本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 網路帳戶
<a name="networking-account"></a>

網路帳戶是 AMS 多帳戶登陸區域帳戶、內部部署網路和輸出流量之間網路路由的中樞。此外，此帳戶包含公有 DMZ 堡壘，是 AMS 工程師存取 AMS 環境中主機的進入點。如需詳細資訊，請參閱 下列網路帳戶的高階圖表。

![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/malzNetworkAccount.png)


# 網路帳戶架構
<a name="malz-network-arch"></a>

下圖說明 AMS 多帳戶登陸區域環境，顯示跨帳戶的網路流量，並且是高可用性設定的範例。

 

![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW-2.png)


![\[Diagram showing network traffic flow between AWS 帳戶, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)


AMS 會根據我們的標準範本和您在加入期間提供的所選選項，為您設定聯網的所有層面。標準 AWS 網路設計會套用至您的 AWS 帳戶，並為您建立 VPC，並透過 VPN 或 Direct Connect 連線至 AMS。如需 Direct Connect 的詳細資訊，請參閱 [AWS Direct Connect](https://aws.amazon.com/directconnect/)。標準 VPCs包括 DMZ、共用服務和應用程式子網路。在加入過程中，可能會請求和建立額外的 VPCs，以符合您的需求 （例如，客戶部門、合作夥伴）。加入後，您會收到網路圖表：說明網路設定方式的環境文件。

**注意**  
如需所有作用中服務的預設服務限制和限制的相關資訊，請參閱 [AWS 服務限制](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)文件。

我們的網路設計是以 Amazon[「最低權限原則」](https://en.wikipedia.org/wiki/Principle_of_least_privilege)為基礎建置。為了達成此目的，我們透過 DMZ 路由所有流量、輸入和輸出，但來自信任網路的流量除外。唯一信任的網路是透過使用 VPN 和/或 AWS Direct Connect (DX) 在內部部署環境和 VPC 之間設定的網路。透過使用堡壘執行個體授予存取權，從而防止直接存取任何生產資源。您的所有應用程式和資源都位於可透過公有負載平衡器連線的私有子網路內。公有輸出流量會透過輸出 VPC 中的 NAT 閘道 （在網路帳戶中） 流向網際網路閘道，然後流向網際網路。或者，流量可以透過 VPN 或 Direct Connect 流向內部部署環境。

# 私有網路連線至 AMS 多帳戶登陸區域環境
<a name="malz-net-arch-private-net"></a>

AWS 透過虛擬私有網路 (VPN) 連線或專用線路與 AWS Direct Connect 提供私有連線。多帳戶環境中的私有連線，是使用下列其中一種方法設定：
+ 使用 Transit Gateway 的集中式 Edge 連線
+ 將 Direct Connect (DX) 和/或 VPN 連線至帳戶虛擬私有雲端 (VPCs)

# 使用傳輸閘道的集中式邊緣連線
<a name="malz-net-arch-cent-edge"></a>

AWS Transit Gateway 是一項服務，可讓您將 VPCs 和內部部署網路連線至單一閘道。傳輸閘道 (TGW) 可用來合併現有的邊緣連線，並透過單一輸入/輸出點路由。傳輸閘道會在您 AMS 多帳戶環境的網路帳戶中建立。如需傳輸閘道的詳細資訊，請參閱 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。

AWS Direct Connect (DX) 閘道用於透過傳輸虛擬介面將 DX 連接連接到傳輸閘道VPCs VPNs。您將 Direct Connect 閘道與傳輸閘道建立關聯。然後，為您的 AWS Direct Connect 連線至 Direct Connect 閘道建立傳輸虛擬介面。如需 DX 虛擬介面的資訊，請參閱 [ AWS Direct Connect 虛擬介面](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)。

此組態具有以下好處。您可以：
+ 管理相同 AWS 區域中多個 VPCs 或 VPNs單一連線。
+ 將字首從內部部署公告至 AWS，以及從 AWS 公告至內部部署。

**注意**  
如需搭配 AWS 服務使用 DX 的詳細資訊，請參閱彈性工具組一節 [Classic](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html)。如需詳細資訊，請參閱[傳輸閘道關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)。

![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/malz-cent-edge.png)


若要提高連線能力，建議您從不同 AWS Direct Connect 位置將至少兩個傳輸虛擬介面連接至 Direct Connect 閘道。如需詳細資訊，請參閱 [AWS Direct Connect 彈性建議](https://aws.amazon.com/directconnect/resiliency-recommendation/)。

# 將 DX 或 VPN 連線至帳戶 VPCs
<a name="malz-net-arch-dx-vpn"></a>

使用此選項時，您 AMS 多帳戶登陸區域中VPCs 會直接連線至 Direct Connect 或 VPN。流量會直接從 VPCs 流向 Direct Connect 或 VPN，而不會周遊傳輸閘道。

# 網路帳戶中的資源
<a name="networking-account-resources"></a>

如聯網帳戶圖表所示，下列元件會在帳戶中建立，並需要您的輸入。

網路帳戶包含兩個 VPCs： **輸出 VPC** 和 **DMZ VPC**，也稱為**周邊** VPC。

# AWS Network Manager
<a name="networking-manager"></a>

AWS Network Manager 是一項服務，可讓您將傳輸閘道 (TGW) 網路視覺化，而無須支付 AMS 額外費用。它提供 AWS 資源和內部部署網路的集中式網路監控、拓撲圖和地理地圖中私有網路的單一全域檢視，以及使用率指標，例如位元組輸入/輸出、封包輸入/輸出、捨棄的封包，以及拓撲、路由和上/下連線狀態的變更提醒。如需相關資訊，請參閱[AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/)。

使用下列其中一個角色來存取此資源：
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole

# 輸出 VPC
<a name="networking-vpc"></a>

輸出 VPC 主要用於輸出流量到網際網路，由最多三個可用區域 (AZs) 中的公有/私有子網路組成。網路位址轉譯 (NAT) 閘道佈建在公有子網路中，傳輸閘道 (TGW) VPC 連接則建立在私有子網路中。來自所有網路的輸出或傳出網際網路流量會透過 TGW 透過私有子網路進入，然後透過 VPC 路由表路由至 NAT。

對於在公有子網路中包含公開應用程式的 VPCs，來自網際網路的流量會包含在該 VPC 中。傳回流量不會路由至 TGW 或輸出 VPC，而是透過 VPC 中的網際網路閘道 (IGW) 傳回。

**注意**  
網路 VPC CIDR 範圍：建立 VPC 時，您必須以無類別網域間路由 (CIDR) 區塊的形式指定 VPC 的 IPv4 地址範圍；例如 10.0.16.0/24。這是您 VPC 的主要 CIDR 區塊。  
AMS 多帳戶登陸區域團隊建議 24 的範圍 （具有更多 IP 地址），以便在未來部署其他資源/設備時提供一些緩衝。

# 周邊 (DMZ) VPC
<a name="networking-dmz"></a>

周邊或 DMZ、VPC 包含 AMS Operations 工程師存取 AMS 網路所需的資源。它包含跨 2-3 個AZs公有子網路，並在 Auto Scaling 群組 (ASG) 中包含 SSH Bastions 主機，供 AMS Operations 工程師登入或通道。連接至 DMZ 堡壘的安全群組包含來自 **Amazon Corp Networks **的連接埠 22 傳入規則。

*DMZ VPC CIDR 範圍：*建立 VPC 時，您必須以無類別網域間路由 (CIDR) 區塊的形式指定 VPC 的 IPv4 地址範圍；例如 10.0.16.0/24。這是您 VPC 的主要 CIDR 區塊。

**注意**  
AMS 團隊建議 24 的範圍 （具有更多 IP 地址），以便在將來部署防火牆等其他資源時提供一些緩衝。

# AWS Transit Gateway
<a name="networking-transit-gateway"></a>

AWS Transit Gateway (TGW) 是一項服務，可讓您將 Amazon Virtual Private Clouds (VPCs) 和內部部署網路連線至單一閘道。傳輸閘道是處理 AMS 帳戶網路與外部網路之間路由的網路骨幹。如需傳輸閘道的相關資訊，請參閱 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。

提供下列輸入來建立此資源：
+ *傳輸閘道 ASN 編號*\$1：為您的傳輸閘道提供私有自治系統編號 (ASN)。此為邊界閘道協定 (BGP) 工作階段的 AWS 端 ASN。16 位元的 ASN 範圍應介於 64512 到 65534。