

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 多帳戶架構的網路連線能力
<a name="network-connectivity"></a>

## 與 VPC 連線
<a name="connecting-vpcs"></a>

許多公司在 Amazon Virtual Private Cloud (Amazon VPC) 中使用 VPC 對等互連，以連接開發和生產 VPC。使用 VPC 對等互連，您可以使用私有 IP 地址在兩個 VPC 之間路由流量。連線VPCs 可以位於不同的 AWS 帳戶 和不同的 AWS 區域。如需詳細資訊，請參閱 [VPC 對等互連是什麼](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) (Amazon VPC 文件)。隨著公司的成長和 VPC 數量的增加，維護所有 VPC 之間的對等互連可能會成為維護負擔。您也可能受到每個 VPC 的 VPC 對等互連數目上限的限制。如需詳細資訊，請參閱 [VPC 對等互連配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-peering) (Amazon VPC 文件)。

如果您有多個開發、測試和預備環境跨多個託管非生產資料 AWS 帳戶，建議您在所有這些 VPCs之間提供網路連線，但不允許存取任何生產環境。您可以使用 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 在多個帳戶間連接多個 VPC。您可以分隔路由表，以防止開發 VPC 透過傳輸閘道 (充當集中式路由器) 與生產 VPC 通訊。如需詳細資訊，請參閱[集中式路由器](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html) (Transit Gateway 文件)。

Transit Gateway 還支援與其他傳輸閘道的對等互連，包括其他 AWS 帳戶 或 AWS 區域中的閘道。由於 Transit Gateway 是一項全受管、高可用性服務，因此您只需要為每個區域佈建一個傳輸閘道。

如需詳細資訊和詳細的網路架構，請參閱[建置可擴展且安全的多 VPC AWS 網路基礎設施](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/welcome.html) (AWS 白皮書）。

## 連接應用程式
<a name="connecting-applications"></a>

如果您需要在相同環境 （例如生產） AWS 帳戶 中不同 的應用程式之間建立通訊，您可以使用下列其中一個選項：
+ 如果您想要開放對多個 IP 地址和連接埠的廣泛存取，[VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)或者 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 可在網路層級提供連線。
+ [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) 在 VPC 的私有子網路中建立端點，並在 [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) 中將這些端點註冊為 DNS 項目。透過使用 DNS，應用程式可以解析端點並連線到已註冊的服務，而不需要 VPC 中的 NAT 閘道或網際網路閘道。
+ [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-service-network.html) 會在多個帳戶和 VPC 中關聯服務 (例如應用程式)，並將其收集到服務網路中。與服務網路相關聯之 VPC 中的用戶端可以將請求傳送到與服務網路相關聯的所有其他服務，無論其是否位於同一帳戶中。VPC Lattice 與 AWS Resource Access Manager (AWS RAM) 整合，因此您可以與其他帳戶或透過 共用資源 AWS Organizations。您只能將 VPC 與一個服務網路相關聯。此解決方案不需要使用 VPC 對等互連或 AWS Transit Gateway 進行跨帳戶通訊。

## 網路連線的最佳實務
<a name="connectivity-best-practices"></a>
+ 建立 AWS 帳戶 您用於集中式聯網的 。將此帳戶命名為**網路生產者**，並將其用於 AWS Transit Gateway 和 [Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) (IPAM)。將此帳戶新增至 **Infrastructure\_Prod** 組織單位。
+ 使用 [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) (AWS RAM) 與組織的其他成員共用傳輸閘道、VPC Lattice 服務網路和 IPAM 集區。這可讓 AWS 帳戶 組織內的任何 與這些服務互動。
+ 透過使用 IPAM 集區集中管理 IPv4 和 IPv6 地址配置，可以允許最終使用者透過使用 [AWS Service Catalog](https://aws.amazon.com/servicecatalog/) 自行佈建 VPC。這可協助您適當調整 VPC 的大小，並防止 IP 地址空間重疊。
+ 針對連接到網際網路的流量使用集中式輸出方法，並針對從網際網路進入環境的流量使用分散式輸入方法。如需詳細資訊，請參閱[集中式輸出](centralized-egress.md)及[分散式輸入](decentralized-ingress.md)。