使用 VPC 接口终端节点在多账户架构中重新托管您的应用程序 AWS

亚马逊 Web Services 的 Dipin Jain 和 Saurabh Shankar

2025 年 2 月（文档历史记录）

许多组织通过使用将其应用程序 AWS 从隔离或半隔离的网络环境中重新托管（提升和转移），包括本地数据中心和其他云或混合基础架构。AWS Application Migration Service这些隔离的网络通常不允许向公共端点发送任何出口流量，如应用程序迁移服务的网络要求中所述。您可以使用虚拟私有云 (VPC) 接口端点来解决此限制，如 AWS 规范性指导模式中所述，通过专用网络连接到应用程序迁移服务数据和控制平面。

许多组织还使用多账户 landing zone (MALZ) 架构来实现隔离、安全性和按账户计费的好处。要使用应用程序 lift-and-shift迁移服务通过安全的网络迁移到多个目标 AWS 账户，您必须在每个目标中创建 VPC 接口终端节点 AWS 账户。这增加了管理这些资源的成本和复杂性。

本指南讨论了集中化 VPC 接口终端节点的选项，以便在上的多账户架构中重新托管您的应用程序。 AWS这些选项简化了架构并降低了此类用例的成本。

目标业务成果

本指南为三个再托管用例提供了解决方案。它侧重于降低成本和运营开销，以及提高安全性和资源利用率。

使用案例：

您的应用程序映射到不同的业务部门，您希望将它们迁移到同一个业务部门的不同 AWS 目标账户， AWS 区域以简化计费和隔离。

此场景的解决方案包括在中央 AWS 网络账户中创建 VPC 终端节点 AWS Transit Gateway ，并使用连接目标应用程序账户。
您想将应用程序分成多个迁移到不同的 AWS 目标帐户， AWS 区域以使应用程序与用户保持距离或便于灾难恢复。这是第一个用例的扩展。

这种情况的解决方案包括在 AWS 中央网络账户 AWS 区域中为每个终端节点创建 VPC 终端节点，并使用对等传输网关和 Amazon Route 53 启用跨账户访问。
您的应用程序映射到不同的业务部门， AWS 区域出于计费和隔离目的，您希望将它们迁移到同一个业务部门的不同 AWS 目标账户。您还希望减少 VPCs 应用程序迁移服务暂存的用量，并希望集中管理分阶段的路由， VPCs 以降低成本和管理开销。

此场景的解决方案包括使用共享暂存区域子网共享 VPC 终端节点，使用 AWS Organizations 和 AWS Resource Access Manager (AWS RAM)。

本指南适用于正在为这些用例寻找解决方案的迁移顾问、应用程序架构师、基础架构师和应用程序所有者。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

解决方案 1：中央网络账户，单一区域