本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

建立可擴充且安全的多重 VPC AWS 網路基礎

出版日期：二零二四年四月十七日（）文件歷史記錄

Amazon Web Services (AWS) 客戶通常依賴數百個帳戶和虛擬私有雲 (VPC) 來區隔工作負載並擴大其足跡。此級別的規模通常會在資源共用、VPC 間連線以及現場部署設施到 VPC 連線方面帶來挑戰。

本白皮書說明使用 Amazon 虛擬私有雲 (Amazon VPC)、、、AWS Transit Gateway閘道 Load Balancer 和 Amazon R ou te 53 等 AWS 服務在大型網路中建立可擴展且安全網路架構的最佳實務。AWS PrivateLinkAWS Direct ConnectAWS Network Firewall它展示了管理不斷增長的基礎架構的解決方案 — 確保可擴展性、高可用性和安全性，同時保持較低的間接成本。

簡介

AWS 客戶首先在一個帳戶中構建資源，該 AWS 帳戶代表了一個管理界限，該界限分割權限，成本和服務。然而，隨著客戶組織的成長，需要更大的服務細分來監控成本、控制存取，以及提供更輕鬆的環境管理。多帳戶解決方案可針對組織內的 IT 服務和使用者提供特定帳戶，藉此解決這些問題。 AWS 提供數種工具來管理和設定此基礎結構，包括 AWS Control Tower. 

當您使用設定多帳戶環境時 AWS Control Tower，它會建立兩個組織單位 (OU)：

AWS Control Tower 可讓您建立、註冊和管理其他 OU，以擴充初始環境以實作指引。

下圖顯示最初部署的 OU AWS Control Tower。您可以擴充 AWS 環境以實作圖表中包含的任何建議 OU，以符合您的需求。

如需使用多帳戶環境的詳細資訊 AWS Control Tower，請參閱使用多帳戶組織 AWS 環境白皮書中的附錄 E。

大多數客戶從幾個 VPC 開始部署他們的基礎架構。客戶建立的 VPC 數量通常與其帳戶、使用者和階段環境 (生產、開發、測試等) 的數量有關。隨著雲端使用量的增加，客戶與之互動的使用者、業務單位、應用程式和區域數量也會增加，從而導致建立新的 VPC。

隨著 VPC 數量的增加，跨 VPC 管理對於客戶雲端網路的運作變得至關重要。本白皮書涵蓋跨 VPC 和混合式連線三個特定領域的最佳實務：

IP 位址規劃與管理

為了構建可擴展的多帳戶多 VPC 網絡設計，IP 地址規劃和管理至關重要。良好的 IP 定址方案需要考慮您目前和 future 的網路需求。您的 IP 位址配置 IP 需要涵蓋內部部署工作負載、雲端工作負載，並且還應該允許 future 的擴充 (例如 AWS 區域，新增業務單位，以及併購)。這也應該可以防止您的團隊無意中建立重疊的 IP CIDR。如果需要重疊 IP CIDR，例如隔離或中斷連接的工作負載，則此決策必須有意識，並應考慮對路由、安全性和成本的影響。您可能還需要考慮為此類例外建立必要的核准處理。良好的 IP 位址配置也有助於簡化您的網路設計和路由配置。

關鍵考量事項：

您可以使用 Amazon VPC IP 位址管理員 (IPAM) 來簡化工作負載的公有和私有 IP 地址的規劃、追蹤和監控。 AWS IPAM 允許您組織，分配，監視和共享多個 AWS 區域 和之間的 IP 地址空間。 AWS 帳戶它還有助於使用特定商業規則將 CIDR 自動分配給 VPC。

如需部落格文章，請參閱 Amazon VPC IP 地址管理員最佳實務、使用 Amazon VPC IP 地址管理員跨 VPC 和區域管理 IP 集區，以及如何使用 IPAM 管理跨 VPC 和 IP 地址管理 IP 集區的 AWS Control Tower部落格文章。 AWS 區域 AWS Control Tower

你是否 Well-Architected？

AWS Well-Architected 的架構可協助您瞭解在雲端中建置系統時所做決策的優缺點。Framework 的六大支柱可讓您學習如何設計和操作可靠、安全、高效、符合成本效益且可持續發展的系統的架構最佳實務。使用中免費提供的 AWS Well-Architected ToolAWS Management Console，您可以針對每個支柱回答一組問題，根據這些最佳實務來檢閱工作負載。

如需雲端架構的更多專家指導和最佳實務 (參考架構部署、圖表和白皮書)，請參閱架構中心。AWS