本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 解决方案 3:共享 VPC 接口终端节点
## 使用案例
您的应用程序映射到不同的业务部门,出于计费和隔离目的,您希望将其迁移到同一地区的不同 AWS 目标账户。
## 挑战
多个工作负载账户会增加每个账户中各个 VPC 接口终端节点的管理开销和成本。因此,您可能希望减少应用程序迁移服务的暂 VPCs 存次数,并集中管理暂存的路由, VPCs 以降低成本和管理开销。
## 解决方案
使用共享暂存区域子网共享 VPC 终端节点 AWS Organizations、和。 AWS RAM有关 VPC 共享的更多信息,请参阅[亚马逊 VPC 文档](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。
## 架构
下图说明了此解决方案的架构。
该图说明了以下交通流:
1. 应用程序迁移服务复制服务器查询 VPC\+2 DNS 以解析应用程序迁移服务、Amazon EC2 或 Amazon S3 的 API 终端节点。
2. VPC\+2 DNS 借助托管私有 AWS 托管区域解析终端节点的私有 IP,并响应应用程序迁移服务复制服务器。
3-6。复制服务器使用该 IP 通过服务的接口端点连接到 AWS 服务 API。
## 实现步骤
1. 在中央网络账户中,为应用程序迁移服务创建暂存 VPC 和子网。
1. 在启用私有 DNS 名称的情况下为应用程序迁移服务、Amazon EC2 或 Amazon S3 创建终端节点。这将创建一个 AWS 托管私有托管区域并将其与暂存 VPC 关联。
1. 与同一 AWS 组织中的目标应用程序帐户共享暂存子网,以及。 AWS 区域
1. 要实现与您的本地数据中心 AWS 之间的混合连接(上图中未显示),请使用 Transit Gateway, Direct Connect 或者 AWS Site-to-Site VPN 使用 Route 53 解析器终端节点,如[解决方案 1](solution-1.md) 和[解决方案 2](solution-2.md) 所示。
## 限制
+ 参与 VPCs 者和所有者的 VPC 必须属于同一个组织 AWS Organizations。 AWS 账户
+ 有关可共享资源的列表,请参阅 [Amazon VPC 文档](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc)。
+ 有关 VPC 共享限制,请参阅[亚马逊 VPC 文档](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-share-limitations)。
## 设计注意事项
+ 要减少运营开销,请创建一次资源,然后 AWS RAM 使用该资源与其他账户共享。这样就无需在每个账户中配置重复的资源,并减少了运营开销。
+ 使用一组策略和权限,简化共享资源的安全管理。如果您在单独的账户中创建重复的资源,则必须实施相同的策略和权限,并在所有账户之间保持同步。相反,您可以通过一组策略和权限来管理共享 AWS RAM 资源的所有用户。 AWS RAM 为共享不同类型的 AWS 资源提供一致的体验。
+ 提供可见性和可审计性。通过与 Amazon 集成 AWS RAM ,查看共享资源的使用详情 CloudWatch ,以及 AWS CloudTrail。有关更多信息,请参阅 AWS RAM 文档 AWS CloudTrail中的[AWS RAM 使用监控 EventBridge](https://docs.aws.amazon.com/ram/latest/userguide/using-eventbridge.html)和[记录 AWS RAM API 调用](https://docs.aws.amazon.com/ram/latest/userguide/cloudtrail-logging.html)。