本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
最佳實務
我們建議使用下列最佳實務,來將周邊區域應用程式遷移至 AWS 雲端:
-
設計目標架構以支援第三方網路防火牆,前提是您可以透過 Gateway Load Balancer 將防火牆公開給應用程式 VPC 網路。
-
使用信任的網路來保護 AWS 應用程式 VPC 和內部部署環境之間的流量流程。您可以使用 AWS Direct Connect 或 AWS Site-to-Site VPN 建置信任的網路。
-
使用您的目標架構將 Web 應用程式公開給不信任網路,但請避免將其與 API 搭配使用。
-
在測試階段使用 VPC 流程日誌。這是因為可能存在多個需要正確組態和驗證的互連元件。
-
驗證每個應用程式所需的傳入和傳出規則,以及其在遷移設計階段 AWS Network Firewall 期間在 中的可用性。
-
如果需要外部, AWS 服務 例如 Amazon Simple Storage Service (Amazon S3) 或 Amazon DynamoDB,建議您透過端點 (端點子網路內) 將服務公開至應用程式 VPC。這可以防止透過不信任的網路進行通訊。
-
透過 提供資源的存取權 (在此情況下為 Amazon EC2),AWS Systems Manager Session Manager以避免 SSH 直接存取資源。
-
Application Load Balancer 透過使用 Network Firewall 為應用程式提供高可用性以及傳入和傳出流量的路由。安全子網路不需要個別負載平衡器。
-
請記住,Application Load Balancer 是面向網際網路的負載平衡器,即使端點的子網路沒有直接網際網路存取。本指南的基於 Network Firewall 的周邊區域架構一節圖表中的路由表端點 A 和路由表端點 B 上沒有網際網路閘道。子網路受 Network Firewall 保護,並可透過 Network Firewall 存取網際網路。
-
使用 Network Firewall 為未加密的 Web 流量提供傳入和傳出 Web 篩選。
