本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 映射應用程式和設計架構
<a name="map-your-applications-architecture"></a>

下列各節可協助您了解應用程式如何在其現有環境中整合，以及如何設計其新架構。

**Topics**
+ [映射應用程式](#map-your-applications)
+ [規劃架構](#plan-your-architecture)

## 映射應用程式
<a name="map-your-applications"></a>

當您將應用程式及其相關聯的相依性遷移至 AWS 雲端時，沒有標準的方法。下表提供與 F5 BIG-IP 工作負載共同遷移至 AWS 雲端之不同應用程式的主要考量事項概觀。


| 應用程式類型 | 使用案例 | 建議動作 | 
| --- | --- | --- | 
| 自訂或商用off-the-shelf(COT) 應用程式  |  您打算在將應用程式遷移至 AWS 雲端後關閉資料中心或主機代管執行個體，或混合執行內部部署和 AWS 產品或服務。您不打算現代化這些應用程式。 您可能已將 [F5 應用程式交付控制器 (ADC)](https://www.f5.com/glossary/application-delivery-controller) 整合為應用程式邏輯的一部分，並需要它才能將相同的邏輯移植到 AWS 雲端。 應用程式元件可能會也可能不會同時遷移。  |  檢閱目前的 F5 組態，並將其細分為需要遷移的應用程式元件。 請確定您透過模組或 [F5 Good、Better、Best (GBB)](https://www.f5.com/products/get-f5/perpetual-licensing-gbb) 程式，比對使用中的授權模型。  | 
| 具有高合規或安全相關要求的應用程式 |  雖然這些應用程式可以重新託管、重新格式化或重新編譯，但它們需要進階保護。 這些進階保護可能包括行為保護、行動應用程式安全性、進階機器人偵測、深度 IP 情報，以及回應資料的輸出篩選。  |  如果您已經在使用 F5 ASM，請務必遷移安全或合規政策。 如果這是新的應用程式，則您應該評估利用 F5 ASM 或 [F5 Web Application Firewall (F5 WAF)](https://www.f5.com/products/big-ip-services/advanced-waf) 的最佳方法。  | 
| 在 Amazon Elastic Container Service (Amazon ECS)、Amazon Elastic Kubernetes Service (Amazon EKS) 或託管 [K8S](https://community.f5.com/kb/technicalarticles/easy-demo-protect-container-traffic-to-eks-with-big-ip/291173) 的 Amazon EC2 上託管的新一代或雲端原生應用程式 |  這些應用程式需要通訊協定調校，例如行動或其他失真網路類型、HTTP 最佳化、可程式化資料平面 (iRules)，或符合負載平衡演算法的進階服務。 | 如需容器輸入，請參閱 [F5 文件中的 F5 容器輸入服務](https://clouddocs.f5.com/containers/v2/)。 F5  | 
| 聯合命名空間或混合應用程式 |  這些是跨混合部署聯合交付簡報層的應用程式，或取用的服務位於混合部署中的應用程式。 例如，您可以在內部部署中使用 F5 GTM 和 F5 LTM，並已利用 F5 GTM 的進階功能來映射複雜的相依性和將客戶傳送到哪個位置的進階邏輯。  |  此部署應至少有兩個 F5 DNS 系統或 [F5 分散式雲端 DNS](https://www.f5.com/products/distributed-cloud-services/dns)。 部署將需要在 AWS 雲端中建立一或多個 VPCs。 一個 VPC 需要映射到系統做為資料中心。如果您使用傳輸 VPCs設計，這可以是多個 VPC。  | 
| 效能最佳化應用程式 | 在工作階段 (L4) 和應用程式層 (L7)、行動應用程式或您擔心因遷移至雲端和從 AWS 雲端遷移而增加延遲、HTTP 最佳化 (SPDY) 和壓縮的應用程式。 |  這需要部署執行標準類型虛擬伺服器 （完整 TTCP 代理） 或更高版本的 F5 LTM 系統 （應用程式代理，例如 HTTP)，且應用程式伺服器和客戶之間的對稱流量較低。 流量可以透過來源網路地址轉譯 (SNAT) 處理，或者 F5 BIG-IP 執行個體可以是執行個體和路由表的預設閘道。  | 
| 跨多個可用區域的內部應用程式，高可用性 (HA)，但沒有 DNS | 您需要部署應用程式，並想要支援跨區域以提高可用性，但不想使用 DNS 且無法變更 IP 地址。 | 您需要使用 VPC 中對等至虛擬私有閘道的客戶閘道來宣告外部地址空間，以及使用 [F5 Advanced HA iAPP 範本](https://www.f5.com/pdf/deployment-guides/f5-aws-ha-dg.pdf)來操作路由表。F5 系統可以是 VPC 中的客戶閘道，而第三方解決方案可以是客戶閘道。 | 
| WAF 或 IDS/IPS 應用程式  | 這些應用程式需要進階安全功能，例如 SNORT 簽章、機器人保護、深度和複雜的 WAF 規則集 (2900 個以上的簽章），以及安全掃描器整合。 | 選擇符合應用程式需求的 CloudFormation 範本拓撲 ([AWS Auto Scaling](https://docs.aws.amazon.com/autoscaling/index.html)、[高可用性](https://docs.aws.amazon.com/whitepapers/latest/oracle-database-aws-best-practices/architecting-for-high-availability.html)、獨立），然後建立和驗證適當的安全政策。 | 
| 安全性和服務傳輸 VPC 應用程式  |  這是傳輸 VPC 的變化，您可以在其中集中網際網路或內部網路的安全性和服務，並將其與其他 VPCs對等。 此拓撲可以與其他應用程式類型和使用案例清單一起使用。它用於減少組織的 VPC 結構的網際網路攻擊面、集中控制和單獨的職責。它也用於在特定 VPC、其他 VPCs 和網際網路之間插入進階應用程式和安全服務。  | 部署傳輸 VPC 以及對等 （應用程式） VPC IP 地址可見性要求。 | 
| DNS 安全性、快速和混合式應用程式 | 跨 AWS 雲端和資料中心複寫安全且一致的 DNS 查詢表，能夠處理大量 DNS 查詢；透過 直接連線中斷後仍存活 Direct Connect；跨環境以政策為基礎的集中管理 DNS；DNS 快取和 DNS 通訊協定驗證和安全性 (DNSSEC)。 | 使用最佳實務來部署 DNS，並將每個 VPC 視為虛擬資料中心。 | 

## 規劃架構
<a name="plan-your-architecture"></a>

下圖顯示由 AWS Transit Gateway 連線之邊緣 VPC 和應用程式 VPCs的基準架構。VPCs 可以是相同或不同帳戶的一部分。

![\[AWS 雲端上的 F5 架構。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/migration-f5-big-ip/images/F5-aws-architecture-2.png)


例如，登陸區域通常會部署可控制邊緣 VPCs帳戶。此架構可協助使用者在整個應用程式套件中利用常見的政策、程序和平台。

下圖顯示部署在作用中待命叢集中 F5 BIG-IP 工作負載的兩個網路介面 (NIC) 執行個體。您可以將更多彈性網路介面新增至這些系統，最高可達執行個體限制。F5 建議您使用異地同步備份模式進行部署，以避免可用區域故障。

![\[遷移策略決策概觀。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/migration-f5-big-ip/images/F5-aws-architecture.png)