本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# VPC 到 VPC 的连接
<a name="vpc-to-vpc-connectivity"></a>

客户可以使用两种不同的 VPC 连接模式来设置多 VPC 环境：多*对多*，或者*中心和分支。*在该 many-to-many方法中，每个 VPC 之间的流量在每个 VPC 之间单独管理。在该 hub-and-spoke模型中，所有 VPC 间流量都流经中央资源，该资源根据既定规则路由流量。

# VPC 对等连接
<a name="vpc-peering"></a>

连接两者的第一种方法 VPCs 是使用 VPC 对等互连。在此设置中，连接可实现两者之间的完全双向连接。 VPCs 此对等连接用于在之间路由流量。 VPCs VPCs 在不同的账户中，AWS 区域也可以互相对等。通过位于可用区内的 VPC 对等连接进行的所有数据传输都是免费的。通过跨可用区的 VPC 对等连接进行的所有数据传输均按标准的区域内数据传输费率收费。如果跨区域对等， VPCs 则将收取标准的区域间数据传输费用。

 VPC 对等 point-to-point互连是连接，它不支持[传递路由。](https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html#transitive-peering)例如，如果您在 [VPC A 和 VPC B 之间以及 VPC A 和 VPC C 之间有 VPC 对等](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)连接，则 VPC B 中的实例无法通过 VPC A 传输到达 VPC C。要在 VPC B 和 VPC C 之间路由数据包，您需要创建直接 VPC 对等连接。

从规模上看，当你有数十或数百个对等连接时 VPCs，将它们与对等互连互连可以形成成百上千个对等连接的网格。大量连接可能难以管理和扩展。例如，如果您有 100 个， VPCs 并且想要在它们之间设置全网状对等连接，则将需要 4,950 个对等连接 [`n(n-1)/2`]，其中`n`是总数。 VPCs每个 VPC [的最大活跃对等连接限制](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)为 125 个。

![\[描绘使用 VPC 对等互连进行网络设置的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/network-setup-vpc-peering.png)


如果您使用的是 VPC 对等互连，则必须与每个 VPC 建立本地连接（VPN 和/或 Direct Connect）。使用对等 VPC 的混合连接，VPC 中的资源无法到达本地，如上图所示。

 当一个 VPC 中的资源必须与另一个 VPC 中的资源通信，两 VPCs 者的环境都受到控制和保护，并且 VPCs 要连接的数量小于 10（以便对每个连接进行单独管理）时，最好使用 VPC 对等连接。与其他 VPC 间连接选项相比，VPC 对等连接可提供最低的总体成本和最高的聚合性能。

# AWS Transit Gateway 
<a name="transit-gateway"></a>

 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)提供中心辐射设计，用于连接 VPCs 和本地网络，作为一项完全托管的服务，无需您配置第三方虚拟设备。不需要 VPN 叠加，可 AWS 管理高可用性和可扩展性。

 Transit Gateway使客户能够连接成千上万 VPCs个. 您可以将所有混合连接（VPN 和 Direct Connect 连接）连接到单个网关，从而在一个地方整合和控制组织的整个 AWS 路由配置（请参阅下图）。Transit Gateway 使用路由表控制流量在所有连接的分支网络之间路由的方式。这种 hub-and-spoke模式简化了管理并降低了运营成本，因为 VPCs 只有连接到 Transit Gateway 实例才能访问所连接的网络。

![\[描绘轮毂和辐条设计的示意图 AWS Transit Gateway\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/hub-and-spoke-design.png)


Transit Gateway 是一种区域性资源，可以连接同一区域 VPCs 内的数千个 AWS 区域。您可以通过单个 Direct Connect 连接连接多个网关，实现混合连接。通常，您只能使用一个 Transit Gateway 实例来连接给定区域中的所有 VPC 实例，并使用 Transit Gateway 路由表将它们隔离在任何需要的地方。请注意，您不需要额外的中转网关来实现高可用性，因为传输网关在设计上具有高可用性；要实现冗余，请在每个区域使用单个网关。但是，创建多个网关以限制配置错误的爆炸半径、隔离控制平面操作和管理是有道理的。 ease-of-use

通过 Transit Gateway 对等互连，客户可以在相同或多个区域内对其 Transit Gateway 实例进行对等，并在它们之间路由流量。它使用与 VPC 对等互连相同的底层基础架构，因此是加密的。有关更多信息，请参阅[使用 AWS Transit Gateway 区域间对等连接构建全球网络，AWS Transit [Gateway 现在支持区域内](https://aws.amazon.com/blogs/networking-and-content-delivery/aws-transit-gateway-now-supports-intra-region-peering/)对等互连](https://aws.amazon.com/blogs/networking-and-content-delivery/building-a-global-network-using-aws-transit-gateway-inter-region-peering/)。

 将贵组织的 Transit Gateway 实例存入其网络服务账户。这样，管理网络服务帐户的网络工程师就可以进行集中管理。使用 Res AWS ource Access Manager (RAM) 共享 Transit Gateway 实例，以便在同一区域内的 AWS 组织中的 VPCs 多个账户之间进行连接。AWS RAM 使您能够轻松安全地与任何人共享 AWS 资源 AWS 账户，或者在您的 AWS 组织内部共享资源。有关更多信息，请参阅[中央账户博客文章中的 “自动化 AWS Transit Gateway 到公交网关的附件](https://aws.amazon.com/blogs/networking-and-content-delivery/automating-aws-transit-gateway-attachments-to-a-transit-gateway-in-a-central-account/)”。

Transit Gateway 还允许您在软件定义广域网基础设施和 AWS 使用 Transit Gateway Connect 之间建立连接。使用带有边界网关协议 (BGP) 的 Transit Gateway Connect 附件进行动态路由，使用通用路由封装 (GRE) 隧道协议实现高性能，每个连接可提供高达 20 Gbps 的总带宽（每个 Connect 连接最多四个 Transit Gateway Connect 对等体）。通过使用 Transit Gateway Connect，您可以将本地 SD-WAN 基础设施或通过作为底层传输层的 VPC 连接或 Direct Connect 附件集成在云中运行的 SD-WAN 设备。有关参考架构和详细配置，请参阅[使用 Conn AWS Transit Gateway ect 简化 SD-WAN 连接](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-sd-wan-connectivity-with-aws-transit-gateway-connect/)。

# 传输 VPC 解决方案
<a name="transit-vpc-solution"></a>

 [Tran](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/transit-vpc-option.html) sit VPCs 可以通过与 VPC 对等互连不同的方式在之间 VPCs 建立连接，方法是引入中心和辐条设计来实现 VPC 间连接。在传输 VPC 网络中，一个中央 VPC（中心 VPC）通过通常利用 BGP 的 VPN 连接与所有其他 VPC（分支 VPC）连接。[IPsec](https://en.wikipedia.org/wiki/IPsec)中央 VPC 包含运行软件设备的[亚马逊弹性计算云](https://aws.amazon.com/ec2/) (Amazon EC2) 实例，这些设备使用 VPN 叠加层将传入流量路由到目的地。传输 VPC 对等互连具有以下优势：
+  使用覆盖 VPN 网络启用传递路由，允许采用中心辐射式设计。
+  在中心交通 VPC 中的 EC2 实例上使用第三方供应商软件时，供应商功能围绕高级安全（第 7 层firewall/Intrusion Prevention System (IPS)/Intrusion Detection System (IDS) ) can be used. If customers are using the same software on-premises, they benefit from a unified operational/monitoring体验）。
+ Transit VPC 架构可实现某些用例中可能需要的连接。例如，您可以将 AWS GovCloud 实例和商业区域 VPC 或 Transit Gateway 实例连接到 Transit VPC，并在两个区域之间启用 VPC 间连接。在考虑此选项时，请评估您的安全和合规性要求。为了提高安全性，您可以使用本白皮书后面介绍的设计模式部署集中式检查模型。

![\[描绘带有虚拟设备的传输 VPC 的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/transit-vpc-virtual-appliances.png)


Transit VPC 有其自身的挑战，例如 EC2 根据实例大小/系列运行第三方供应商虚拟设备的成本更高，每个 VPN 连接的吞吐量有限（每个 VPN 隧道高达 1.25 Gbps），以及额外的配置、管理和弹性开销（客户负责管理运行第三方供应商虚拟设备的 EC2实例的高可用性和冗余）。

## VPC 对等互连与传输 VPC 与 Transit Gateway
<a name="peering-vs"></a>

*表 1 — 连接比较*


| 标准  | VPC 对等连接  | 传输 VPC | Transit Gateway | PrivateLink | Cloud WAN | VPC Lattice | 
| --- | --- | --- | --- | --- | --- | --- | 
|  范围   | 区域/全球 | 区域性  | 区域性  | 区域性 | 全局 | 区域性 | 
| 架构 | 全网状 | 基于 VPN hub-and-spoke | 基于附件 hub-and-spoke | 提供者或消费者模型 | 基于附件、多区域 | 应用程序到应用程序的连接 | 
|  扩展   | 125 个活跃的对等体/v  | 取决于虚拟路由器/ EC2  | 每个区域 5000 个附件  | 没有限制 | 每个核心网络 5000 个附件 | 每项服务 500 个 VPC 关联 | 
|  客户细分   | 安全组  | 客户管理  | TransitGateway 路由表  | 没有分割 | Segments | 服务和服务网络政策 | 
|  延迟   | 最低  | 额外费用，由于 VPN 加密开销  | 更多 Transit Gateway  | 流量保持在 AWS 主干上，客户应进行测试 | 使用与 Transit Gateway 相同的数据平面 | 流量保持在 AWS 主干上，客户应进行测试 | 
|  带宽限制   | 每个实例的限制，没有聚合限制  | 受基于大小/系列的 EC2 实例带宽限制  | 高达 100 Gbps（连发）/附件  | 每个可用区 10 Gbps，可自动扩展到 100 Gbps | 高达 100 Gbps（连发）/附件 | 每个可用区 10 Gbps | 
|  可见性   | Amazon VPC 流日志  | VPC 流日志和 CloudWatch 指标  | Transit Gateway 网络管理器、VPC 流日志、 CloudWatch 指标  | CloudWatch 指标  | 网络管理器、VPC 流日志、 CloudWatch 指标  | CloudWatch 访问日志 | 
|  安全组  交叉引用   | 支持  | 不支持  | 不支持  | 不支持 | 不支持 | 不适用 | 
| IPv6 支持  | 支持 | 取决于虚拟设备  | 支持 | 支持 | 支持 | 支持 | 

# AWS PrivateLink
<a name="aws-privatelink"></a>

[AWS PrivateLink](https://aws.amazon.com/privatelink/)在 AWS 服务和您的本地网络之间 VPCs提供私有连接，而不会将您的流量暴露给公共互联网。由 AWS PrivateLink提供支持的接口 VPC 终端节点可以轻松地跨不同账户连接到 AWS 其他服务，并 VPCs 显著简化您的网络架构。这允许那些可能希望以只有使用者 VPCs发起与服务提供商 VPC 的连接的方式将驻留在一个 VPC AWS 区域 中的服务/应用程序 VPCs （服务提供商）私下公开给其他（消费者）的客户。这方面的一个例子是您的私有应用程序能够访问服务提供商 APIs。

 要使用 AWS PrivateLink，请在您的 VPC 中为您的应用程序创建一个 Network Load Balancer，然后创建指向该负载均衡器的 VPC 终端节点服务配置。然后，服务使用者为您的服务创建接口终端节点。这将在使用者子网中创建一个 elastic network interface (ENI)，其私有 IP 地址用作发往该服务的流量的入口点。消费者和服务不必位于同一 VPC 中。如果 VPC 不同，则使用者和服务提供商的 IP 地址范围 VPCs 可能会重叠。除了创建接口 VPC 终端节点以访问其他中的服务外 VPCs，您还可以创建接口 VPC 终端节点，以便通过私密访问[支持的 AWS 服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) AWS PrivateLink，如下图所示。

将 Application Load Balancer (ALB) 作为 NLB 的目标，您现在可以将 ALB 的高级路由功能与结合使用。 AWS PrivateLink有关参考架构和详细配置，请参阅 [Network Load Balancer 的应用程序负载均衡器类型的目标组](https://aws.amazon.com/blogs/networking-and-content-delivery/application-load-balancer-type-target-group-for-network-load-balancer/)。

![\[描述与其他服务 VPCs 和 AWS AWS PrivateLink 服务的连接的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/aws-privatelink.png)


 Transit Gateway、VPC 对等互连和 AWS PrivateLink 之间的选择取决于连接情况。
+  **AWS PrivateLink**— AWS PrivateLink 在您的客户端/服务器设置中要允许一个或多个使用者 VPCs 单向访问服务提供商 VPC 或某些服务中的特定服务或实例集时使用。 AWS 只有在使用者 VPC 中具有访问权限的客户端才能发起与服务提供商 VPC 或 AWS 服务中的服务的连接。当两 VPCs 者中的客户端和服务器的 IP 地址重叠时，这也是一个不错的选择，因为在客户端 VPC ENIs 中 AWS PrivateLink 使用的方式可以确保与服务提供商没有 IP 冲突。您可以通过 VPC 对等互连、VPN、Transit Gateway、Cloud WAN 和 AWS Direct Connect访问 AWS PrivateLink 终端节点。
+  **VPC 对等互连和 Transit Gateway** — 如果要在两者之间启用第 3 层 IP 连接，请使用 VPC 对等互连和 Transit Gateway。 VPCs

  您的架构将混合使用这些技术，以满足不同的用例。所有这些服务都可以相互组合和操作。例如， AWS PrivateLink 处理 API 风格的客户端-服务器连接、VPC 对等以处理区域内可能仍需要置放群组或区域间连接的直接连接需求，以及 Transi VPCs t Gateway 来简化大规模连接以及边缘整合以实现混合连接。

# VPC 共享
<a name="amazon-vpc-sharing"></a>

当团队之间的网络隔离不需要由 VPC 所有者严格管理，但账户级别的用户和权限必须严格管理时，共享 VPCs 非常有用。使用[共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)，多个 AWS 账户在共享的、集中管理的 Amazon 中创建其应用程序资源（例如亚马逊 EC2 实例） VPCs。在此模型中，拥有 VPC 的账户（所有者）与其他账户（参与者）共享一个或多个子网。共享子网之后，参与者可以查看、创建、修改和删除与他们共享的子网中的应用程序资源。参与者无法查看、修改或删除属于其他参与者或 VPC 拥有者的资源。共享 VPCs 资源之间的安全性使用安全组、网络访问控制列表 (NACLs) 或通过子网之间的防火墙进行管理。

 VPC 共享的好处：
+  简化的设计 — VPC 间连接没有复杂性 
+  管理较少 VPCs 
+  网络团队和应用程序所有者之间的职责分离 
+  提高 IPv4 地址利用率 
+  更低的成本 — 在属于同一可用区内不同账户的实例之间不收取数据传输费用 

**注意**  
 当您与多个账户共享子网时，您的参与者应该有一定程度的合作，因为他们共享 IP 空间和网络资源。如有必要，您可以选择为每个参与者账户共享不同的子网。每个参与者一个子网使网络 ACL 除了安全组之外还能提供网络隔离。

 大多数客户架构将包含多个架构 VPCs，其中许多将与两个或更多账户共享。Transit Gateway 和 VPC 对等连接可用于连接共享 VPCs的。例如，假设您有 10 个应用程序。每个应用程序都需要自己的 AWS 账户。这些应用程序可以分为两个应用程序组合（同一产品组合中的应用程序具有相似的联网要求，“营销” 中的 App 1—5 和 “销售” 中的 App 6—10）。

 每个应用程序组合可以有一个 VPC（ VPCs 总共两个），该 VPC 与该产品组合中的不同应用程序所有者账户共享。应用程序所有者将应用程序部署到各自的共享 VPC（在本例中，使用不同的子网进行网络路由分段和隔离 NACLs）。两者共享 VPCs 通过 Transit Gateway 连接。通过这种设置，你可以从必须连接 10 VPCs 变成只连接 2 个，如下图所示。

![\[描述共享 VPC 示例设置的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/example-setup-shared-vpc.png)


**注意**  
 VPC 共享参与者无法在共享子网中创建所有 AWS 资源。有关更多信息，请参阅 VPC 共享文档中的[限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-share-limitations)部分。  
有关 VPC 共享的关键注意事项和最佳实践的更多信息，请参阅 [VPC 共享：关键注意事项和最佳实践](https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-key-considerations-and-best-practices/)博客文章。

# 私有 NAT 网关
<a name="private-nat-gateway"></a>

团队通常独立工作，他们可能会为项目创建一个新的 VPC，该项目可能有重叠的无类域间路由 (CIDR) 块。为了实现集成，他们可能希望启用重叠网络之间的通信 CIDRs，而通过 VPC 对等互连和 Transit Gateway 等功能是无法实现的。私有 NAT 网关可以帮助解决这个用例。私有 NAT 网关使用唯一的私有 IP 地址为重叠的源 IP 地址执行源 NAT，而 ELB 对重叠的目标 IP 地址执行目标 NAT。您可以使用 Transit Gateway VPCs 或虚拟私有网关将流量从私有 NAT 网关路由到其他网络或本地网络。



![\[描绘私有 NAT 网关示例设置的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/example-setup-private-nat-gateway.png)


上图显示了 VPC A 和 B 中的两个不可路由（重叠 CIDRs）`100.64.0.0/16`子网。要在它们之间建立连接，您可以分别向 VPC A 和 B 添加辅助不可重叠/可路由 CIDRs （可路由子网和）。`10.0.1.0/24` `10.0.2.0/24`路由器 CIDRs 应由负责 IP 分配的网络管理团队分配。私有 NAT 网关已添加到 VPC A 中的可路由子网中，IP 地址为。`10.0.1.125`私有 NAT 网关对来自 VPC A (`100.64.0.10`) 不可路由子网中的实例的请求执行源网络地址转换`10.0.1.125`，就像私有 NAT 网关的 ENI 一样。现在，流量可以指向分配给 VPC B () 中的 Application Load Balancer (ALB) 的可路由 IP 地址，该地址的目标为。`10.0.2.10` `100.64.0.10`流量通过 Transit Gateway 路由。返回流量由私有 NAT 网关处理返回到请求连接的原始 Amazon EC2 实例。

当您的本地网络将访问权限限制为已批准 IPs时，也可以使用私有 NAT 网关。合规要求少数客户的本地网络只能通过客户 IPs 拥有的有限连续经批准的区块与私有网络（没有 IGW）通信。您可以使用私有 NAT 网关在每个允许列表的 IP AWS VPCs 后面运行大型工作负载，而不必为每个实例分配一个与区块分开的 IP。有关详细信息，请参阅[如何使用私有 NAT 解决方案解决私有 IP 耗尽问题](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-solve-private-ip-exhaustion-with-private-nat-solution/)博客文章。

![\[描述如何使用私有 NAT 网关为本地网络提供经批准 IPs 的图表\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/how-to-use-nat.png)


# AWS 云广域网
<a name="aws-cloud-wan"></a>

 AWS Cloud WAN 是一种将网络连接在一起的新方式，这是我们以前通过传输网关、VPC 对等互连和 IPSEC VPN 隧道所能做到的。以前，您需要配置一个或多个 VPCs，使用前面的方法之一将它们连接在一起，然后使用 IPSEC VPN 或 Direct Connect 连接到本地网络。你可以在一个地方定义网络和安全态势结构，在另一个地方定义网络。Cloud WAN 允许您将所有这些结构集中在一个地方。根据策略，您可以对网络进行细分以确定谁可以与谁通信，并将通过这些分段的生产流量与开发或测试工作负载或本地网络隔离开来。

![\[描绘 AWS 云广域网连接的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/cloud-wan-diagram.png)


 通过网络管理器用户界面管理您的全球 AWS 网络，以及 APIs。全球网络是所有网络对象的根级容器；核心网络是由 AWS 管理的全球网络的一部分。核心网络策略 (CNP) 是一份单版本化策略文档，它定义了核心网络的各个方面。附件是您想要添加到核心网络的任何连接或资源。核心网络边缘 (CNE) 是符合政策的附件的本地连接点。网段是路由域，默认情况下，它只允许在分段内进行通信。

 要使用 CloudWAN：

1.  在 AWS 网络管理器中，创建全球网络和相关的核心网络。

1.  创建一个 CNP，用于定义区段、ASN 范围 AWS 区域 和用于附加到区段的标签。

1.  应用网络策略。

1.  使用资源访问管理器与您的用户、账户或组织共享核心网络。

1.  创建和标记附件。

1.  更新连接中的路由 VPCs ，使其包含核心网络。

 Cloud WAN 旨在简化全球连接 AWS 基础设施的流程。它允许您使用集中权限策略对流量进行分段，并在公司所在地使用现有的基础架构。云广域网还可以连接您的 VPCs、SD-WANs VPNs、客户端、防火墙和数据中心资源 VPNs，以连接到云广域网。有关更多信息，请参阅 [AWS 云广域网博客文章](https://aws.amazon.com/blogs/networking-and-content-delivery/category/networking-content-delivery/aws-cloud-wan/)。

 AWS Cloud WAN 支持连接云和本地环境的统一网络。Organizations 使用下一代防火墙 (NGFWs) 和入侵防御系统 (IPSs) 来确保安全。[AWS Cloud WAN 和 Transit Gateway 迁移和互操作模式](https://aws.amazon.com/blogs/networking-and-content-delivery/aws-cloud-wan-and-aws-transit-gateway-migration-and-interoperability-patterns/)博客文章描述了集中管理和检查云广域网网络中的出站网络流量（包括单区域和多区域网络）的架构模式，并配置了路由表。这些架构可确保数据和应用程序保持安全，同时维护安全的云环境。

 有关云广域网的更多信息，请参阅 AWS Cl [oud WAN 博客文章中的集中式出站检查架构](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-outbound-inspection-architecture-in-aws-cloud-wan/)。

# Amazon VPC Lattice
<a name="vpc-lattice"></a>

 Amazon VPC Lattice 是一项完全托管的应用程序联网服务，用于跨各种账户和虚拟私有云连接、监控和保护服务。VPC Lattice有助于在逻辑边界内互连服务，以便您可以高效地管理和发现它们。

 VPC 莱迪思组件包括：
+  **服务**-这是在实例、容器或 Lambda 函数上运行的应用程序单元，由侦听器、规则和目标组组成。
+  **服务网络**-这是逻辑边界，用于自动实现服务发现和连接，并将通用访问和可观察性策略应用于一组服务。
+  **身份验证策略**-可以与服务网络或单个服务关联的 IAM 资源策略，以支持请求级身份验证和特定于上下文的授权。
+  **服务目录**-您拥有的服务或通过 AWS Resource Access Manager 与您共享的服务的集中视图。

 VPC Lattice 使用步骤：

1.  创建服务网络。服务网络通常位于网络管理员拥有完全访问权限的网络帐户上。服务网络可以在组织内的多个账户之间共享。可以对单个服务或整个服务帐户进行共享。

1.  VPCs 连接到服务网络以启用每个 VPC 的应用程序联网，这样不同的服务就可以开始使用在网络中注册的其他服务。应用安全组来控制流量。

1.  开发人员定义服务，这些服务将填充到服务目录中并注册到服务网络中。VPC Lattice 包含所有已配置服务的地址簿。开发人员还可以定义路由策略以使用蓝/绿部署。安全性在定义身份验证和授权策略的服务网络级别和实施 IAM 访问策略的服务级别进行管理。

![\[描绘 VPC 莱迪思通信流的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/vpc-lattice.png)


 更多详情可在 [VPC Lattice用户指南](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html )中找到。