本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 解決方案 3:共用 VPC 介面端點
## 使用案例
您的應用程式會映射到不同的業務單位,而且您想要將它們遷移到相同區域中的不同 AWS 目標帳戶,以用於計費和隔離。
## 挑戰
多個工作負載帳戶會增加管理開銷和每個帳戶中個別 VPC 介面端點的成本。因此,您可能想要減少 Application Migration Service VPCs,並集中管理預備 VPCs的路由,以降低成本和管理開銷。
## 解決方案
使用共用暫存區域子網路 AWS Organizations和 共用 VPC 端點 AWS RAM。如需 VPC 共用的詳細資訊,請參閱 [Amazon VPC 文件](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。
## Architecture
下圖說明此解決方案的架構。
圖表說明下列流量流程:
1. Application Migration Service 複寫伺服器會查詢 VPC\+2 DNS,以解析 Application Migration Service、Amazon EC2 或 Amazon S3 的 API 端點。
2. VPC\+2 DNS 會在受管私有託管區域的協助 AWS 下解析端點的私有 IP,並回應 Application Migration Service 複寫伺服器。
3-6. 複寫伺服器使用該 IP 透過 服務的介面端點連線至 AWS 服務 API。
## 實作步驟
1. 在中央聯網帳戶中,建立 Application Migration Service 的預備 VPC 和子網路。
1. 在啟用私有 DNS 名稱的情況下,建立 Application Migration Service、Amazon EC2 或 Amazon S3 的端點。這會建立 AWS 受管私有託管區域,並將其與預備 VPC 建立關聯。
1. 與相同 AWS 組織中的目標應用程式帳戶和 共用預備子網路 AWS 區域。
1. 對於 AWS 與內部部署資料中心 (上圖未顯示) 之間的混合連線,請使用 Transit Gateway Direct Connect 或 AWS Site-to-Site VPN Route 53 Resolver 端點,如[解決方案 1](solution-1.md) 和[解決方案 2](solution-2.md) 所示。
## 限制
+ 參與者 VPCs和擁有者 VPC AWS 帳戶 的 必須是 中相同組織的一部分 AWS Organizations。
+ 如需可共用資源的清單,請參閱 [Amazon VPC 文件](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc)。
+ 如需 VPC 共用限制,請參閱 [Amazon VPC 文件](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-share-limitations)。
## 設計考量
+ 若要降低營運開銷,請建立資源一次,然後使用 AWS RAM 與其他帳戶共用該資源。這樣就不需要在每個帳戶中佈建重複的資源,並減少營運開銷。
+ 使用一組政策和許可,簡化共用資源的安全管理。如果您在個別帳戶中建立重複的資源,您必須實作相同的政策和許可,並在所有帳戶中保持同步。反之,您可以透過一組政策和許可來管理共用 AWS RAM 資源的所有使用者。 AWS RAM 提供一致的經驗來共用不同類型的 AWS 資源。
+ 提供可見性和可稽核性。 AWS RAM 與 Amazon CloudWatch 和 整合,以檢視共用資源的使用詳細資訊 AWS CloudTrail。如需詳細資訊,請參閱 AWS RAM 文件中的[AWS RAM 使用 EventBridge 監控](https://docs.aws.amazon.com/ram/latest/userguide/using-eventbridge.html)和[使用 記錄 AWS RAM API 呼叫 AWS CloudTrail](https://docs.aws.amazon.com/ram/latest/userguide/cloudtrail-logging.html)。