构建可扩展且安全的多 vPC AWS 网络基础架构

发布日期：2024 年 4 月 17 日 () 文档历史记录

Amazon Web Services (AWS) 客户通常依靠数百个账户和虚拟私有云 (VPC) 来分割其工作负载并扩大其覆盖范围。这种规模通常会给资源共享、VPC 间连接以及本地设施与 VPC 的连接带来挑战。

本白皮书介绍了使用亚马逊虚拟私有云 (Amazon VPC)、、、AWS Transit GatewayGateway Load Bal ancer 和 Amazon Rou te 53 等 AWS 服务在大型网络中创建可扩展且安全的网络架构的最佳实践。AWS PrivateLinkAWS Direct ConnectAWS Network Firewall它演示了管理不断增长的基础架构的解决方案——确保可扩展性、高可用性和安全性，同时保持较低的开销成本。

简介

AWS 客户首先在单个 AWS 账户中构建资源，该账户代表了划分权限、成本和服务的管理边界。但是，随着客户组织的发展，有必要对服务进行更细分，以监控成本、控制访问权限和提供更轻松的环境管理。多账户解决方案通过为组织内的 IT 服务和用户提供特定帐户来解决这些问题。 AWS 提供了多种工具来管理和配置此基础架构，包括AWS Control Tower。 

AWS Control Tower 的初始部署

当您使用设置多账户环境时 AWS Control Tower，它会创建两个组织单位 (OU)：

• 安全 OU — 在此 OU 中， AWS Control Tower 创建两个帐户：

• 日志存档

• 审计（此帐户对应于指南中前面讨论的安全工具帐户。）

• 沙箱 OU — 此 OU 是在其中创建的帐户的默认目的地。 AWS Control Tower它包含账户，您的构建者可以在这些账户中探索和试验 AWS 服务以及其他工具和服务，但须遵守团队的可接受使用政策。

AWS Control Tower 允许您创建、注册和管理其他 OU 以扩展初始环境以实施指南。

下图显示了最初由部署的 OU AWS Control Tower。您可以扩展您的 AWS 环境以实现图中包含的任何推荐的 OU，以满足您的需求。

AWS 组织 OU

有关使用多账户环境的更多详细信息 AWS Control Tower，请参阅《使用多个账户组织您的 AWS 环境》白皮书中的附录 E。

注意

在本白皮书中，“Control Tower” 是一个宽泛的术语，指的是您在其中部署工作负载的可扩展、安全和高性能的多账户/多 VPC 设置。可以使用不同的工具来构建此设置。您可以在使用多个账户组织 AWS 环境白皮书中找到有关多账户云基础的最佳实践、设计原则和优势的更多信息。

大多数客户一开始就使用几个 VPC 来部署其基础架构。客户创建的 VPC 数量通常与其账户、用户和暂存环境（生产、开发、测试等）的数量有关。随着云使用量的增长，客户与之交互的用户、业务部门、应用程序和区域的数量也随之增长，从而产生了新的 VPC。

随着VPC数量的增长，跨VPC管理对于客户的云网络的运行变得至关重要。本白皮书涵盖了跨VPC和混合连接中三个特定领域的最佳实践：

• 网络连接 — 大规模互连 VPC 和本地网络。

• 网络安全 — 为访问互联网和终端节点（例如网络地址转换 (NAT) 网关、VPC 终端节点和网关负载均衡AWS PrivateLink器 AWS Network Firewall）建立集中式出口点。

• DNS 管理 — 在 Control Tower 中解析 DNS 和混合 DNS。

IP 地址规划和管理

为了构建可扩展的多账户多 VPC 网络设计，IP 地址规划和管理势在必行。一个好的 IP 寻址方案需要考虑您当前和未来的网络需求。您的 IP 地址方案 IP 需要涵盖您的本地工作负载、云工作负载，还应允许将来的扩展（例如，增加新的 AWS 区域业务部门以及合并或收购）。它还应防止您的团队无意中创建重叠的 IP CIDR。如果需要重叠 IP CIDR，例如对于隔离或断开连接的工作负载，则需要谨慎做出这一决定，并应考虑对路由、安全性和成本的影响。您可能还需要考虑为此类例外情况创建必要的批准流程。良好的 IP 寻址方案还有助于简化网络设计和路由配置。

重要注意事项：

• 预先规划 IP 寻址方案（包括公有和私有 IP），然后选择 IP 地址管理工具来分配、管理和跟踪所有工作负载的 IP 地址使用情况。

• 使用分层和汇总的 IP 寻址方案。

• 根据环境 AWS 区域、组织或业务部门规划一致的 IP 分配。

• 为本地网络和云网络指定不同的 IP CIDR（包括 IPv4 和 IPv6）。

• 主动防止和跟踪重叠的 IP CIDR。

• 适当调整您的 IP CIDR 的大小，以实现扩展和未来的增长。

• 为您的工作负载启用 IPv6 或双栈兼容性，以减少 IP 冲突并解决 IPv4 空间耗尽问题。

您可以使用 Amazon VPC IP 地址管理器 (IPAM) 来简化工作负载的公有和私有 IP 地址的规划、跟踪和监控。 AWS IPAM 允许您在多个 AWS 区域 和之间组织、分配、监控和共享 IP 地址空间。 AWS 账户它还有助于使用特定的业务规则将CIDR自动分配给VPC。

有关 AWS Control Tower博客文章，请参阅 Amazon VPC IP 地址管理器最佳实践、使用 Amazon VPC IP 地址管理器管理 VPC 和区域之间的 IP 池，以及 IP 地址管理，以了解 IP 寻址最佳实践以及如何使用 IPAM 在各个 VPC 之间管理 IP 池，以及。 AWS 区域 AWS Control Tower

您使用 Well-Architected 了吗？

当您在云端构建系统时，AWS Well-Architected Framework 可帮助您了解所做决策的利弊。利用此框架的六个支柱，您可以了解到设计和运行可靠、安全、高效、经济有效且可持续的系统的架构最佳实践。您可以使用 AWS Management Console 免费提供的 AWS Well-Architected Tool，回答与每个支柱相关的一组问题，即可根据这些最佳实践检查自己的工作负载。

有关云架构的更多专家指导和最佳实践（参考架构部署、图表和白皮书），请参阅 AWS 架构中心。