本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 最佳實務 我們建議使用下列最佳實務,來將周邊區域應用程式遷移至 AWS 雲端: + 設計目標架構以支援第三方網路防火牆,前提是您可以透過 Gateway Load Balancer 將防火牆公開給應用程式 VPC 網路。 + 使用信任的網路來保護 AWS 應用程式 VPC 和內部部署環境之間的流量流程。您可以使用 [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 或 [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 建置信任的網路。 + 使用您的目標架構將 Web 應用程式公開給不信任網路,但請避免將其與 API 搭配使用。 + 在測試階段使用 [VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。這是因為可能存在多個需要正確組態和驗證的互連元件。 + 驗證每個應用程式所需的傳入和傳出規則,以及其在遷移設計階段 AWS Network Firewall 期間在 中的可用性。 + 如果需要外部, AWS 服務 例如 Amazon Simple Storage Service (Amazon S3) 或 Amazon DynamoDB,建議您透過端點 (端點子網路內) 將服務公開至應用程式 VPC。這可以防止透過不信任的網路進行通訊。 + 透過 提供資源的存取權 (在此情況下為 Amazon EC2),[AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)以避免 SSH 直接存取資源。 + Application Load Balancer 透過使用 Network Firewall 為應用程式提供高可用性以及傳入和傳出流量的路由。安全子網路不需要個別負載平衡器。 + 請記住,Application Load Balancer 是面向網際網路的負載平衡器,即使端點的子網路沒有直接網際網路存取。本指南的[基於 Network Firewall 的周邊區域架構](architecture.md#perimeter-zone-applications-network-firewall)一節圖表中的**路由表端點 A** 和**路由表端點 B** 上沒有網際網路閘道。子網路受 Network Firewall 保護,並可透過 Network Firewall 存取網際網路。 + 使用 Network Firewall 為未加密的 Web 流量提供傳入和傳出 Web 篩選。