基础最佳实践

优化您在 Microsoft 许可方面的支出 – 许可是云迁移的关键因素，因为它会影响未来的所有其他决策。我们建议您尽早了解许可选项。有关许可的更多信息，请参阅本指南的 AWS 上的 Microsoft 许可部分。

简化您的云架构：AWS Well-Architected Framework 可帮助您在云中可靠地运行工作负载。您将获得指引和策略，以帮助您遵循框架，避免严重问题，并扩大规模以满足组织的需求。本指引还涵盖账单、访问控制和安全控制。

构建易于管理的集成式云网络：AWS Transit Gateway 可以帮助您更轻松地管理网络，并防止在本地或其他云环境中创建重叠的网络，例如无类别域间路由（CIDR）范围规划。这样，您就可以根据需要将流量路由到每个网络。您必须确定账户如何相互路由，以及如何路由到本地环境和互联网。这使您能够设置适当的控制措施来保护您的网络流量。例如，您必须决定将 AWS 账户作为现有本地数据中心的扩展，并使用其外围防御 [例如防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）]，或者设置一个包含这些外围防御的 AWS 网络账户来保护您的 AWS 资源。

确定云安全的优先顺序：我们建议从单账户转向多账户环境，同时遵守应用最低权限许可的安全最佳实践。我们还建议您透彻了解 AWS 责任共担模式，并计划如何在保持组织敏捷性的同时保护您的环境。为了提高和维护安全，您可以使用 Amazon API Gateway、AWS WAF、应用程序负载均衡器、Amazon CloudWatch、AWS CloudTrail、Amazon GuardDuty 和其他服务。要了解有关多账户策略的更多信息，请参阅 AWS 规范指引文档中的过渡到多个 AWS 账户。

管理云中的共享 IT 服务：为了有效地管理云中的工作负载，必须确定工作负载使用的所有共享服务，并规划如何在云中提供这些服务。例如，这些服务包括 Active Directory、文件服务器、SQL 数据库、DNS、虚拟专用网络（VPN）、简单邮件传输协议（SMTP）、备份和监控服务。清点清单后，您可以决定是将现有服务扩展到云、设置全新的服务实例还是使用其他托管云服务。本指南的后续章节将更详细地介绍这些注意事项。