Amazon VPC 共享

當團隊之間的網路隔離無需由 VPC 擁有者嚴格管理，但帳戶級別的使用者和許可必須嚴格管理時，共享 VPC 非常有用。使用共享 VPC，多個 AWS 帳戶可於共享、集中管理的 Amazon VPC 中建立其應用程式資源 (如 Amazon EC2 執行個體)。於此模型中，擁有 VPC (擁有者) 的帳戶會和其他帳戶 (參與者) 共用一個或多個子網路。共用子網路後，參與者可以檢視、建立、修改及刪除與其共用之子網路中的應用程式資源。參與者無法檢視、修改或刪除屬於其他參與者或 VPC 擁有者的資源。共享 VPC 中資源之間的安全性使用安全群組和子網路 ACL 進行管理。 

VPC 共享優勢：

• 簡化的設計 — VPC 間連線無復雜性

• 較少的受管 VPC

• 網路團隊和應用程式擁有者之間的職責分工

• 更好的 IPv4 地址利用率

• 更低的成本 — 屬於相同可用區域內不同帳戶的執行個體之間不收取數據傳輸費用

注意：當您與多個帳戶共享一個子網路時，您的參與者應該有一定程度的合作，因為其共享 IP 空間和網路資源。如有必要，您可以選擇為每個參與者帳戶共享不同的子網路。每個參與者一個子網路可讓網路 ACL 提供除安全群組之外的網路隔離。

大多數客户架構將包含多個 VPC，其中許多 VPC 將與兩個或多個帳戶共享。Transit Gateway 和 VPC 對等互連可用來連接共享 VPC。例如，假設您有 10 個應用程式。每個應用程式都需要其自己的 AWS 帳戶。應用程式可分為兩個應用程式組合 (相同組合中的應用程式具有相似的聯網要求，「行銷」中的應用程式 1-5 和「銷售」中的應用程式 6-10)。

每個應用程式組合可具有一個 VPC (總共兩個 VPC)，且 VPC 與該組合內的不同應用程式擁有者帳戶共享。應用程式擁有者將應用程式部署至其各自的共享 VPC 中 (於此情況下，在不同的子網路中使用 NACL 進行網路路由分隔和隔離)。兩個共享 VPC 透過 Transit Gateway 進行連接。利用此設定，您可以從必須連接 10 個 VPC 到僅連接 2 個 (圖 6)。

圖 6 — 範例設定 — 共享 VPC

注意

VPC 共享參與者無法於共享子網路中建立所有的 AWS 資源。如需詳細資訊，請參閱 Amazon VPC 限制。