本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 网络账户架构
<a name="malz-network-arch"></a>

下图描绘了 AMS 多账户 landing zone 环境，显示了账户间的网络流量，并且是高可用性设置的示例。

 

![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png)


![\[Diagram showing network traffic flow between AWS 账户, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)


AMS 根据我们的标准模板和您在入职期间提供的选择选项为您配置网络的各个方面。标准的 AWS 网络设计适用于您的 AWS 账户，然后为您创建一个 VPC，并通过 VPN 或 Direct Connect 连接到 AMS。有关 Direct Connect 的更多信息，请参阅 [AWS Direct Connect](https://aws.amazon.com/directconnect/)。标准 VPCs 包括 DMZ、共享服务和应用程序子网。在入职过程中， VPCs 可能会要求并创建其他内容以满足您的需求（例如，客户部门、合作伙伴）。入门后，您将获得一张网络图：一份环境文档，说明您的网络是如何设置的。

**注意**  
有关所有活动服务的默认服务限制和限制的信息，请参阅 [AWS 服务限制](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)文档。

我们的网络设计围绕 Amazon [的 “最低权限原则”](https://en.wikipedia.org/wiki/Principle_of_least_privilege) 构建。为了实现这一目标，除了来自可信网络的流量外，我们会通过 DMZ 路由所有流量（入口和出口）。唯一可信的网络是通过使用 VPN 和 AWS Direct Connect (DX) 在您的本地环境和 VP and/or C 之间配置的网络。通过使用堡垒实例授予访问权限，从而防止直接访问任何生产资源。您的所有应用程序和资源都位于可通过公共负载均衡器访问的私有子网中。公共出口流量通过出口 VPC（在网络账户中）中的 NAT 网关流向 Internet Gateway，然后流向互联网。或者，流量可以通过您的 VPN 或 Direct Connect 流向您的本地环境。

# 与 AMS 多账户 landing zone 环境的专用网络连接
<a name="malz-net-arch-private-net"></a>

AWS 通过虚拟专用网络 (VPN) 连接或使用 AWS Direct Connect 的专用线路提供私有连接。在您的多账户环境中，私有连接是使用下述方法之一设置的：
+ 使用 Transit Gateway 实现集中边缘
+ 将 Direct Connect (DX) and/or VPN 连接到账户虚拟私有云 () VPCs

# 使用公交网关实现集中边缘连接
<a name="malz-net-arch-cent-edge"></a>

AWS Transit Gateway 是一项服务，可让您 VPCs 和您的本地网络连接到单个网关。Transit Gateway (TGW) 可用于整合您现有的边缘连接并通过单个 ingress/egress 点进行路由。Transit 网关是在您的 AMS 多账户环境的网络账户中创建的。有关公交网关的更多详细信息，请参阅 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。

AWS Direct Connect (DX) 网关用于通过中转虚拟接口将您的 DX 连接连接到 VPCs 或 VPNs 连接到您的传输网关。将 Direct Connect 网关与中转网关关联。然后，为您与 Direct Connect 网关的 AWS Direct Connect 连接创建一个传输虚拟接口。有关 DX 虚拟接口的信息，请参阅 [AWS Direct Connect 虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)。

此配置提供以下好处。您可以：
+ 管理同一 AWS 区域中的多个 VPCs 或 VPNs 多个连接的单个连接。
+ 将前缀从本地发布到 AWS，从 AWS 发布到本地。

**注意**  
[有关在 AWS 服务中使用 DX 的信息，请参阅弹性工具包部分 Classic。](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html)有关更多信息，请参阅 T [ransit Gateway 关联](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)。

![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-cent-edge.png)


为了提高连接的弹性，我们建议您将来自不同的 AWS Direct Connect 位置的至少两个传输虚拟接口连接到 Direct Connect 网关。有关更多信息，请参阅 [AWS Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)。

# 将 DX 或 VPN 连接到账户 VPCs
<a name="malz-net-arch-dx-vpn"></a>

使用此选项，您的 VPCs AMS 多账户着陆区环境将直接连接到 Direct Connect 或 VPN。流量直接从流向 Direct Connect 或 VPN，无需通过传输网关。 VPCs 

# 社交账户中的资源
<a name="networking-account-resources"></a>

如网络账户图所示，以下组件是在该账户中创建的，需要您输入。

网络账户包含两个 VPCs：**出口 VPC** 和**隔离区 VPC**（也称为外**围** VPC）。

# AWS 网络管理器
<a name="networking-manager"></a>

AWS Network Manager 是一项服务，可让您可视化您的传输网关 (TGW) 网络，而无需向 AMS 支付额外费用。它提供对 AWS 资源和本地网络的集中式网络监控，在拓扑图和地理地图中提供其专用网络的单一全局视图，以及利用率指标，例如字节in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down连接状态。有关信息，请参阅[AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/)。

使用以下角色之一访问此资源：
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole

# 出口 VPC
<a name="networking-vpc"></a>

出口 VPC 主要用于向 Internet 的出口流量，由位于最多三个可用区的 public/private 子网组成（）。AZs网络地址转换 (NAT) 网关在公有子网中配置，传输网关 (TGW) VPC 附件在私有子网中创建。来自所有网络的出站或出站互联网流量通过 TGW 通过私有子网进入，然后通过 VPC 路由表路由到 NAT。

对于在公有子网中 VPCs 包含面向公众的应用程序的用户，源自 Internet 的流量包含在该 VPC 中。返回流量不会路由到 TGW 或出口 VPC，而是通过 VPC 中的互联网网关 (IGW) 路由回来。

**注意**  
网络 VPC CIDR 范围：创建 VPC 时，必须以无类域间路由 (CIDR) 块的形式为 VPC 指定 IPv4 地址范围；例如 10.0.16.0/24。这是您的 VPC 的主要 CIDR 块。  
AMS 多账户 landing zone 团队建议范围为 24（具有更多 IP 地址），以便在将来部署其他资源/设备时提供一些缓冲。

# 托管的帕洛阿尔托出口防火墙
<a name="networking-palo-alto"></a>

AMS 提供托管 Palo Alto 出口防火墙解决方案，该解决方案支持对多账户着陆区环境中的所有网络（不包括面向公众的服务）中的所有网络进行互联网绑定出站流量过滤。该解决方案将业界领先的防火墙技术（Palo Alto VM-300）与AMS的基础设施管理功能相结合，可在合规的操作环境中部署、监控、管理、扩展和恢复基础架构。包括Palo Alto Networks在内的第三方无法访问防火墙；它们完全由AMS工程师管理。

## 交通管制
<a name="networking-pa-firewall-traffic"></a>

托管出站防火墙解决方案管理一个域允许列表，该列表由 AMS 必需的域组成，用于备份和补丁等服务，以及您定义的域。当出站 Internet 流量路由到防火墙时，将打开会话，评估流量，如果流量与允许的域相匹配，则将流量转发到目的地。

## 架构
<a name="networking-pa-firewall-arch"></a>

托管出口防火墙解决方案遵循高可用性模式，即根据可用区域的数量部署两到三个防火墙（）。AZs该解决方案利用了默认出口 VPC 中的部分 IP 空间，但还预配置 VPC 扩展 (/24)，用于管理防火墙所需的额外资源。

![\[Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-pa-firewall-arch.png)


## 网络流
<a name="networking-pa-firewall-flow"></a>

![\[AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-pa-firewall-net-flow.png)


![\[Traffic key showing different types of AWS network traffic with color-coded lines.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-pa-firewall-net-flow-legend.png)


总体而言，公共出口流量路由保持不变，但流量从出口 VPC 路由到 Internet 的方式除外：

1. 发往互联网的出口流量通过 VPC 路由表发送到 Transit Gateway (TGW)

1. TGW 通过 TGW 路由表将流量路由到出口 VPC

1. VPC 通过私有子网路由表将流量路由到互联网

   1. 在默认的多账户着陆区环境中，互联网流量直接发送到网络地址转换 (NAT) 网关。托管防火墙解决方案重新配置私有子网路由表，改为将默认路由 (0.0.0.0/0) 指向防火墙接口。

防火墙本身包含三个接口：

1. 可信接口：用于接收待处理的流量的私有接口。

1. 不可信接口：用于向互联网发送流量的公共接口。由于防火墙执行 NAT，因此外部服务器接受来自这些公有 IP 地址的请求。

1. 管理接口：用于防火墙 API、更新、控制台等的私有接口。

在所有路由中，流量都保持在同一个可用区 (AZ) 内，以减少跨可用区的流量。只有在发生故障转移 AZs 时，流量才会交叉。

## 修改允许名单
<a name="networking-pa-firewall-allow-list-mod"></a>

入职后，将创建一个名为的默认允许列表，其中包含 AMS 所需的公共端点以及用于修补 Windows 和 Lin `ams-allowlist` ux 主机的公共端点。操作完成后，您可以在 AMS 控制台的 “管理 \$1 托管防火墙 \$1 出站（Palo Alto）” 类别下创建 RFC，以创建或删除允许列表或修改域。请注意，这是`ams-allowlist`无法修改的。RFC 是完全自动化处理的（它们不是手动的）。

## 自定义安全策略
<a name="networking-pa-firewall-custom-security"></a>

安全策略根据流量属性（例如源和目标安全区域、源和目标 IP 地址以及服务）来确定是阻止还是允许会话。全自动支持自定义安全策略 RFCs。 CTs 创建或删除安全策略可以在管理 \$1 托管防火墙 \$1 出站（帕洛阿尔托）类别下找到，编辑现有安全策略的 CT 可以在部署 \$1 托管防火墙 \$1 出站（帕洛阿尔托）类别下找到。您将能够创建新的安全策略、修改安全策略或删除安全策略。

**注意**  
`ams-allowlist`无法修改默认安全策略

## CloudWatch PA 出口仪表板
<a name="networking-pa-firewall-cw-egress"></a>

在中可以找到两个仪表板 CloudWatch 来提供帕洛阿尔托（宾夕法尼亚州）的汇总视图。**AMS-MF-PA-egress-config-Das** hboard 提供了 PA 配置概述、许可名单链接以及包括其属性在内的所有安全策略的列表。可以自定义 **AMS-MF-PA-egress-Dashboard 以过滤流量日志**。例如，要为安全策略创建控制面板，您可以使用以下筛选器创建 RFC：

```
fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like /<Security Policy Name>/
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country
```

## 故障转移模型
<a name="networking-pa-firewall-failover"></a>

防火墙解决方案包括两三台帕洛阿尔托 (PA) 主机（每个可用区一台）。健康检查加那利群岛按固定时间表运行，以评估宿主的健康状况。如果主机被识别为运行状况不佳，则会通知 AMS，并通过更改路由表将该 AZ 的流量自动转移到另一可用区中的健康主机。由于运行状况检查工作流程持续运行，因此如果主机由于暂时性问题或手动修复而恢复正常，则流量将转移回主机的正确可用区。

## 扩展
<a name="networking-pa-firewall-scaling"></a>

AMS 监控防火墙的吞吐量和扩展限制。当吞吐量限制超过较低的水位线阈值（CPU/网络）时，AMS 会收到警报。低水机阈值表示资源已接近饱和，达到了 AMS 将随着时间的推移评估指标并伸出援手提出扩展解决方案的地步。

## 备份与还原
<a name="networking-pa-firewall-backup"></a>

备份是在初始启动期间、任何配置更改后按固定时间间隔创建的。初始启动备份是以每台主机为单位创建的，但是调用备份工作流程时，将在所有防火墙主机上进行配置更改和定期间隔备份。AMS 工程师可以在这些窗口之外创建其他备份，或者根据要求提供备份详细信息。

如果需要，AMS 工程师可以恢复配置备份。如果需要恢复，则将在所有主机上进行恢复，以使主机之间的配置保持同步。

当主机需要完全回收实例时，也可以进行恢复。配置新 EC2 实例时，会自动恢复最新的备份。通常，主机不会定期回收，而是预留用于严重故障或必需的 AMI 交换。主机回收是手动启动的，并且在进行回收之前会通知您。

除了防火墙配置备份外，您的特定允许列表规则会单独备份。修改您定义的允许列表规则后，系统会自动创建备份。如果需要，可以由 AMS 工程师恢复允许名单备份。

## 更新
<a name="networking-pa-firewall-updates"></a>

AMS 托管防火墙解决方案需要随着时间的推移进行各种更新，以增加系统的改进、其他功能或对防火墙操作系统 (OS) 或软件的更新。

大多数更改不会影响运行环境，例如更新自动化基础架构，但其他更改（例如防火墙实例轮换或操作系统更新）可能会导致中断。在评估更新可能导致的服务中断时，AMS 将与您协调以适应维护时段。

## 操作员访问权限
<a name="networking-pa-firewall-op-access"></a>

AMS 操作员使用其 ActiveDirectory 凭据登录帕洛阿尔托设备执行操作（例如，修补、响应事件等）。该解决方案保留了标准的 AMS 操作员身份验证和配置更改日志，以跟踪在 Palo Alto 主机上执行的操作。

## 默认日志
<a name="networking-pa-firewall-default-logs"></a>

默认情况下，防火墙生成的日志存储在每个防火墙的本地存储中。随着时间的推移，将根据存储利用率删除本地日志。AMS 解决方案可将日志从计算机实时传送到 CloudWatch 日志；有关更多信息，请参阅[CloudWatch 日志集成](#networking-pa-firewall-cw-logs)。

如果需要，AMS 工程师仍然可以直接从计算机上查询和导出日志。此外，还可以将日志发送到客户拥有的 Panorama；有关更多信息，请参阅[Panorama 集成](#networking-pa-firewall-panorama)。

该解决方案收集的日志如下：


**RFC 状态码**  

| 日志类型 | 说明 | 
| --- | --- | 
| 流量 | 显示每个会话开始和结束的条目。每个条目都包括日期和时间、源和目标区域、地址和端口、应用程序名称、应用于流的安全规则名称、规则操作（允许、拒绝或丢弃）、入口和出口接口、字节数以及会话结束原因。 “类型” 列指示该条目是针对会话的开始还是结束，或者会话是被拒绝还是被删除。“丢弃” 表示阻止流量的安全规则指定了 “任何” 应用程序，而 “拒绝” 表示该规则标识了特定的应用程序。 如果在识别应用程序之前丢弃了流量，例如规则丢弃了特定服务的所有流量，则该应用程序将显示为 “不适用”。 | 
| 威胁 | 显示防火墙生成的每个安全警报的条目。每个条目都包括日期和时间、威胁名称或 URL、源和目标区域、地址和端口、应用程序名称以及警报操作（允许或阻止）和严重性。 类型列表示威胁的类型，例如 “病毒” 或 “间谍软件”；“名称” 列是威胁描述或 URL；“类别” 列是威胁类别（例如 “键盘记录器”）或 URL 类别。 | 
| 网址过滤 | 显示 URL 过滤器的日志，这些过滤器控制对网站的访问以及用户是否可以向网站提交凭据。 | 
| 配置 | 显示每项配置更改的条目。每个条目都包括日期和时间、管理员用户名、进行更改的 IP 地址、客户机类型（Web 界面或 CLI）、命令运行的类型、命令成功还是失败、配置路径以及更改前后的值。 | 
| 系统 | 显示每个系统事件的条目。每个条目都包括日期和时间、事件严重性以及事件描述。 | 
| 警报 | 警报日志记录有关系统生成的警报的详细信息。此日志中的信息也会在警报中报告。请参阅 “定义警报设置”。 | 
| 身份验证 | 显示有关最终用户尝试访问由身份验证策略规则控制访问权限的网络资源时发生的身份验证事件的信息。用户可以使用这些信息来帮助解决访问问题，并根据需要调整用户身份验证策略。结合关联对象，用户还可以使用身份验证日志来识别用户网络上的可疑活动，例如暴力攻击。 或者，用户可以将身份验证规则配置为记录身份验证超时。这些超时与用户只需要对资源进行一次身份验证但可以重复访问该资源的时间段有关。查看有关超时的信息可以帮助用户决定是否以及如何调整超时。 | 
| 统一 | 在单个视图中显示最新的流量、威胁、URL 过滤、 WildFire 提交和数据筛选日志条目。集体日志视图使用户能够一起调查和筛选这些不同类型的日志（而不是单独搜索每个日志集）。或者，用户可以选择要显示的日志类型：单击筛选字段左侧的箭头，然后选择流量、威胁、网址、数据、w and/or ildfire，以仅显示选定的日志类型。 | 

## 活动管理
<a name="networking-pa-firewall-event-mgmt"></a>

AMS 持续监控防火墙的容量、运行状况和可用性。防火墙生成的指标以及 AWS/AMS 生成的指标用于创建警报，AMS 运营工程师将收到这些警报，他们将调查并解决问题。当前警报涵盖以下情况：

事件警报：
+ 防火墙数据平面 CPU 利用率
  + CPU 利用率-数据平面 CPU（处理流量）
+ 防火墙数据平面数据包利用率高于 80%
  + 数据包利用率-数据平面（处理流量）
+ 防火墙数据平面会话利用率
+ 防火墙数据平面会话处于活动状态
+ 聚合防火墙 CPU 利用率
  + 所有的 CPU 利用率 CPUs
+ 按可用区进行故障转移
  + 可用区发生故障转移时发出警报
+ 不健康的 Syslog 主机
  + Syslog 主机未通过运行状况检查

管理警报：
+ Health Check 监控器故障警报
  + 当运行状况检查工作流程意外失败时
  + 这适用于工作流程本身，而不是防火墙运行状况检查失败的情况
+ 密码轮换失败警报
  + 当密码轮换失败时
  + API/服务用户密码每 90 天轮换一次

## 指标
<a name="networking-pa-firewall-metrics"></a>

所有指标都被捕获并存储 CloudWatch 在网络账户中。可以通过获得网络帐户的控制台访问权限并导航到控制 CloudWatch 台来查看这些内容。**可以在指标选项卡下查看单个指标，也可以通过导航到 “控制面板” 选项卡并选择 AMS-MF-PA-egress-Dashboard 来查看所选指标的单窗格仪表板视图和汇总指标。**

自定义指标：
+ 运行状况检查
  + 命名空间: AMS/MF/PA/Egress
    + PARouteTableConnectionsByAZ
    + PAUnhealthyByInstance
    + PAUnhealthyAggregatedByAZ
    + PAHealthCheckLockState
+ 已生成防火墙
  + 命名空间：AMS/MF/PA/Egress/<instance-id>
    + DataPlaneCPUUtilizationPct
    + DataPlanePacketBuffferUtilization
    + 平底锅 GPGateway UtilizationPct
    + panSessionActive
    + panSessionUtilization

## CloudWatch 日志集成
<a name="networking-pa-firewall-cw-logs"></a>

CloudWatch 日志集成可将日志从防火墙转发到 CloudWatch 日志中，从而降低由于本地存储利用率而丢失日志的风险。日志会在防火墙生成时实时填充，并且可以通过控制台或 API 按需查看。

可以为日志分析构建复杂查询，也可以使用 CloudWatch Insights 导出到 CSV。此外，自定义 AMS Managed Firewall CloudWatch 控制面板还将显示特定流量日志查询的快速视图以及一段时间内流量和策略命中率的图表可视化。利用 CloudWatch 日志还可以实现与其他 AWS 服务（例如 AWS Kinesis）的本机集成。

**注意**  
PA 日志无法直接转发到现有的本地或第三方 Syslog 收集器。AMS 托管防火墙解决方案可将日志从 PA 计算机实时传输到 AWS CloudWatch 日志。您可以使用 CloudWatch Logs Insight 功能来运行临时查询。此外，日志可以发送到您的帕洛阿尔托的Panorama管理解决方案。 CloudWatch 也可以使用 CloudWatch 订阅过滤器将日志转发到其他目的地。在下一节中了解有关 Panorama 的更多信息。要了解有关 Splunk 的更多信息，请参阅[与 Splunk 集成](https://docs.aws.amazon.com/managedservices/latest/userguide/enable-Splunk-log-push.html)。

## Panorama 集成
<a name="networking-pa-firewall-panorama"></a>

AMS 托管防火墙可以选择与您现有的 Panorama 集成。这使您可以从 Panorama 查看防火墙配置或将日志从防火墙转发到 Panorama。Panorama 与 AMS 托管防火墙的集成是只读的，不允许从 Panorama 更改防火墙的配置。Panorama 完全由您管理和配置，AMS 仅负责配置与其通信的防火墙。

## 许可
<a name="networking-pa-firewall-license"></a>

AMS 托管防火墙的价格取决于所使用的许可证类型、每小时许可证或自带许可证 (BYOL)，以及设备运行的实例大小。您需要通过 AWS Marketplace 订购您喜欢的帕洛阿尔托防火墙的实例大小和许可证。
+ Marketplace 许可：接受 MALZ 网络账户中虚拟机系列下一代防火墙捆绑包 1 的条款和条件。
+ BYOL 许可证：接受 MALZ 网络账户中虚拟机系列下一代防火墙 (BYOL) 的条款和条件，并将购买许可证后获得的 “BYOL 身份验证码” 共享给 AMS。

## 限制
<a name="networking-pa-firewall-limits"></a>

目前，AMS 支持 VM-300 系列或 VM-500 系列防火墙。可以在此处找到配置：[AWS EC2 实例上的 VM 系列模型](https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-performance-capacity/vm-series-performance-capacity/vm-series-on-aws-models-and-instances.html)，

**注意**  
AMS 解决方案在 Active-Active 模式下运行，因为其可用区中的每个 PA 实例都会处理其相应可用区的出口流量。因此，如果有两个 PA 实例 AZs，则每个 PA 实例可处理高达 5 Gbps 的出口流量，并有效地在两个实例之间提供 10 Gbps 的总吞吐量。 AZs每个可用区中的所有限制也是如此。如果 AMS 运行状况检查失败，我们会将流量从 PA 不佳的可用区转移到另一个可用区，在实例替换期间，容量将减少到剩余 AZs 限制。  
AMS 目前不支持 AWS Marketplace 上提供的其他 Palo Alto 捆绑包；例如，您不能索取 “VM 系列下一代防火墙捆绑包 2”。请注意，使用 Palo Alto 的 AMS 托管防火墙解决方案目前仅提供出口流量过滤服务，因此使用高级 VM 系列捆绑包不会提供任何其他功能或优势。

## 入职要求
<a name="networking-pa-firewall-onboarding-reqs"></a>
+ 您必须在 AWS Marketplace 中查看并接受帕洛阿尔托推出的虚拟机系列下一代防火墙的条款和条件。
+ 您必须根据您的预期工作负载确认要使用的实例大小。
+ 您必须提供与多账户着陆区环境或本地网络不冲突的 /24 CIDR 区块。它必须与出口 VPC 属于同一类别（解决方案为出口 VPC 预配置 /24 VPC 扩展）。

## 定价
<a name="networking-pa-firewall-pricing"></a>

AMS 托管防火墙基础架构成本分为三个主要驱动因素：托管 Palo Alto 防火墙的 EC2 实例、软件许可证 Palo Alto VM 系列许可证和集成。 CloudWatch 

以下定价基于 VM-300 系列防火墙。
+ EC2 实例：Palo Alto 防火墙在 2-3 个 EC2 实例的高可用性模型中运行，其中实例基于预期的工作负载。实例的成本取决于地区和数量 AZs
  + 例如 us-east-1、m5.xlarge、3 AZs
    + 0.192 \$1 24 \$1 30 \$1 3 = 414.72 美元
  + https://aws.amazon.com/ec2/定价/按需定价/
+ 帕洛阿尔托许可证：Palo Alto VM-300 下一代防火墙的软件许可成本取决于可用区的数量和实例类型。
  + 例如 us-east-1、m5.xlarge、3 AZs
    + 0.87 \$1 24 \$1 30 \$1 3 = 1879.20 美元
    + https://aws.amazon.com/marketplace/pp/b083m7jpkb？ ref\$1=srh\$1res\$1product\$1title \$1pdp-pricing
+ CloudWatch 日志集成： CloudWatch 日志集成使用 SysLog 服务器 (EC2 -t3.medium)、NLB 和日志。 CloudWatch 服务器的成本取决于区域和数量 AZs， NLB/CloudWatch 日志的成本因流量利用率而异。
  + 例如 us-east-1、t3.medium、3AZ
    + 0.0416 \$1 24 \$1 30 \$1 3 = 89.86 美元
  + https://aws.amazon.com/ec2/定价/按需定价/
  + https://aws.amazon.com/cloudwatch/定价/

# 周长 (DMZ) VPC
<a name="networking-dmz"></a>

外围或 DMZ、VPC 包含 AMS 运营工程师访问 AMS 网络所需的必要资源。它包含跨越 2-3 个的公共子网 AZs，在 Auto Scaling 组 (ASG) 中包含 SSH 堡垒主机，AMS 运营工程师可以登录或通过隧道通过。附加到隔离区堡垒的安全组包含来自**亚马逊公司**网络的端口 22 入站规则。

*DMZ VPC CIDR 范围：*创建 VPC 时，必须以无类域间路由 (CIDR) 块的形式为 VPC 指定 IPv4 地址范围；例如 10.0.16.0/24。这是您的 VPC 的主要 CIDR 块。

**注意**  
AMS 团队建议将范围设为 24（具有更多 IP 地址），以便在将来部署其他资源（例如防火墙）时提供一些缓冲。

# AWS Transit Gateway
<a name="networking-transit-gateway"></a>

AWS Transit Gateway (TGW) 是一项服务，可让您将亚马逊虚拟私有云 (VPCs) 和本地网络连接到单个网关。传输网关是处理 AMS 账户网络和外部网络之间路由的网络主干。 有关 Transit Gateway 的信息，请参阅 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。

提供以下输入以创建此资源：
+ *Transit Gateway ASN 编号* \$1：为您的公交网关提供私有自治系统编号 (ASN)。这应该是边界网关协议 (BGP) 会话的 AWS 端的 ASN。16 位的范围为 64512 到 65534。 ASNs