本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

建置可擴展且安全的多VPC AWS 網路基礎設施

發佈日期：2024 年 4 月 17 日 (文件歷史記錄)

Amazon Web Services (AWS) 客戶通常依賴數百個帳戶和虛擬私有雲端 (VPCs) 來分割工作負載並擴展其足跡。這種規模通常會在資源共用、連線VPC間和內部部署設施到VPC連線方面造成挑戰。

本白皮書說明使用 Amazon Virtual Private Cloud (AmazonVPC)、AWS Transit Gateway、、AWS PrivateLinkAWS Direct Connect、Gateway Load Balancer、 和 Amazon Route 53 等 AWS 服務，在大型網路中建立可擴展AWS Network Firewall且安全的網路架構的最佳實務。它示範了管理不斷增長的基礎設施的解決方案 - 確保可擴展性、高可用性和安全性，同時保持低成本。

簡介

AWS 客戶從在單一 AWS 帳戶中建置資源開始，該帳戶代表管理界限，將許可、成本和服務分段。不過，隨著客戶的組織不斷成長，為了監控成本、控制存取並提供更輕鬆的環境管理，需要對服務進行更大的區隔。多帳戶解決方案透過為組織中的 IT 服務和使用者提供特定帳戶來解決這些問題。 AWS 提供數種工具來管理和設定此基礎設施，包括 AWS Control Tower。 

當您使用 設定多帳戶環境時 AWS Control Tower，它會建立兩個組織單位 (OUs)：

AWS Control Tower 可讓您建立、註冊和管理其他 OUs，以擴展初始環境來實作指引。

下圖顯示OUs最初部署的 AWS Control Tower。您可以擴展您的 AWS 環境來實作圖表中OUs包含的任何建議項目，以符合您的需求。

如需使用 之多帳戶環境的更多詳細資訊 AWS Control Tower，請參閱使用多個帳戶組織 AWS 環境白皮書中的附錄 E。

大多數客戶都從幾個VPCs開始部署其基礎設施。VPCs 客戶建立的數目通常與其帳戶、使用者和暫存環境 （生產、開發、測試等） 的數量相關。隨著雲端用量的增加，客戶與 互動的使用者、業務單位、應用程式和區域數量也會增加，進而建立新的 VPCs。

隨著數量的VPCs增加，跨VPC管理對於客戶雲端網路的運作至關重要。本白皮書涵蓋跨VPC和混合連線三個特定領域的最佳實務：

IP 地址規劃和管理

為了建置可擴展的多帳戶多VPC網路設計，IP 地址規劃和管理是必要的。良好的 IP 定址機制需要考慮您目前和未來的聯網需求。您的 IP 地址結構 IP 需要涵蓋您的現場部署工作負載、雲端工作負載，也應該允許未來擴展 （例如，新增 AWS 區域、業務單位和合併或收購）。它還應該防止您的團隊無意中建立重疊的 IPCIDRs。如果需要重疊 IP，CIDR例如針對隔離或中斷連線的工作負載，則此決策需要有意識，並應考量對路由、安全性和成本的影響。您可能還需要考慮為此類例外狀況建立必要的核准程序。良好的 IP 定址機制也有助於簡化網路設計和路由組態。

關鍵考量事項：

您可以使用 Amazon VPC IP Address Manager (IPAM) 簡化 AWS 工作負載的規劃、追蹤和監控公有和私有 IP 地址。 IPAM可讓您跨多個 AWS 區域 和 組織、配置、監控和共用 IP 地址空間 AWS 帳戶。它也有助於VPCs使用特定業務規則自動配置 CIDRs至 。

請參閱 Amazon VPC IP Address Manager 最佳實務、使用 Amazon IP Address Manager 管理跨 VPCs和 區域的 VPC IP 集區，以及適用於部落格文章的 IP 地址管理 AWS Control Tower，以學習 IP 定址最佳實務，以及如何使用 IPAM 管理跨 VPCs AWS 區域、 和 的 IP 集區 AWS Control Tower。

您是 Well-Architected 嗎？

AWS Well-Architected 架構可協助您了解在雲端建置系統時所做決策的優缺點。架構的六個支柱可讓您了解架構最佳實務，以設計和操作可靠、安全、有效率、符合成本效益且永續的系統。使用 AWS Well-Architected Tool免費提供的 AWS Management Console，您可以透過回答每個支柱的一組問題，根據這些最佳實務來檢閱工作負載。

如需雲端架構的更多專家指引和最佳實務，請參閱AWS 架構中心，參考架構部署、圖表和白皮書。