Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Akun jaringan
Akun Networking berfungsi sebagai hub pusat untuk perutean jaringan antara akun landing zone multi-akun AMS, jaringan lokal Anda, dan lalu lintas keluar ke Internet. Selain itu, akun ini berisi benteng DMZ publik yang merupakan titik masuk bagi insinyur AMS untuk mengakses host di lingkungan AMS. Untuk detailnya, lihat diagram tingkat tinggi berikut dari akun jaringan di bawah ini.
![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/malzNetworkAccount.png)
# Arsitektur akun jaringan
Diagram berikut menggambarkan lingkungan landing zone multi-akun AMS, menampilkan arus lalu lintas jaringan di seluruh akun, dan merupakan contoh pengaturan yang sangat tersedia.
![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW-2.png)
![\[Diagram showing network traffic flow between Akun AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)
AMS mengonfigurasi semua aspek jaringan untuk Anda berdasarkan templat standar kami dan opsi pilihan Anda yang disediakan selama orientasi. Desain jaringan AWS standar diterapkan ke akun AWS Anda, dan VPC dibuat untuk Anda dan terhubung ke AMS oleh VPN atau Direct Connect. Untuk informasi selengkapnya tentang Direct Connect, lihat [AWS Direct Connect](https://aws.amazon.com/directconnect/). Standar VPCs termasuk DMZ, layanan bersama, dan subnet aplikasi. Selama proses orientasi, tambahan VPCs mungkin diminta dan dibuat agar sesuai dengan kebutuhan Anda (misalnya, divisi pelanggan, mitra). Setelah onboarding, Anda diberikan diagram jaringan: dokumen lingkungan yang menjelaskan bagaimana jaringan Anda telah diatur.
**catatan**
Untuk informasi tentang batasan dan batasan layanan default untuk semua layanan aktif, lihat dokumentasi [AWS Service](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) Limits.
Desain jaringan kami dibangun di sekitar [“Prinsip Hak Istimewa Paling Sedikit”](https://en.wikipedia.org/wiki/Principle_of_least_privilege) Amazon. Untuk mencapai hal ini, kami merutekan semua lalu lintas, masuk dan keluar, melalui DMZ, kecuali lalu lintas yang berasal dari jaringan tepercaya. Satu-satunya jaringan tepercaya adalah jaringan yang dikonfigurasi antara lingkungan lokal Anda dan VPC melalui penggunaan and/or VPN dan AWS Direct Connect (DX). Akses diberikan melalui penggunaan instans benteng, sehingga mencegah akses langsung ke sumber daya produksi apa pun. Semua aplikasi dan sumber daya Anda berada di dalam subnet pribadi yang dapat dijangkau melalui penyeimbang beban publik. Lalu lintas jalan keluar publik mengalir melalui NAT Gateways di jalan keluar VPC (di akun Jaringan) ke Internet Gateway dan kemudian ke Internet. Atau, lalu lintas dapat mengalir melalui VPN atau Direct Connect ke lingkungan lokal Anda.
# Konektivitas jaringan pribadi ke lingkungan landing zone multi-akun AMS
AWS menawarkan konektivitas pribadi melalui konektivitas jaringan pribadi virtual (VPN), atau jalur khusus dengan AWS Direct Connect. Konektivitas pribadi di lingkungan multi-akun Anda, diatur menggunakan salah satu metode yang dijelaskan berikut:
+ Konektivitas Edge terpusat menggunakan Transit Gateway
+ Menghubungkan Direct Connect (DX) and/or VPN ke akun virtual private cloud () VPCs
# Konektivitas tepi terpusat menggunakan gateway transit
AWS Transit Gateway adalah layanan yang memungkinkan Anda menghubungkan jaringan lokal VPCs dan lokal ke satu gateway. Transit gateway (TGW) dapat digunakan untuk mengkonsolidasikan konektivitas edge yang ada dan mengarahkannya melalui satu titik. ingress/egress Transit gateway dibuat di akun jaringan lingkungan multi-akun AMS Anda. Untuk detail selengkapnya tentang gateway transit, lihat [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Gateway AWS Direct Connect (DX) digunakan untuk menghubungkan koneksi DX Anda melalui antarmuka virtual transit ke VPCs atau VPNs yang dilampirkan ke gateway transit Anda. Anda mengaitkan gateway Direct Connect dengan transit gateway. Kemudian, buat antarmuka virtual transit untuk koneksi AWS Direct Connect Anda ke gateway Direct Connect. Untuk informasi tentang antarmuka virtual DX, lihat [AWS Direct Connect Virtual](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html) Interfaces.
Konfigurasi ini menawarkan manfaat sebagai berikut. Anda dapat:
+ Kelola satu koneksi untuk beberapa VPCs atau VPNs yang berada di Wilayah AWS yang sama.
+ Iklankan awalan dari lokal ke AWS, dan dari AWS ke lokal.
**catatan**
[Untuk informasi tentang penggunaan DX dengan layanan AWS, lihat bagian Ketahanan Toolkit Klasik.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Untuk informasi selengkapnya, lihat [asosiasi Transit Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).
![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/malz-cent-edge.png)
Untuk meningkatkan ketahanan konektivitas Anda, kami sarankan Anda melampirkan setidaknya dua antarmuka virtual transit dari lokasi AWS Direct Connect yang berbeda ke gateway Direct Connect. Untuk informasi selengkapnya, lihat rekomendasi [ketahanan AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/).
# Menghubungkan DX atau VPN ke akun VPCs
Dengan opsi ini, lingkungan landing zone multi-akun AMS Anda terhubung langsung ke Direct Connect atau VPN. VPCs Lalu lintas langsung mengalir dari VPCs ke Direct Connect atau VPN tanpa melintasi gateway transit.
# Sumber daya di akun jaringan
Seperti yang ditunjukkan pada diagram akun jaringan, komponen berikut dibuat di akun dan memerlukan masukan Anda.
**Akun Networking berisi dua VPCs: **Egress VPC dan DMZ VPC** juga dikenal sebagai **Perimeter VPC**.**
# Manajer Jaringan AWS
AWS Network Manager adalah layanan yang memungkinkan Anda memvisualisasikan jaringan transit gateway (TGW) Anda tanpa biaya tambahan ke AMS. Ini menyediakan pemantauan jaringan terpusat pada sumber daya AWS dan pada jaringan lokal, satu tampilan global jaringan pribadi mereka dalam diagram topologi dan dalam peta geografis, dan metrik pemanfaatan, seperti status koneksi byte. in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down Untuk informasi, lihat [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).
Gunakan salah satu peran berikut untuk mengakses sumber daya ini:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole
# Keluar VPC
VPC Egress terutama digunakan untuk lalu lintas keluar ke Internet dan terdiri dari public/private subnet di hingga tiga zona ketersediaan (). AZs Gateway terjemahan alamat jaringan (NAT) disediakan di subnet publik, dan lampiran VPC transit gateway (TGW) dibuat di subnet pribadi. Jalan keluar, atau keluar, lalu lintas internet dari semua jaringan masuk melalui subnet pribadi melalui TGW, di mana kemudian dialihkan ke NAT melalui tabel rute VPC.
Untuk Anda VPCs yang berisi aplikasi yang menghadap publik di subnet publik, lalu lintas yang berasal dari internet terkandung dalam VPC itu. Lalu lintas kembali tidak diarahkan ke TGW atau Egress VPC, tetapi dirutekan kembali melalui internet gateway (IGW) di VPC.
**catatan**
Rentang CIDR VPC Jaringan: Saat Anda membuat VPC, Anda harus menentukan rentang alamat IPv4 untuk VPC dalam bentuk blok Classless Inter-Domain Routing (CIDR); misalnya, 10.0.16.0/24. Ini akan menjadi blok CIDR utama VPC Anda.
Tim landing zone multi-akun AMS merekomendasikan rentang 24 (dengan lebih banyak alamat IP) untuk menyediakan beberapa buffer jika sumber daya/peralatan lain, digunakan di masa mendatang.
# Perimeter (DMZ) VPC
Perimeter, atau DMZ, VPC berisi sumber daya yang diperlukan untuk insinyur Operasi AMS untuk mengakses jaringan AMS. Ini berisi subnet publik di 2-3 AZs, dengan host SSH Bastions dalam grup Auto Scaling (ASG) untuk insinyur Operasi AMS untuk masuk atau melalui terowongan. **Kelompok keamanan yang melekat pada benteng DMZ berisi aturan masuk port 22 dari Amazon Corp Networks.**
Rentang *CIDR VPC DMZ: Saat Anda membuat VPC, Anda harus menentukan rentang* alamat IPv4 untuk VPC dalam bentuk blok Classless Inter-Domain Routing (CIDR); misalnya, 10.0.16.0/24. Ini akan menjadi blok CIDR utama VPC Anda.
**catatan**
Tim AMS merekomendasikan rentang 24 (dengan lebih banyak alamat IP) untuk menyediakan beberapa buffer jika sumber daya lain, seperti firewall, digunakan di masa depan.
# AWS Transit Gateway
AWS Transit Gateway (TGW) adalah layanan yang memungkinkan Anda menghubungkan Amazon Virtual Private Clouds (VPCs) dan jaringan lokal Anda ke satu gateway. Transit gateway adalah backbone jaringan yang menangani routing antara jaringan akun AMS dan jaringan eksternal. Untuk informasi tentang Transit Gateway, lihat [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Berikan masukan berikut untuk membuat sumber daya ini:
+ Nomor *ASN Transit Gateway \$1: Berikan Nomor* Sistem Otonomi pribadi (ASN) untuk gateway transit Anda. Ini harus menjadi ASN untuk sisi AWS dari sesi Border Gateway Protocol (BGP). Kisarannya adalah 64512 hingga 65534 untuk 16-bit. ASNs