Amazon VPC 共享
当团队之间的网络隔离不需要由 VPC 拥有者严格管理,但账户级别的用户和权限必须严格管理时,共享 VPC 非常有用。通过共享 VPC,多个 AWS 账户可以在集中管理的共享 Amazon VPC 中创建其应用程序资源(如 Amazon EC2 实例)。在此模型中,拥有 VPC 的账户(拥有者)与其他账户(参与者)共享一个或多个子网。共享子网之后,参与者可以查看、创建、修改和删除与他们共享的子网中的应用程序资源。参与者无法查看、修改或删除属于其他参与者或 VPC 拥有者的资源。使用安全组和子网网络 ACL 管理共享 VPC 中资源之间的安全性。
VPC 共享的好处:
-
简化了设计 – VPC 间连接没有复杂性
-
减少了托管 VPC
-
网络团队和应用程序拥有者之间的职责划分
-
提高了 IPv4 地址利用率
-
降低了成本 – 属于同一可用区内不同账户的实例之间无数据传输费
注意:当您与多个账户共享子网时,您的参与者应该有一定程度的合作,因为他们共享 IP 空间和网络资源。如有必要,您可以选择为每个参与者账户共享不同的子网。每个参与者一个子网使网络 ACL 能够提供除安全组之外的网络隔离。
大多数客户架构将包含多个 VPC,其中许多 VPC 将与两个或更多账户共享。Transit Gateway 和 VPC 对等连接可用于连接共享 VPC。例如,假设您有 10 个应用程序。每个应用程序都需要自己的 AWS 账户。这些应用程序可以分为两个应用程序组合(同一组合内的应用程序具有相似的联网要求,应用程序 1-5 在“营销”中,应用程序 6-10 在“销售”中)。
每个应用程序组合可以有一个 VPC(总共两个 VPC),并且与该组合内的不同应用程序拥有者账户共享 VPC。应用程序拥有者将应用程序部署到各自的共享 VPC 中(在本例中,在不同的子网中使用 NACL 进行网络路由分段和隔离)。两个共享 VPC 通过 Transit Gateway 进行连接。通过此设置,您可以从必须连接 10 个 VPC 变为仅连接 2 个 VPC(图 6)。
图 6 – 示例设置 – 共享 VPC
注意
VPC 共享参与者无法在共享子网中创建所有 AWS 资源。有关更多信息,请参阅 Amazon VPC 限制。
