本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
解決方案 3:共用 VPC 介面端點
使用案例
您的應用程式會映射到不同的業務單位,而且您想要將它們遷移到相同區域中的不同 AWS 目標帳戶,以用於計費和隔離。
挑戰
多個工作負載帳戶會增加管理開銷和每個帳戶中個別 VPC 介面端點的成本。因此,您可能想要減少 Application Migration Service VPCs,並集中管理預備 VPCs的路由,以降低成本和管理開銷。
解決方案
使用共用暫存區域子網路來共用 VPC 端點 AWS Organizations,以及 AWS RAM。如需 VPC 共用的詳細資訊,請參閱 Amazon VPC 文件。
架構
下圖說明此解決方案的架構。
圖表說明下列流量流程:
1. Application Migration Service 複寫伺服器會查詢 VPC+2 DNS,以解析 Application Migration Service、Amazon EC2 或 Amazon S3 的 API 端點。
2. VPC+2 DNS 會在受管私有託管區域的協助 AWS 下解析端點的私有 IP,並回應 Application Migration Service 複寫伺服器。
3-6. 複寫伺服器使用該 IP 透過 服務的介面端點連線至 AWS 服務 API。
實作步驟
-
在中央聯網帳戶中,建立 Application Migration Service 的預備 VPC 和子網路。
-
在啟用私有 DNS 名稱的情況下,建立 Application Migration Service、Amazon EC2 或 Amazon S3 的端點。這會建立 AWS 受管私有託管區域,並將其與預備 VPC 建立關聯。
-
與相同 AWS 組織中的目標應用程式帳戶和 共用預備子網路 AWS 區域。
-
對於 AWS 與內部部署資料中心 (上圖未顯示) 之間的混合連線,請使用 Transit Gateway AWS Direct Connect 或 AWS Site-to-Site VPN Route 53 Resolver 端點,如解決方案 1 和解決方案 2 所示。
限制
-
參與者 VPCs和擁有者 VPC AWS 帳戶 的 必須是 中相同組織的一部分 AWS Organizations。
-
如需可共用資源的清單,請參閱 Amazon VPC 文件。
-
如需 VPC 共用限制,請參閱 Amazon VPC 文件。
設計考量
-
若要降低營運開銷,請建立資源一次,然後使用 AWS RAM 與其他帳戶共用該資源。這樣就不需要在每個帳戶中佈建重複的資源,並減少營運開銷。
-
使用一組政策和許可,簡化共用資源的安全管理。如果您在個別帳戶中建立重複的資源,您必須實作相同的政策和許可,並在所有帳戶中保持同步。反之,您可以透過一組政策和許可來管理共用 AWS RAM 資源的所有使用者。 AWS RAM 提供一致的經驗來共用不同類型的 AWS 資源。
-
提供可見性和可稽核性。 AWS RAM 與 Amazon CloudWatch 和 整合,以檢視共用資源的使用詳細資訊 AWS CloudTrail。如需詳細資訊,請參閱 AWS RAM 文件中的AWS RAM 使用 EventBridge 監控和使用 記錄 AWS RAM API 呼叫 AWS CloudTrail。
