本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 VPC 接口终端节点在多账户架构中重新托管您的应用程序 AWS
<a name="introduction"></a>

*亚马逊 Web Services 的 Dipin Jain 和 Saurabh Shankar*

*2025 年 2 月*（[文档历史记录](doc-history.md)）

许多组织通过使用将其应用程序 AWS 从隔离或半隔离的网络环境中重新托管（提升和转移），包括本地数据中心和其他云或混合基础架构。[AWS Application Migration Service](https://aws.amazon.com/application-migration-service/)这些隔离的网络通常不允许向公共端点发送任何出口流量，如[应用程序迁移服务的网络要求](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-1500)中所述。您可以使用虚拟私有云 (VPC) 接口端点来解决此限制，如 AWS 规范性指导模式中所述，通过[专用网络连接到应用程序迁移服务数据和控制平面](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)。

许多组织还使用多账户 landing zone (MALZ) 架构来实现隔离、安全和按账户计费的好处。要使用应用程序 lift-and-shift迁移服务通过安全的网络迁移到多个目标 AWS 账户，您必须在每个目标中创建 VPC 接口终端节点 AWS 账户。这增加了管理这些资源的成本和复杂性。

本指南讨论了集中化 VPC 接口终端节点的选项，以便在上的多账户架构中重新托管您的应用程序。 AWS这些选项简化了架构并降低了此类用例的成本。

## 目标业务成果
<a name="targeted-business-outcomes"></a>

 

本指南为三个再托管用例提供了解决方案。它侧重于降低成本和运营开销，以及提高安全性和资源利用率。

使用案例：
+ 您的应用程序映射到不同的业务部门，您希望将它们迁移到同一个业务部门的不同 AWS 目标账户， AWS 区域 以简化计费和隔离。

  [此场景的解决方案](solution-1.md)包括在中央 AWS 网络账户中创建 VPC 终端节点 AWS Transit Gateway ，并使用连接目标应用程序账户。
+ 您想将应用程序分成多个迁移到不同的 AWS 目标帐户， AWS 区域 以使应用程序与用户保持距离或便于灾难恢复。这是第一个用例的扩展。

  [这种情况的解决方案](solution-2.md)包括在 AWS 中央网络账户 AWS 区域 中为每个终端节点创建 VPC 终端节点，并使用对等传输网关和 Amazon Route 53 启用跨账户访问。
+ 您的应用程序映射到不同的业务部门， AWS 区域 出于计费和隔离目的，您希望将它们迁移到同一个业务部门的不同 AWS 目标账户。您还希望减少 VPCs 应用程序迁移服务暂存的用量，并希望集中管理分阶段的路由， VPCs 以降低成本和管理开销。

  [此场景的解决方案](solution-3.md)包括使用共享暂存区域子网共享 VPC 终端节点，使用 AWS Organizations 和 AWS Resource Access Manager (AWS RAM)。

## 目标受众
<a name="intended-audience"></a>

本指南适用于正在为这些用例寻找解决方案的迁移顾问、应用程序架构师、基础架构师和应用程序所有者。