本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 平台架构
<a name="platform-arch"></a>

**为您的云环境制定并维护准则、原则、模式和护栏。**

[架构完善的云环境](https://aws.amazon.com/architecture/well-architected/)可帮助您加快实施、降低风险并推动云采用。平台架构功能可让您的组织内部就推动云采用的企业标准达成共识。您可以定义最佳实践蓝图和护栏，以促进身份验证、安全、联网及日志和监控。此外，您还要考虑并规划由于延迟、数据处理或数据驻留要求而可能需要在本地保留的工作负载，并评估混合云使用案例，例如云爆发、云备份和灾难恢复、分布式数据处理及边缘计算。

## 启动
<a name="platform-arch-start"></a>

### 定义多账户策略
<a name="platform-arch-multi-account"></a>

一个好的[多账户策略](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)会考虑规模和运营效率问题。这意味着将[您的工作负载隔离](https://aws.amazon.com/solutions/guidance/workload-isolation-on-aws/)到最能满足您的运营需求的逻辑模式中。我们建议您从一组基础账户开始，以适应企业中的集中式和分散式服务。您可以集中管理安全、财务和运营职能，以有效管理及治理分布式和自主的团队和账户。您需要在整个组织中保持一致，以了解平台和工作负载将如何分段和管理。了解此结构有助于确保身份验证和授权的安全原则到位，同时与平台不断发展的可接受使用策略保持一致。

### 定义预防性控制
<a name="platform-arch-preventative"></a>

使用一组嵌入式默认控制（*护栏*），规划安全的多账户环境。开始了解并使用诸如[服务控制策略（SCP）](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)之类的机制，来管理整个组织的服务使用情况，包括云平台中可供使用的 AWS 区域。策略提供了一种集中式机制，用于控制所有账户的最大可用权限，并确保它们遵守组织的访问控制准则。

### 定义组织单元结构
<a name="platform-arch-ou"></a>

组织单元（OU）是根据监管要求和软件开发生命周期（SDLC）环境对账户进行管理和分类的实用方法。通过使用 OU，组织可以简化在云基础设施中申请适当策略和权限的流程。[工作负载 OU](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/workloads-ou.html) 专为支持应用程序基础设施资源的账户而设计，可确保强制执行正确的策略。使用 OU 和 SCP 有助于增强组织云基础设施的安全性和合规性，同时还能确保应用程序和服务的平稳运行。这最终会带来更高效、更稳健的云采用流程。

### 定义网络连接
<a name="platform-arch-network"></a>

[网络连接](https://aws.amazon.com/solutions/guidance/network-connectivity-on-aws/)是任何支持创建安全、可扩展且高度可用的网络以支持应用程序和工作负载的云基础设施的关键方面。精心设计的网络可提供始终如一的高性能，并确保在不同的环境中实现无缝运行。

在设计网络架构时，考虑是否由于延迟、数据处理或数据驻留要求而希望保留在[本地](https://aws.amazon.com/hybrid/)的工作负载。通过评估混合云[使用案例](https://d1.awsstatic.com/whitepapers/hybrid-cloud-with-aws.pdf)（例如云爆发、云备份和灾难恢复、分布式数据处理及边缘计算），您可以确定以下方面的关键要求：
+ **与互联网的连接。**这方面涉及在您的应用程序或工作负载与互联网之间提供安全可靠的连接。此连接对于促进访问基于 Web 的资源、实现用户和应用程序之间的通信以及确保公众在需要时可以访问您的服务至关重要。
+ **跨云环境的连接。**本区域侧重于在云基础设施内的各种组件和服务之间建立稳健的连接。它可确保在不同的云服务之间轻松共享和访问数据和资源，从而促进高效协作和更顺畅的运营。这里的一个关键考虑因素是您对[虚拟私有云（VPC）](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)的使用。为了简单起见，请考虑制定有关如何创建和跟踪 VPC 的标准。考虑以编程方式创建这些标准，并计划使用 [IP 地址管理（IPAM）](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)解决方案。分配足够的 IP 空间以允许增长，并设计子网结构，以便在使用多个可用区时轻松排查问题。在设计和实施网络连接时，务必遵循 [VPC 的安全最佳实践](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)。 
+ **本地网络与云环境之间的连接。**这方面涉及本地基础设施与基于云的环境的集成。通过在两者之间建立安全可靠的连接，组织可以从混合架构的优势中受益。例如，您可以同时使用本地资源和云服务，以提高性能、增强可扩展性和优化成本。

通过解决网络连接的这三个关键领域，您可以构建稳健的云基础设施，有效支持您的应用程序和工作负载，从而充分利用云采用的好处。请记下网络要求，并创建一个简单的设计，使您能够根据自己的多账户策略进行扩展。 

### 定义 DNS 策略
<a name="platform-arch-dns"></a>

精心策划的 DNS 策略可帮助您在云环境增长时避免复杂情况。如果您保持本地 DNS 功能，我们建议您设计使用本地 DNS 基础设施和云 DNS 的[混合 DNS 架构](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/hybrid-cloud-dns-options-for-vpc.html)，以满足任何基于云的 DNS 要求。使用解析器端点和转发规则，将 DNS 解析与本地 DNS 环境集成。使用私有托管区来保存有关云 DNS 如何响应一个或多个网络内域及其子域的查询的信息。

### 定义标记标准
<a name="platform-arch-tagging"></a>

标记资源是有效管理成本和确定资源所有权的必要做法。请考虑您的组织将如何进一步促进云使用，包括在平台内使用特定服务。定义标记策略，以跟踪哪些团队正在部署哪些资源。获取 [AWS CAF 运营视角](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-operations-perspective/aws-caf-operations-perspective.html)的意见，并使用标签自动执行已部署基础设施的任务。 

此外，通过使用相关元数据标记资源，您可以从 [AWS CAF 治理视角](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-governance-perspective/cloud-financial-management.html)根据云财务管理（CFM）功能中规定的组织要求对支出进行分组和跟踪。确定支持您的会计和财务实践的报告机制，包括在违反财务策略时应采取的操作。

### 定义可观测性策略
<a name="platform-arch-observe"></a>

制定可观测性策略是优化和保护云架构的关键步骤。该策略的核心是将云服务产生的指标和日志转化为可用于战略决策的可操作的洞察。优先监控关键绩效指标并设置提醒，以提前解决潜在问题。为了防止工具泛滥、优化成本并专注于对贵组织最重要的事情，请将此可观测性策略纳入您的平台和应用程序中。如需进一步指引，请参阅我们关于 [Developing an observability strategy](https://www.youtube.com/watch?v=Ub3ATriFapQ)（AWS re:Invent 2022）的演示。

## 推进
<a name="platform-arch-advance"></a>

### 定义主动控制和检测控制
<a name="platform-arch-detective"></a>

为了取得进展，您的组织必须确定环境中是否需要主动控制和检测性控制（*护栏*）。创建策略，以定义角色和用户在组织单元（OU）内的账户中的护栏或限制。查看平台的所有默认检测性护栏，然后选择要应用的护栏。根据需要创建其他预防性和检测性控制，并按 OU 对它们进行分组，使其与您的多账户策略保持一致。考虑需要哪些组织工具和机制，来检查由检测性控制发现的不合规资源。

### 定义服务入门标准
<a name="platform-arch-onboarding"></a>

为平台的可接受使用、与服务消费关联的模式以及如何管理服务制定标准。考虑允许使用哪些初始服务。创建一份概述这些标准的文档，并将其发布给平台的用户和操作者。确保这些标准随着时间的推移而不断调整，以满足组织不断变化的目标和不断变化的云计算能力。

### 定义模式和原则
<a name="platform-arch-patterns"></a>

通过采纳应用程序所有者的意见，考虑组织内允许采用哪些架构模式，并开始定义标准化的蓝图。随着云规模的扩展，标准化可以实现更好的治理并减轻管理负担。定义将使用基础设施即代码（IaC）的模式，并使用集成到更改控制流程和 IT 服务管理（ITSM）系统的服务目录来规划简化的部署模式。定义如何使用这些蓝图以及允许例外的情况。规划这些例外情况及其治理，同时考虑身份验证、安全监控和护栏。 

## Excel
<a name="platform-arch-excel"></a>

### 定义修复模式
<a name="platform-arch-remediation"></a>

考虑如何注释您的检测性护栏调查发现并确定其优先顺序，以便根据您的安全与合规框架对其进行修复。计划使用自动化来检测不符合策略的资源预调配，包括违反预算和标签策略的资源预调配。在更新运行手册和行动手册时，确定设定和衡量服务水平目标所需的能力。定期审查这些实践，并建立反馈机制，以捕获与平台演变相关的数据。定义相应地创建和更新运行手册和行动手册的机制。 

### 沟通和完善策略
<a name="platform-arch-policy"></a>

为所有文档创建集中式内容管理系统，并将其分发给平台的用户和操作者。创建一种机制来收集反馈，以便将来考虑策略的更改。

### 了解财务管理能力
<a name="platform-arch-financial"></a>

组织若能保持对预算的透明且全面的了解，就能蓬勃发展。这使他们能够做出明智的决策，高效地分配资源，并实现战略目标。清晰的预算视图有助于组织做出明智的决策、有效的资源分配、成本控制、绩效衡量以及保持问责制和合规性，从而帮助组织脱颖而出。最终这将造就一个更高效、财务更稳定、更繁荣的组织。当您拥有成功的标记策略时，您可以使用 [AWS Budgets](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-managing-costs.html) 中的成本筛选条件，根据资源标签筛选费用。这可帮助您创建针对特定项目、部门、环境或其他标准量身定制的预算，从而进一步增强财务管理能力。您可以将[成本分配标签](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)和 [AWS Cost Categories](https://aws.amazon.com/aws-cost-management/aws-cost-categories/) 与标签关联，以便在报告成本时提高财务洞察力和透明度。