View a markdown version of this page

Solusi 1: Membuat titik akhir VPC di akun jaringan pusat untuk satu Wilayah - AWS Bimbingan Preskriptif
Kasus penggunaanTantanganSolusiArsitekturLangkah-langkah implementasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Solusi 1: Membuat titik akhir VPC di akun jaringan pusat untuk satu Wilayah

Kasus penggunaan

Aplikasi Anda dipetakan ke unit bisnis yang berbeda dan Anda ingin memigrasikannya ke akun AWS target yang berbeda Wilayah AWS untuk tujuan penagihan dan isolasi.

Tantangan

Untuk mencapai ini melalui jaringan pribadi, Anda harus membuat beberapa titik akhir antarmuka VPC di setiap akun target. Ini menambah overhead administratif dan biaya untuk mempertahankan titik akhir. (Lihat AWS PrivateLink harga.)

Solusi

Buat titik akhir VPC di akun AWS jaringan pusat dan gunakan Transit Gateway untuk terhubung ke akun aplikasi target.

Arsitektur

Diagram berikut menggambarkan arsitektur untuk solusi ini.

Arus lalu lintas untuk rehosting beberapa akun di Wilayah yang sama.

Dalam diagram, angka-angka mewakili arus lalu lintas berikut:

  1. Instans Amazon Elastic Compute Cloud (Amazon EC2) atau server replikasi Layanan Migrasi Aplikasi yang perlu terhubung ke Amazon Simple Storage Service (Amazon S3), Layanan Migrasi Aplikasi, atau Amazon EC2 melalui titik akhir antarmuka yang terletak di akun jaringan pusat VPC terlebih dahulu perlu menyelesaikan nama domain dengan menanyakan VPC2 +2 penyelesai. Zona host pribadi titik akhir dikaitkan dengan pementasan VPC Layanan Migrasi Aplikasi di Wilayah yang sama untuk menyelesaikan resolusi domain.

    catatan

    Untuk setiap zona host pribadi yang Anda kaitkan dengan VPC, resolver membuat aturan dan mengaitkannya dengan VPC. Jika Anda mengaitkan zona host pribadi dengan beberapa VPCs, resolver mengaitkan aturan dengan semua. VPCs

  2. Ketika instance mengetahui IP pribadi untuk terhubung, ia mengirimkan lalu lintas ke gateway transit ENI. Lalu lintas dikirim ke gateway transit dan diteruskan ke VPC sumber daya bersama, berdasarkan tabel rute gateway transit.

  3. Gerbang transit ENI di VPC sumber daya bersama meneruskan lalu lintas ke titik akhir antarmuka yang sesuai.

  4. Titik akhir VPC mengirimkan respons kembali ke gateway transit ENI.

  5. Lalu lintas diteruskan ke gateway transit. Seperti yang ditentukan dalam tabel rute gateway transit, lalu lintas dikirim ke VPC pementasan Layanan Migrasi Aplikasi spoke. Respons dikirim oleh gateway transit ENI ke tujuan, yaitu, ke instans EC2 atau server replikasi Layanan Migrasi Aplikasi.

  6. Aplikasi klien yang terletak di pusat data perusahaan menyelesaikan nama domain dalam formulir <aws_service>.<aws_region>.amazonaws.com (misalnya,mgn.us-east-1.amazonaws.com). Ini mengirimkan kueri ke resolver DNS yang telah dikonfigurasi sebelumnya. Penyelesai DNS di pusat data perusahaan memiliki aturan penerusan yang mengarahkan kueri DNS apa pun untuk amazonaws.com domain ke titik akhir masuk Route 53 Resolver. Transit Gateway meneruskan kueri ke VPC sumber daya bersama, yang meneruskan kueri DNS di titik akhir masuk Route 53 Resolver.

    Titik akhir masuk Route 53 Resolver menggunakan resolver VPC+2. Zona host pribadi titik akhir yang terkait dengan VPC sumber daya bersama menyimpan catatan amazonaws.com DNS, sehingga Resolver Route 53 dapat menyelesaikan kueri.

  7. Titik akhir keluar Route 53 Resolver mengembalikan respons kueri DNS ke aplikasi klien lokal.

Langkah-langkah implementasi

Untuk mengatur arsitektur yang ditunjukkan pada diagram sebelumnya, ikuti langkah-langkah berikut:

  1. Hubungkan pusat data perusahaan Anda ke akun jaringan pusat AWS melalui AWS Direct Connect atau AWS Site-to-Site VPN.

  2. Di akun jaringan, gunakan Transit Gateway untuk menyediakan konektivitas antara VPCs. Gateway transit dibagi antara Akun AWS dengan menggunakan AWS RAM, dan selanjutnya terhubung ke subnet pementasan akun aplikasi target melalui lampiran VPC.

    catatan

    Target Akun AWS tidak harus menjadi bagian dari AWS organisasi yang sama. Untuk informasi selengkapnya, lihat Sumber daya yang dapat dibagikan dalam AWS RAM dokumentasi.

  3. Buat titik akhir antarmuka VPC untuk Amazon EC2, Layanan Migrasi Aplikasi, dan Amazon S3 di akun jaringan pusat tanpa mengaktifkan nama DNS pribadi.

    catatan

    Saat Anda membuat titik akhir VPC ke sebuah Layanan AWS, Anda dapat mengaktifkan DNS pribadi. Saat diaktifkan, pengaturan akan membuat zona host pribadi Route 53 terkelola untuk Anda. Zona terkelola ini menyelesaikan nama DNS dalam VPC. Namun, itu tidak berfungsi di luar VPC. Ini adalah alasan untuk menggunakan berbagi zona host pribadi dan Resolver Route 53 untuk membantu mendapatkan resolusi nama terpadu untuk titik akhir VPC bersama.

  4. Buat zona host pribadi untuk setiap titik akhir (Layanan Migrasi Aplikasi, Amazon EC2, Amazon S3). Misalnya, untuk Layanan Migrasi Aplikasi di us-east-1 Wilayah:

    • Buat zona host pribadi dengan nama domainmgn.us-east-1.amazonaws.com.

    • Buat catatan host tipe A yang mengarahkan nama domain ke titik akhir IPs.

  5. Buat aturan masuk dan keluar Resolver Route 53 untuk memfasilitasi resolusi DNS hibrida, dan bagikan aturan dengan yang diperlukan Akun AWS di Wilayah yang sama.