解决方案 3:共享 VPC 接口终端节点 - AWS 规范性指导
应用场景挑战解决方案架构实施步骤限制设计注意事项

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

解决方案 3:共享 VPC 接口终端节点

应用场景

您的应用程序映射到不同的业务部门,出于计费和隔离目的,您希望将其迁移到同一地区的不同 AWS 目标账户。

挑战

多个工作负载账户会增加每个账户中各个 VPC 接口终端节点的管理开销和成本。因此,您可能希望减少应用程序迁移服务的暂 VPCs 存次数,并集中管理暂存的路由, VPCs 以降低成本和管理开销。

解决方案

使用共享的中转区域子网共享 VPC 终端节点 AWS Organizations、和。 AWS RAM有关 VPC 共享的更多信息,请参阅 Amazon VPC 文档

架构

下图说明了此解决方案的架构。

通过共享 VPC 终端节点来重新托管多个账户的流量。

该图说明了以下交通流:

1. 应用程序迁移服务复制服务器查询 VPC+2 DNS 以解析应用程序迁移服务、Amazon 或 Ama EC2 zon S3 的 API 终端节点。

2. VPC+2 DNS 借助托管私有 AWS 托管区域解析终端节点的私有 IP,并响应应用程序迁移服务复制服务器。

3-6。复制服务器使用该 IP 通过服务的接口端点连接到 AWS 服务 API。

实施步骤

  1. 在中央网络账户中,为应用程序迁移服务创建暂存 VPC 和子网。

  2. 在启用私有 DNS 名称的情况下为应用程序迁移服务 EC2、Amazon 或 Amazon S3 创建终端节点。这将创建一个 AWS 托管私有托管区域并将其与暂存 VPC 关联。

  3. 与同一 AWS 组织中的目标应用程序帐户共享暂存子网,以及。 AWS 区域

  4. 要实现与您的本地数据中心 AWS 之间的混合连接(上图中未显示),请使用 Transit Gateway, AWS Direct Connect 或者 AWS Site-to-Site VPN 使用 Route 53 解析器终端节点,如解决方案 1解决方案 2 所示。

限制

  • 参与 VPCs 者和所有者的 VPC 必须属于同一个组织 AWS Organizations。 AWS 账户

  • 有关可共享资源的列表,请参阅 Amazon VPC 文档

  • 有关 VPC 共享限制,请参阅亚马逊 VPC 文档

设计注意事项

  • 要减少运营开销,请创建一次资源,然后 AWS RAM 使用该资源与其他账户共享。这样就无需在每个账户中配置重复的资源,并减少了运营开销。

  • 使用一组策略和权限,简化共享资源的安全管理。如果您在单独的账户中创建重复的资源,则必须实施相同的策略和权限,并使它们在所有账户之间保持同步。相反,您可以通过一组策略和权限来管理共享 AWS RAM 资源的所有用户。 AWS RAM 为共享不同类型的 AWS 资源提供一致的体验。

  • 提供可见性和可审计性。通过与 Amazon 集成 AWS RAM ,查看共享资源的使用详情 CloudWatch ,以及 AWS CloudTrail。有关更多信息,请参阅 AWS RAM 文档 AWS CloudTrail中的AWS RAM 使用监控 EventBridge记录 AWS RAM API 调用