本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 平台架構
<a name="platform-arch"></a>

**為您的雲端環境建立和維護指導方針、原則、模式和護欄。**

[架構良好的雲端環境](https://aws.amazon.com/architecture/well-architected/)可協助您加速實作、降低風險並推動雲端採用。平台架構功能會在您的組織中建立企業標準的共識，以推動雲端採用。您可以定義最佳實務藍圖和護欄，以促進身分驗證、安全性、聯網以及記錄和監控。此外，您考慮並規劃由於延遲、資料處理或資料駐留需求而需要保留在現場部署的工作負載，並評估混合雲端使用案例，例如雲端爆增、備份和災難復原到雲端、分散式資料處理和邊緣運算。

## Start
<a name="platform-arch-start"></a>

### 定義多帳戶策略
<a name="platform-arch-multi-account"></a>

良好的[多帳戶策略](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)會考慮擴展和營運效率問題。這表示[將您的工作負載隔離](https://aws.amazon.com/solutions/guidance/workload-isolation-on-aws/)為最符合您營運需求的邏輯模式。我們建議您從一組基礎帳戶開始，以適應企業中的集中式和分散式服務。您可以集中安全、財務和營運功能，以有效地管理和管理您的分散式和自主團隊和帳戶。您會希望在整個組織中保持一致，以了解平台和工作負載將如何分割和管理。了解此結構可協助您確保安全原則適用於身分驗證和授權，同時符合平台不斷發展的可接受使用政策。

### 定義預防性控制
<a name="platform-arch-preventative"></a>

使用一組內嵌的預設控制項 (*護欄*) 規劃安全的多帳戶環境。開始了解並使用[服務控制政策 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 等機制來管理整個組織的服務使用，包括 AWS 區域 可在雲端平台內使用的 。政策提供集中式機制，用於控制所有帳戶的可用許可上限，並確保他們遵守組織的存取控制準則。

### 定義組織單位結構
<a name="platform-arch-ou"></a>

組織單位 (OUs) 是根據法規要求和軟體開發生命週期 (SDLC) 環境管理和分類帳戶的實用方式。透過使用 OUs，組織可簡化在其雲端基礎設施中申請適當政策和許可的程序。[工作負載 OUs](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/workloads-ou.html)專為支援應用程式基礎設施資源的帳戶而設計，並確保強制執行正確的政策。使用 OUs和 SCPs 有助於增強組織的雲端基礎設施的安全性和合規性，同時確保應用程式和服務的運作順暢。這最終會導致更有效率且強大的雲端採用程序。

### 定義網路連線
<a name="platform-arch-network"></a>

[網路連線](https://aws.amazon.com/solutions/guidance/network-connectivity-on-aws/)是任何雲端基礎設施的重要層面，可支援建立安全、可擴展且高可用性的網路，以支援應用程式和工作負載。設計良好的網路可提供一致的高效能，並確保跨不同環境的無縫操作。

當您設計網路架構時，請考慮您是否因為延遲、資料處理或資料駐留需求而想要[在內部部署](https://aws.amazon.com/hybrid/)中保留工作負載。透過評估混合雲端[使用案例](https://d1.awsstatic.com/whitepapers/hybrid-cloud-with-aws.pdf)，例如雲端暴增、雲端備份和災難復原、分散式資料處理和邊緣運算，您可以識別下列方面的關鍵需求：
+ **往返網際網路的連線能力。**這方面涉及在您的應用程式或工作負載與網際網路之間提供安全可靠的連線。這種連線對於促進對 Web 資源的存取、啟用使用者和應用程式之間的通訊，並確保您的服務在需要時可供大眾存取至關重要。
+ **跨雲端環境的連線能力。**此區域著重於在您的雲端基礎設施內的各種元件和服務之間建立強大的連線。它可確保資料和資源可在不同的雲端服務之間輕鬆共用和存取，進而促進高效率的協同合作和更順暢的操作。此處的關鍵考量是您使用[虛擬私有雲端 (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。為了保持簡單，請考慮建立如何建立和追蹤 VPCs 的標準。請考慮以程式設計方式建立這些標準，並計劃使用 [IP 地址管理 (IPAM)](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) 解決方案。配置足夠的 IP 空間以允許增長，並設計子網路結構，以便在使用多個可用區域時輕鬆進行故障診斷。當您設計和實作網路連線時，請務必遵循 [ VPCs 的安全最佳實務](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)。 
+ **內部部署網路與雲端環境之間的連線。**此方面處理現場部署基礎設施與雲端環境的整合。透過在兩者之間建立安全可靠的連線，組織可以從混合架構的優勢中受益。例如，您可以同時使用內部部署資源和雲端服務，以提高效能、可擴展性和成本最佳化。

透過解決網路連線的這三個關鍵領域，您可以建置強大的雲端基礎設施，以有效支援您的應用程式和工作負載，讓您可以利用雲端採用的優勢。請注意聯網需求，並建立簡單的設計，讓您能夠根據多帳戶策略進行擴展。 

### 定義 DNS 策略
<a name="platform-arch-dns"></a>

妥善規劃的 DNS 策略可協助您避免雲端環境成長時的複雜性。如果您維護內部部署 DNS 功能，建議您針對任何雲端型 DNS 需求，設計使用內部部署 DNS 基礎設施和雲端 DNS 的[混合](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/hybrid-cloud-dns-options-for-vpc.html) DNS 架構。使用解析程式端點和轉送規則，將 DNS 解析與內部部署 DNS 環境整合。使用私有託管區域來保留有關您希望雲端 DNS 如何回應一個或多個網路中網域及其子網域的查詢的資訊。

### 定義標記標準
<a name="platform-arch-tagging"></a>

標記資源是有效管理成本並識別資源擁有權的重要實務。請考慮您的組織如何進一步允許雲端使用，包括使用平台內的特定服務。定義標記策略，追蹤哪些團隊正在部署哪些資源。從 [AWS CAF Operations 的觀點](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-operations-perspective/aws-caf-operations-perspective.html)取得輸入，並使用標籤來自動化已部署基礎設施的任務。 

此外，透過標記具有相關中繼資料的資源，您可以根據 [AWS CAF 控管角度](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-governance-perspective/cloud-financial-management.html)中雲端財務管理 (CFM) 功能中指定的組織需求來分組和追蹤您的花費。識別支援會計和財務實務的報告機制，包括違反財務政策時要採取的動作。

### 定義可觀測性策略
<a name="platform-arch-observe"></a>

建立可觀測性策略是最佳化和保護雲端架構的關鍵步驟。此策略涉及將雲端服務產生的指標和日誌轉換為可行的洞察，以進行策略決策。排定監控關鍵績效指標的優先順序，並設定提醒來預先解決潛在問題。為了防止工具擴散、最佳化成本，並專注於對組織最重要的事項，請在您的平台和應用程式中整合此可觀測性策略。如需進一步指引，請參閱我們[有關制定可觀測性策略的簡報 ](https://www.youtube.com/watch?v=Ub3ATriFapQ)(AWS re：Invent 2022)。

## 進階
<a name="platform-arch-advance"></a>

### 定義主動和偵測性控制
<a name="platform-arch-detective"></a>

若要提升，您的組織必須識別環境中主動和偵測性控制 (*護欄） *的需求。建立政策來定義角色和使用者在組織單位 (OU) 內帳戶中所擁有的護欄或限制。檢閱平台的任何預設偵測護欄，然後選擇要套用的護欄。視需要建立額外的預防性和偵測性控制，並依 OUs 分組，使其與您的多帳戶策略保持一致。考慮您需要哪些組織工具和機制來檢查偵測控制項識別的不合規資源。

### 定義服務加入的標準
<a name="platform-arch-onboarding"></a>

建立可接受使用平台的標準，以及與服務使用量相關的模式，以及如何控管。考慮允許使用哪些初始服務。建立概述這些標準的文件，並將其發佈至平台的使用者和運算子。確保這些標準隨著時間調整，以滿足組織不斷變化的目標和雲端運算不斷發展的功能。

### 定義模式和原則
<a name="platform-arch-patterns"></a>

考慮使用應用程式擁有者的輸入，在您的組織內允許哪些架構模式，並開始定義標準化的藍圖。當您在雲端中擴展時，標準化可實現更大的控管和更低的管理負擔。定義將使用基礎設施做為程式碼 (IaC) 的模式，並使用整合到您的變更控制程序和 IT 服務管理 (ITSM) 系統的服務目錄來規劃簡化的部署模型。定義如何使用這些藍圖，以及允許例外狀況的情況。規劃這些例外狀況及其控管，並考量身分驗證、安全監控和防護機制。 

## Excel
<a name="platform-arch-excel"></a>

### 定義修復模式
<a name="platform-arch-remediation"></a>

考慮如何註釋偵測性護欄調查結果並排定優先順序，以便根據您的安全與合規架構進行修復。 計劃使用自動化來偵測out-of-policy佈建，包括違反預算和標記政策的項目。識別在更新 Runbook 和程序手冊時設定和測量服務層級目標所需的功能。設定這些實務和意見回饋機制的定期審查，以擷取與平台演變相關的資料。定義相應地建立和更新 Runbook 和程序手冊的機制。 

### 溝通和精簡政策
<a name="platform-arch-policy"></a>

為所有文件建立集中式內容管理系統，並將其分發給平台的使用者和運算子。建立機制來擷取意見回饋，以供未來考慮政策的變更。

### 了解財務管理功能
<a name="platform-arch-financial"></a>

當組織保持對預算的透明和全面了解時，他們就會茁壯成長。這讓他們能夠做出明智的決策、有效率地配置資源，以及實現其策略目標。透過促進明智的決策、有效的資源分配、成本控制、效能衡量以及責任和合規維護，清晰的預算檢視有助於組織實現卓越。這最終會產生更有效率、財務穩定且繁榮的組織。當您有成功的標記策略時，您可以在 中使用成本篩選條件[AWS Budgets](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-managing-costs.html)，根據資源標籤篩選費用。這可協助您建立針對特定專案、部門、環境或其他條件量身打造的預算，進一步增強財務管理功能。您可以將[成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)和[AWS Cost Categories](https://aws.amazon.com/aws-cost-management/aws-cost-categories/)與標籤建立關聯，以便在報告成本時推動財務洞察和透明度。