本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # VPC 共享 当团队之间的网络隔离不需要由 VPC 所有者严格管理,但账户级别的用户和权限必须严格管理时,共享 VPCs 非常有用。使用[共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html),多个 AWS 账户在共享的、集中管理的 Amazon 中创建其应用程序资源(例如亚马逊 EC2 实例) VPCs。在此模型中,拥有 VPC 的账户(所有者)与其他账户(参与者)共享一个或多个子网。共享子网之后,参与者可以查看、创建、修改和删除与他们共享的子网中的应用程序资源。参与者无法查看、修改或删除属于其他参与者或 VPC 拥有者的资源。共享 VPCs 资源之间的安全性使用安全组、网络访问控制列表 (NACLs) 或通过子网之间的防火墙进行管理。 VPC 共享的好处: + 简化的设计 — VPC 间连接没有复杂性 + 管理较少 VPCs + 网络团队和应用程序所有者之间的职责分离 + 提高 IPv4 地址利用率 + 更低的成本 — 在属于同一可用区内不同账户的实例之间不收取数据传输费用 **注意** 当您与多个账户共享子网时,您的参与者应该有一定程度的合作,因为他们共享 IP 空间和网络资源。如有必要,您可以选择为每个参与者账户共享不同的子网。每个参与者一个子网使网络 ACL 除了安全组之外还能提供网络隔离。 大多数客户架构将包含多个架构 VPCs,其中许多将与两个或更多账户共享。Transit Gateway 和 VPC 对等连接可用于连接共享 VPCs的。例如,假设您有 10 个应用程序。每个应用程序都需要自己的 AWS 账户。这些应用程序可以分为两个应用程序组合(同一产品组合中的应用程序具有相似的联网要求,“营销” 中的 App 1—5 和 “销售” 中的 App 6—10)。 每个应用程序组合可以有一个 VPC( VPCs 总共两个),该 VPC 与该产品组合中的不同应用程序所有者账户共享。应用程序所有者将应用程序部署到各自的共享 VPC(在本例中,使用不同的子网进行网络路由分段和隔离 NACLs)。两者共享 VPCs 通过 Transit Gateway 连接。通过这种设置,你可以从必须连接 10 VPCs 变成只连接 2 个,如下图所示。 ![\[描述共享 VPC 示例设置的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/example-setup-shared-vpc.png) **注意** VPC 共享参与者无法在共享子网中创建所有 AWS 资源。有关更多信息,请参阅 VPC 共享文档中的[限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-share-limitations)部分。 有关 VPC 共享的关键注意事项和最佳实践的更多信息,请参阅 [VPC 共享:关键注意事项和最佳实践](https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-key-considerations-and-best-practices/)博客文章。