Architektur von Netzwerkkonten - AMS-Benutzerhandbuch für Fortgeschrittene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Architektur von Netzwerkkonten

Das folgende Diagramm zeigt die AMS-Landingzone-Umgebung mit mehreren Konten und zeigt den Netzwerkdatenverkehr zwischen den Konten. Es ist ein Beispiel für eine Konfiguration mit hoher Verfügbarkeit.

 

AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.
Diagram showing network traffic flow between AWS-Konten, VPCs, and internet gateways.

AMS konfiguriert alle Netzwerkaspekte für Sie auf der Grundlage unserer Standardvorlagen und der von Ihnen beim Onboarding ausgewählten Optionen. Ein standardmäßiges AWS-Netzwerkdesign wird auf Ihr AWS-Konto angewendet, und eine VPC wird für Sie erstellt und entweder über VPN oder Direct Connect mit AMS verbunden. Weitere Informationen zu Direct Connect finden Sie unter AWS Direct Connect. Zum Standard VPCs gehören die DMZ, Shared Services und ein Anwendungssubnetz. Während des Onboarding-Prozesses VPCs können zusätzliche Informationen angefordert und erstellt werden, die Ihren Anforderungen entsprechen (z. B. Kundenabteilungen, Partner). Nach dem Onboarding erhalten Sie ein Netzwerkdiagramm: ein Umgebungsdokument, das erklärt, wie Ihr Netzwerk eingerichtet wurde.

Anmerkung

Informationen zu Standard-Servicelimits und Einschränkungen für alle aktiven Services finden Sie in der Dokumentation zu AWS-Servicelimits.

Unser Netzwerkdesign basiert auf dem „Prinzip der geringsten Rechte“ von Amazon. Um dies zu erreichen, leiten wir den gesamten eingehenden und ausgehenden Verkehr durch eine DMZ, mit Ausnahme des Datenverkehrs, der aus einem vertrauenswürdigen Netzwerk stammt. Das einzige vertrauenswürdige Netzwerk ist das, das zwischen Ihrer lokalen Umgebung und der VPC mithilfe and/or eines VPN und AWS Direct Connect (DX) konfiguriert wurde. Der Zugriff wird durch die Verwendung von Bastion-Instances gewährt, wodurch ein direkter Zugriff auf Produktionsressourcen verhindert wird. Alle Ihre Anwendungen und Ressourcen befinden sich in privaten Subnetzen, die über öffentliche Load Balancer erreichbar sind. Öffentlicher Ausgangsverkehr fließt über die NAT-Gateways in der Ausgangs-VPC (im Netzwerkkonto) zum Internet Gateway und dann zum Internet. Alternativ kann der Datenverkehr über Ihr VPN oder Direct Connect in Ihre lokale Umgebung fließen.