成します。これにより、 AWS マネージドプライベートホストゾーンが作成され、ステージング VPC に関連付けられます。

3. ステージングサブネットを同じ AWS 組織内のターゲットアプリケーションアカウントと共有します AWS リージョン。

4. AWS とオンプレミスデータセンター間のハイブリッド接続 (前の図に示されていない) には、ソリューション 1 とソリューション 2 に示すように、Transit Gateway、 AWS Direct Connect または AWS Site-to-Site VPN Route 53 Resolver エンドポイントを使用します。

制限

• AWS アカウント 参加者 VPCsと所有者 VPC の は、 の同じ組織の一部である必要があります AWS Organizations。

• 共有可能なリソースのリストについては、Amazon VPC ドキュメントを参照してください。

• VPC 共有の制限については、Amazon VPC ドキュメントを参照してください。

設計上の考慮事項

• 運用オーバーヘッドを減らすには、リソースを 1 回作成し、 を使用してそのリソース AWS RAM を他のアカウントと共有します。これにより、すべてのアカウントで重複するリソースをプロビジョニングする必要がなくなり、運用上のオーバーヘッドが軽減されます。

• 単一のポリシーとアクセス許可のセットを使用して、共有リソースのセキュリティ管理を簡素化します。個別のアカウントに重複するリソースを作成する場合は、同じポリシーとアクセス許可を実装し、すべてのアカウント間で同期を維持する必要があります。代わりに、単一のポリシーとアクセス許可のセットを使用して AWS RAM リソースを共有するすべてのユーザーを管理できます。 は、さまざまなタイプの AWS リソースを共有するための一貫したエクスペリエンス AWS RAM を提供します。

• 可視性と監査可能性を提供します。Amazon CloudWatch および AWS RAM と統合して、共有リソースの使用状況の詳細を表示します AWS CloudTrail。詳細については、 AWS RAM ドキュメントのEventBridge AWS RAM を使用したモニタリング」および「 を使用した AWS RAM API コールのログ記録 AWS CloudTrail」を参照してください。