本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 最佳实践 我们建议以下将外围区域应用程序迁移到 AWS Cloud的最佳实践: + 设计目标架构以支持第三方网络防火墙,前提是您可以通过网关负载均衡器将防火墙公开给应用程序 VPC 网络。 + 使用可信网络保护 AWS 应用程序的 VPC 和本地环境之间的流量。您可以使用 [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 或 [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 建立可信的网络。 + 使用目标架构向不受信任的网络公开 Web 应用程序,但要避免将其与 API 一起使用。 + 在测试阶段使用 [VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。这是因为可能有多个相互连接的组件需要正确的配置和验证。 + 在迁移的设计阶段,验证每个应用程序所需的入站和出站规则及其可用性。 AWS Network Firewall + 如果需要外部服务, AWS 服务 例如亚马逊简单存储服务 (Amazon S3) 或亚马逊 DynamoDB,那么我们建议通过终端节点(在终端节点的子网内)将该服务暴露给应用程序 VPC。这样可以防止通过不受信任的网络进行通信。 + 通过提供对资源的访问权限(在本例中为 Amazon EC2)[AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html),以避免通过 SSH 直接访问资源。 + 应用程序负载均衡器使用 Network Firewall 为应用程序提供高可用性以及传入和传出流量的路由。无需为安全子网单独使用负载均衡器。 + 请记住,Application Load Balancer 是一个面向互联网的负载均衡器,尽管终端节点的子网无法直接访问互联网。在本指南的[基于 Network Firewall 的外围区域架构](architecture.md#perimeter-zone-applications-network-firewall)部分中的图表上,**路由表端点 A** 和**路由表端点 B** 上没有互联网网关。子网受 Network Firewall 保护,并且可以通过 Network Firewall 访问互联网。 + 使用 Network Firewall 为未加密的 Web 流量提供入站和出站 Web 筛选。