View a markdown version of this page

解決方案 1:在單一區域的中央聯網帳戶中建立 VPC 端點 - AWS 方案指引
使用案例挑戰解決方案Architecture實作步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

解決方案 1:在單一區域的中央聯網帳戶中建立 VPC 端點

使用案例

您的應用程式會映射到不同的業務單位,而且您想要將它們遷移到相同 中的不同 AWS 目標帳戶, AWS 區域 以用於計費和隔離。

挑戰

若要透過私有網路達成此目的,您必須在每個目標帳戶中建立多個 VPC 介面端點。這會增加管理開銷和維護端點的成本。(請參閱 AWS PrivateLink 定價。)

解決方案

在中央 AWS 聯網帳戶中建立 VPC 端點,並使用 Transit Gateway 連線到目標應用程式帳戶。

Architecture

下圖說明此解決方案的架構。

在相同區域中重新託管多個帳戶的流量流程。

在圖表中,數字代表下列流量流程:

  1. 需要透過位於中央聯網帳戶 VPC 中的介面端點連線至 Amazon Simple Storage Service (Amazon S3)、Application Migration Service 或 Amazon EC2 的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 Application Migration Service 複寫伺服器,必須先透過查詢 VPC+2 解析程式來解析網域名稱。端點私有託管區域與相同區域中的 Application Migration Service 預備 VPC 相關聯,以完成網域解析。

    注意

    對於與 VPC 建立關聯的每個私有託管區域,解析程式會建立規則並將其與 VPC 建立關聯。如果您將私有託管區域與多個 VPCs建立關聯,解析程式會將規則與所有 VPCs建立關聯。

  2. 當執行個體知道要連線的私有 IP 時,它會將流量傳送至傳輸閘道 ENI。流量會傳送至傳輸閘道,並根據傳輸閘道路由表轉送至共用資源 VPC。

  3. 共用資源 VPC 中的傳輸閘道 ENI 會將流量轉送至對應的介面端點。

  4. VPC 端點會將回應傳回至傳輸閘道 ENI。

  5. 流量會轉送至傳輸閘道。如傳輸閘道路由表中所指定,流量會傳送至輻式 Application Migration Service 預備 VPC。回應由傳輸閘道 ENI 傳送至目的地,也就是 EC2 執行個體或 Application Migration Service 複寫伺服器。

  6. 位於公司資料中心的用戶端應用程式會以 格式解析網域名稱 <aws_service>.<aws_region>.amazonaws.com(例如 mgn.us-east-1.amazonaws.com)。它會將查詢傳送至其預先設定的 DNS 解析程式。公司資料中心的 DNS 解析程式具有轉送規則,可將amazonaws.com網域的任何 DNS 查詢指向 Route 53 Resolver 傳入端點。Transit Gateway 會將查詢轉送至共用資源 VPC,其會將 DNS 查詢轉送至 Route 53 Resolver 傳入端點。

    Route 53 Resolver 傳入端點使用 VPC+2 解析程式。與共用資源 VPC 相關聯的端點私有託管區域會保留 的 DNS 記錄amazonaws.com,因此 Route 53 Resolver 可以解析查詢。

  7. Route 53 Resolver 傳出端點會將 DNS 查詢回應傳回至內部部署用戶端應用程式。

實作步驟

若要設定上圖中顯示的架構,請依照下列步驟進行:

  1. 透過 AWS Direct Connect 或 將公司資料中心連線到中央聯網帳戶 AWS AWS Site-to-Site VPN。

  2. 在聯網帳戶中,使用 Transit Gateway 提供 VPCs之間的連線。傳輸閘道是在 之間 AWS 帳戶 使用 共用 AWS RAM,並透過 VPC 連接進一步連接到目標應用程式帳戶預備子網路。

    注意

    目標 AWS 帳戶 不必是同一 AWS 組織的一部分。如需詳細資訊,請參閱 AWS RAM 文件中的可共用資源

  3. 在中央網路帳戶中為 Amazon EC2、Application Migration Service 和 Amazon S3 建立 VPC 介面端點,而不啟用私有 DNS 名稱。

    注意

    當您建立 VPC 端點至 時 AWS 服務,您可以啟用私有 DNS。啟用時, 設定會為您建立受管 Route 53 私有託管區域。 此受管區域會解析 VPC 中的 DNS 名稱。不過,它無法在 VPC 外部運作。這是使用私有託管區域共用和 Route 53 Resolver 協助取得共用 VPC 端點統一名稱解析的原因。

  4. 為每個端點建立私有託管區域 (Application Migration Service、Amazon EC2、Amazon S3)。例如,針對 us-east-1 區域中的 Application Migration Service:

    • 建立網域名稱為 的私有託管區域mgn.us-east-1.amazonaws.com

    • 建立類型 A 的主機記錄,將網域名稱指向端點 IPs。

  5. 建立 Route 53 Resolver 傳入和傳出規則,以促進混合 DNS 解析,並與相同 AWS 帳戶 區域中所需的 共用規則。