本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 規劃您的部署
本節協助您規劃 AWS 上 Cloud Migration Factory 解決方案的成本、安全性、AWS 區域和部署類型。
# Cost
您必須負責執行此解決方案時所使用的 AWS 服務成本。截至此修訂,在美國東部 (維吉尼亞北部) 區域中使用預設設定執行此解決方案,並假設您每月使用此解決方案遷移 200 個伺服器的預估成本約為**每月 14.31 美元**。執行此解決方案的成本取決於載入、請求、儲存、處理和呈現的資料量,如下表所示。
| AWS 服務 | 因素 | 成本/月 【美元】 |
| --- | --- | --- |
| **核心服務** | | |
| Amazon API Gateway | 每月 10,000 個請求 x (每百萬 3.50 美元) | 0.035 美元 |
| AWS Lambda | 每月 10,000 次調用 (平均 3,000 毫秒持續時間和 128 MB 記憶體) | 0.065 USD |
| Amazon DynamoDB | 每月 20,000 個寫入請求 x (1.25 美元/百萬) 每月 40,000 個讀取請求 x (0.25 美元/百萬) 資料儲存:1 GB x 0.25 美元 | 0.035 美元 |
| Amazon S3 | 儲存 (10MB) 和 50,000 每個月取得請求 | 0.25 美元 |
| Amazon CloudFront | 區域資料傳輸到網際網路:前 10 TB 區域資料傳輸至原始伺服器:所有資料傳輸 HTTPS 請求: 每月 X 50,000 個請求 (\$10.01/10,000 個請求) | 0.92 美元 |
| AWS Systems Manager | 每月 10,000 個步驟 | 0.00 美元 |
| AWS Secrets Manager | 5 個秘密 x 30 天持續時間 | 2.00 美元 |
| Amazon Cognito (直接登入) | AWS 免費方案每月最多涵蓋 50,000 個作用中使用者 (MAUs) | 0.00 美元 |
| Amazon Athena | 每天 10MB x 每掃描 TB 的資料 5.00 美元 | 0.0015 美元 |
| **選用服務** | | |
| AWS Glue (選用遷移追蹤器) | 每日 2 分鐘 x 預設 10 個 DPU x 每個 DPU 小時 0.44 美元 | 4.40 美元 |
| AWS WAF | 2 個 Web ACLs 每月 5.00 美元 (每小時按比例分配)2 個規則每月 1.00 美元 (每小時按比例分配) 10,000 個請求 x (每 100 萬個請求 0.60 美元) | 6.60 美元 |
| Amazon Cognito (SAML 登入) | AWS 免費方案涵蓋最多 50 MAUs超過 50 個 MAUs,\$10.015/MAU TierAbove | 0.00 美元 |
| | **總計:** | **\$1每月 14.31 美元** |
## (建議) 部署 Amazon Elastic Compute Cloud 執行個體,以協助執行自動化指令碼
我們建議您部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以使用 IAM 角色自動化與解決方案 APIs 和 AWS Boto3 APIs連線。下列成本估算假設 Amazon EC2 執行個體位於 `us-east-1`區域,每週五天,每天執行八小時。
| AWS 服務 | 因素 | 成本/月 【美元】 |
| --- | --- | --- |
| Amazon EC2 | 每月 176 小時 x 每小時 0.1108 美元 (`t3.large`) | 19.50 美元 |
| Amazon Elastic Block Store (Amazon EBS) | 30 GB x 每月 0.08 USD (gp3) x (176 小時/720 小時) | 0.59 美元 |
| | **總計:** | **\$1\$120.09** |
價格可能變動。如需完整詳細資訊,請參閱您將在此解決方案中使用的每個 AWS 服務的定價網頁。
# 安全
當您在 AWS 基礎設施上建置系統時,安全責任會由您和 AWS 共同承擔。此[共用模型](https://aws.amazon.com/compliance/shared-responsibility-model/)可以減輕您的操作負擔,因為 AWS 會操作、管理和控制從主機作業系統和虛擬化層到服務操作所在設施實體安全性的元件。如需 AWS 安全性的詳細資訊,請造訪 [AWS Cloud Security](https://aws.amazon.com/security)。
## IAM 角色
AWS Identity and Access Management (IAM) 角色可讓您將精細存取政策和許可指派給 AWS 雲端中的服務和使用者。此解決方案會建立 IAM 角色,授予 AWS Lambda 函數存取此解決方案中使用的其他 AWS 服務的權限。
## Amazon Cognito
此解決方案建立的 Amazon Cognito 使用者是具有僅存取此解決方案 RestAPIs之許可的本機使用者。此使用者沒有存取您 AWS 帳戶中任何其他服務的許可。如需詳細資訊,請參閱[《Amazon Cognito 開發人員指南》中的 Amazon Cognito 使用者集](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html)區。 *Amazon Cognito *
解決方案可選擇性地透過聯合身分提供者的組態和 Amazon Cognito 的託管 UI 功能來支援外部 SAML 登入。
## Amazon CloudFront
此預設解決方案會部署[託管](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html)在 Amazon S3 儲存貯體中的 Web 主控台。為了協助減少延遲並改善安全性,此解決方案包含具有原始存取身分的 [Amazon CloudFront](https://aws.amazon.com/cloudfront/) 分佈,這是一個特殊的 CloudFront 使用者,可協助公開存取解決方案的網站儲存貯體內容。如需詳細資訊,請參閱《[Amazon CloudFront 開發人員指南》中的使用原始存取身分限制對 Amazon S3 內容的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 *Amazon CloudFront *
如果在堆疊部署期間選取**私有**部署類型,則不會部署 CloudFront 分佈,並且需要使用另一個 Web 託管服務來託管 Web 主控台。
## AWS WAF - Web 應用程式防火牆
如果在堆疊中選取的部署類型是 Public with [AWS WAF](https://aws.amazon.com/waf/),則 CloudFormation 將部署必要的 AWS WAF Web ACLs和規則,設定為保護 CMF 解決方案建立的 CloudFront、API Gateway 和 Cognito 端點。這些端點將受到限制,只允許指定的來源 IP 地址存取這些端點。在堆疊部署期間,設施必須提供兩個 CIDR 範圍,以便在透過 AWS WAF 主控台部署後新增其他規則。
**重要**
設定 WAF IP 限制時,請確定 CMF 自動化伺服器的 IP 地址或傳出 NAT Gateway IP 包含在允許的 CIDR 範圍內。這對於需要存取解決方案 API 端點的 CMF 自動化指令碼正常運作至關重要。
## Amazon API Gateway
此解決方案會部署 Amazon API Gateway REST APIs並使用預設 API 端點和 SSL 憑證。預設 API 端點支援 TLSv1 安全政策。建議使用 TLS\$11\$12 安全政策,搭配您自己的自訂網域名稱和自訂 SSL 憑證強制執行 TLSv1.2\$1。如需詳細資訊,請參閱《*Amazon API Gateway * [API Gateway 開發人員指南》中的為自訂網域選擇最低 TLS 版本](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html),以及[設定自訂網域](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html)。
## Amazon CloudWatch 警示/Canary
Amazon CloudWatch 警示可協助您監控解決方案的功能和安全性假設。解決方案包括 AWS Lambda 函數和 API Gateway 端點的記錄和指標。如果您的特定使用案例需要額外監控,您可以設定 CloudWatch 警示來監控:
+ **API Gateway 監控:**
+ 設定 4XX 和 5XX 錯誤的警示,以偵測未經授權的存取嘗試或 API 問題
+ 監控 API Gateway 延遲以確保效能
+ 追蹤 API 請求的計數,以識別異常模式
+ **AWS Lambda 函數監控:**
+ 建立 Lambda 函數錯誤和逾時的警示
+ 監控 Lambda 函數持續時間以確保最佳效能
+ 設定並行執行的警示以防止限流
您可以使用 CloudWatch 主控台或透過 AWS CloudFormation 範本建立這些警示。如需建立 CloudWatch 警示的詳細說明,請參閱《[Amazon CloudWatch 使用者指南》中的建立 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。 *Amazon CloudWatch *
## 客戶受管 AWS KMS 金鑰
此解決方案使用靜態加密來保護資料,並為客戶資料使用 AWS 受管金鑰。這些金鑰用於在資料寫入儲存層之前自動且透明地加密資料。有些使用者可能偏好對其資料加密程序進行更多控制。此方法可讓您管理自己的安全登入資料,提供更高層級的控制和可見性。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的[基本概念](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html)和 AWS KMS 金鑰。 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) *AWS Key Management Service *
## 日誌保留
此解決方案透過在您的帳戶中建立 Amazon CloudWatch logs。根據預設,日誌會保留 10 年。您可以調整每個日誌群組的 LogRetentionPeriod 參數、切換至無限期保留,或根據您的需求選擇一天到 10 年的保留期間。如需詳細資訊,請參閱《[Amazon CloudWatch Logs 使用者指南》中的什麼是 Amazon CloudWatch Logs?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html#cloudwatch-logs-features)。 *Amazon CloudWatch *
## Amazon Bedrock
解決方案會在 CloudFormation 堆疊部署期間自動選取您區域的最佳可用基礎模型。選擇程序使用 Lambda 函數來呼叫 ,`list_foundation_models()`並從此優先順序中選擇第一個可用的模型:
1. `anthropic.claude-sonnet-4-20250514-v1:0` (Sonnet 4)
1. `anthropic.claude-3-7-sonnet-20250219-v1:0` (Sonnet 3.7)
1. `anthropic.claude-3-5-sonnet-20241022-v2:0` (Sonnet 3.5v2)
1. `anthropic.claude-3-5-sonnet-20240620-v1:0` (Sonnet 3.5)
1. `anthropic.claude-3-sonnet-20240229-v1:0` (Sonnet 3)
1. `amazon.nova-pro-v1:0` (Nova Pro)
您必須透過 Bedrock 主控台在 AWS 帳戶中啟用選取的模型,才能使用 GenAI 功能。解決方案的核心功能在未啟用 GenAI 功能的情況下仍可維持完全運作。如果客戶不想使用 AI 輔助功能,可以選擇將工具與手動輸入搭配使用。
部署之後,您可以在 WPMStack 的 `GenAISelectedModelArn` 欄位下的 CloudFormation 堆疊輸出中找到選取的模型 ARN。
![\[CloudFormation 堆疊輸出顯示選取的 GenAI 模型 ARN\]](http://docs.aws.amazon.com/zh_tw/solutions/latest/cloud-migration-factory-on-aws/images/cloudformation-genai-model-output.png)
![\[Amazon Bedrock 模型啟用界面\]](http://docs.aws.amazon.com/zh_tw/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-model-enablement.png)
此解決方案的預設組態會部署 Amazon Bedrock Guardrail,以便:
+ 篩選掉有害內容
+ 與您的使用案例無關的區塊提示注入
![\[Amazon Bedrock Guardrails 組態界面\]](http://docs.aws.amazon.com/zh_tw/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-guardrails.png)
如需詳細資訊,請參閱 [Amazon Bedrock 護欄](https://aws.amazon.com/bedrock/guardrails/)。若要在 CMF 解決方案中選擇退出護欄,您可以在範本參數區段中選取 false。
# 支援的 AWS 區域
此解決方案使用 Amazon Cognito 和 Amazon QuickSight,目前僅適用於特定 AWS 區域。因此,您必須在提供這些服務的區域中啟動此解決方案。如需依區域分類的最新服務可用性,請參閱 [AWS 區域服務清單](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
**注意**
遷移過程中的資料傳輸不受區域部署影響。
AWS 上的 Cloud Migration Factory 可在下列 AWS 區域使用:
| 區域名稱 | |
| --- | --- |
| 美國東部 (俄亥俄) | 加拿大 (中部) |
| 美國東部 (維吉尼亞北部) | \$1 加拿大西部 (卡加利) |
| 美國西部 (加利佛尼亞北部) | 歐洲 (法蘭克福) |
| 美國西部 (奧勒岡) | 歐洲 (愛爾蘭) |
| \$1非洲 (開普敦) | 歐洲 (倫敦) |
| \$1亞太區域 (香港) | \$1歐洲 (米蘭) |
| \$1亞太區域 (海德拉巴) | \$1歐洲 (西班牙) |
| \$1亞太區域 (雅加達) | Europe (Paris) |
| \$1亞太區域 (墨爾本) | 歐洲 (斯德哥爾摩) |
| 亞太地區 (孟買) | \$1歐洲 (蘇黎世) |
| 亞太地區 (大阪) | \$1以色列 (特拉維夫) |
| 亞太地區 (首爾) | \$1中東 (巴林) |
| 亞太地區 (新加坡) | \$1中東 (阿拉伯聯合大公國) |
| 亞太地區 (悉尼) | 南美洲 (聖保羅) |
| 亞太地區 (東京) | |
**重要**
\$1由於 Amazon CloudFront 存取記錄,僅適用於私有部署類型,請參閱《*Amazon CloudFront 開發人員指南*》中的[設定和使用標準日誌 (存取日誌)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html) 以取得最新詳細資訊。
AWS 上的 Cloud Migration Factory 不適用於下列 AWS 區域:
| 區域名稱 | 無法使用的 service(s) 或服務選項 |
| --- | --- |
| AWS GovCloud (US-East) | Amazon Cognito |
| AWS GovCloud (US-West) | Amazon Cognito |
# 配額
服務配額 (也稱為限制) 是您 AWS 帳戶的服務資源或操作數目最大值。
## 此解決方案中 AWS 服務的配額
請確定您為此[解決方案中實作的每個服務](aws-services-in-this-solution.md)有足夠的配額。如需詳細資訊,請參閱 [AWS 服務配額](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。
選取下列其中一個連結,前往該服務的 頁面。若要在不切換頁面的情況下檢視文件中所有 AWS 服務的服務配額,請改為檢視 PDF 中[服務端點和配額](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information)頁面中的資訊。
## AWS CloudFormation 配額
您的 AWS 帳戶具有 CloudFormation 配額,您在啟動此解決方案的堆疊時應注意這些配額。透過了解這些配額,您可以避免限制會阻止您成功部署此解決方案的錯誤。如需詳細資訊,請參閱《[AWS CloudFormation 使用者指南》中的 AWS CloudFormation 配額](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html)。 *AWS CloudFormation *