本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的網路存取反模式 AWS 雲端
<a name="anti-patterns"></a>

*反模式*是經常性問題的常用解決方案，其解決方案具有反生產力、無效或效果不如替代方案。本節中提到的設計選項通常有效，但具有重大缺點。如果可能，應該避免它們，因為有更好的替代方案可用。

**Topics**
+ [可用區域與 不相符 AWS PrivateLink](#anti-patterns-az-mismatch)
+ [AWS Site-to-Site VPN 之間的連線 AWS 帳戶](#anti-patterns-vpn-connection)

## 可用區域與 不相符 AWS PrivateLink
<a name="anti-patterns-az-mismatch"></a>

透過 提供應用程式存取權時 AWS PrivateLink，SaaS 取用者只能在部署應用程式的可用區域中建立介面 VPC 端點。例如，如果應用程式部署在 `use1-az1`和 中`use1-az2`，消費者就無法在 中部署 VPC 端點`use1-az3`。建議您在每個可用區域中部署 SaaS 產品。大多數 AWS 區域 有三個可用區域，但有些有更多可用區域。如需完整清單，請參閱[區域和可用區域](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)。選擇 時，請考慮可用區域的數量 AWS 區域。

**注意**  
可用區域名稱與可用區域 IDs不同。如需詳細資訊，請參閱 [AWS 資源的可用區域 IDs](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html)。

如果 SaaS 供應商選擇不在所有可用區域中部署，則會產生一些後果。假設 SaaS 產品已部署在 `use1-az1`和 中`use1-az2`，但消費者正在使用所有三個可用區域，包括 `use1-az3`。介面 VPC 端點部署在 `use1-az1`和 的取用者端`use1-az2`，現在 中的應用程式`use1-az3`需要存取其中一個端點。首先，必須允許從不相符可用區域中的子網路到個別 VPC 端點的流量。消費者可以決定使用區域 AWS PrivateLink DNS 名稱，此名稱可以解析為任一 VPC 端點，並在兩者之間平均分配流量。或者，消費者可以選擇將流量直接傳送到端點，例如 `use1-az2`。這會導致 67% 的流量到達 中的提供者端`use1-az2`，以及 中的 33%`use1-az1`。下圖說明此案例。

![流量未平均分佈至可用區域。](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/antipattern-az-mismatch.png)


由於大量消費者和流量分佈不均，工作負載可能會遇到一個可用區域中的容量問題，並在另一個可用區域中的容量不足。為了解決此問題，SaaS 提供者可以在 Network Load Balancer 上啟用[跨區域負載平衡](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing)，以決定平均地平衡其端的流量。這會產生額外費用。

如果服務提供者只比對一個可用區域，則所有流量將透過單一端點進入。這會產生更大的不平衡。因此，消費者不再高度使用 SaaS 產品。對於消費者而言，應用程式是否透過他們自己未使用的其他可用區域提供並不重要。在最壞的情況下，SaaS 供應商可能無法為未使用任何相同可用區域的消費者提供服務。

在極少數情況下，SaaS 提供者無法透過所有可用區域佈建其應用程式，也可以僅在缺少的可用區域中建立子網路，然後將服務延伸至這些空的可用區域。跨區域負載平衡接著可以將傳入流量分配到其他可用區域中的實際應用程式端點。

## AWS Site-to-Site VPN 之間的連線 AWS 帳戶
<a name="anti-patterns-vpn-connection"></a>

從內部部署環境遷移到雲端的公司有時會嘗試提升和轉移整個網路。這可能會導致問題，因為內部部署和雲端聯網實務之間存在重大差異。如果沒有發生這種思維轉移，可能會發生像是從一個 VPC 到另一個 VPC 的 AWS Site-to-Site VPN 連線。此方法無法利用 中的專用聯網服務 AWS 雲端，可簡化管理並改善效能。適應雲端原生設計有助於降低營運開銷，並在 VPCs連線能力。

如果您考慮以 SaaS 提供者身分提供此連線選項，請詢問自己或消費者為什麼 AWS Site-to-Site VPN 應該使用。然後，從這些要求向後工作，尋找更好的連線選項。本指南的[比較服務功能](services.md#services-capabilities)區段包含一個矩陣，您可以用來協助識別選項。然後，您可以完成本指南的相關章節，尋找解決您的使用案例的架構方法。