网络账户架构 - AMS 高级用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网络账户架构

下图描绘了 AMS 多账户 landing zone 环境,显示了账户间的网络流量,并且是高可用性设置的示例。

 

AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.
Diagram showing network traffic flow between AWS 账户, VPCs, and internet gateways.

AMS 根据我们的标准模板和您在入职期间提供的选择选项为您配置网络的各个方面。标准的 AWS 网络设计适用于您的 AWS 账户,然后为您创建一个 VPC,并通过 VPN 或 Direct Connect 连接到 AMS。有关 Direct Connect 的更多信息,请参阅 AWS Direct Connect。标准 VPCs 包括 DMZ、共享服务和应用程序子网。在入职过程中, VPCs 可能会要求并创建其他内容以满足您的需求(例如,客户部门、合作伙伴)。入门后,您将获得一张网络图:一份环境文档,说明您的网络是如何设置的。

注意

有关所有活动服务的默认服务限制和限制的信息,请参阅 AWS 服务限制文档。

我们的网络设计围绕 Amazon 的 “最低权限原则” 构建。为了实现这一目标,除了来自可信网络的流量外,我们会通过 DMZ 路由所有流量(入口和出口)。唯一可信的网络是通过使用 VPN 和 AWS Direct Connect (DX) 在您的本地环境和 VP and/or C 之间配置的网络。通过使用堡垒实例授予访问权限,从而防止直接访问任何生产资源。您的所有应用程序和资源都位于可通过公共负载均衡器访问的私有子网中。公共出口流量通过出口 VPC(在网络账户中)中的 NAT 网关流向 Internet Gateway,然后流向互联网。或者,流量可以通过您的 VPN 或 Direct Connect 流向您的本地环境。