本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 規劃您的部署
<a name="plan-your-deployment"></a>

本節說明部署解決方案之前的區域、[成本](cost.md)、[安全性](aws-well-architected-design-considerations.md#security)和其他考量事項。

## 支援的 AWS 區域
<a name="supported-aws-regions"></a>

此解決方案使用 Amazon Cognito 服務，目前並非所有 AWS 區域都提供此服務。如需各區域 AWS 服務的最新可用性，請參閱 [AWS 區域服務清單](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。

AWS 上的工作負載探索可在下列 AWS 區域使用：


| 區域名稱 |  | 
| --- | --- | 
|  美國東部 (維吉尼亞北部)  |  加拿大 (中部)  | 
|  美國東部 (俄亥俄)  |  歐洲 (倫敦)  | 
|  美國西部 (奧勒岡)  |  歐洲 (法蘭克福)  | 
|  亞太區域 (孟買)  |  歐洲 (愛爾蘭)  | 
|  亞太區域 (首爾)  |  Europe (Paris)  | 
|  亞太區域 (新加坡)  |  歐洲 (斯德哥爾摩)  | 
|  亞太區域 (悉尼)  |  南美洲 (聖保羅)  | 
|  亞太區域 (東京)  |  | 

AWS 上的工作負載探索不適用於下列 AWS 區域：


| 區域名稱 | 無法使用的服務 | 
| --- | --- | 
|  AWS GovCloud (US-East)  |  AWS AppSync  | 
|  AWS GovCloud (US-West)  |  AWS AppSync  | 
|  中國 (北京)  |  Amazon Cognito  | 
|  中國 (寧夏)  |  Amazon Cognito  | 

# 成本
<a name="cost"></a>

您需負責支付執行此解決方案時佈建的 AWS 服務的費用。截至此修訂，在美國東部 （維吉尼亞北部） 區域使用單一執行個體部署選項執行此解決方案的成本約為**每小時 0.58 美元**或**每月 425.19 美元**。

**注意**  
在 AWS 雲端的 AWS 上執行工作負載探索的成本取決於您選擇的部署組態。下列範例提供美國東部 （維吉尼亞北部） 區域中單一執行個體和多個執行個體部署組態的成本明細。下列範例資料表中列出的 AWS 服務會每月計費。

我們建議您透過 [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) 建立[預算](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html)，以協助管理成本。價格可能變動。如需完整詳細資訊，請參閱此解決方案中使用的每個 AWS 服務的定價網頁。

## 成本表範例
<a name="example-cost-tables"></a>

### 選項 1：單一執行個體部署 （預設）
<a name="option-1-single-instance-deployment-default"></a>

使用 AWS CloudFormation 範本部署此解決方案時，請修改 **OpensearchMultiAz** 參數以`No`部署 OpenSearch Service 網域的單一執行個體，並修改 **CreateNeptuneReplica** 參數以部署 Neptune `No` 資料存放區的單一執行個體。單一執行個體部署選項的成本較低，但可減少在可用區域故障時 AWS 上工作負載探索的可用性。


| AWS 服務 | 執行個體類型 | 每小時成本 【USD】 | 每月成本 【USD】 | 
| --- | --- | --- | --- | 
|  Amazon Neptune  |   `db.r5.large`   |  0.348 美元  |  254.04 美元  | 
|  Amazon OpenSearch Service  |   `m6g.large.search`   |  0.128 美元  |  93.44 美元  | 
|  Amazon VPC (NAT Gateway)  |  N/A  |  0.090 USD  |  65.7 美元  | 
|  AWS Config  |  N/A  |  每個資源 0.003 美元  |  每個資源 0.003 美元  | 
|  Amazon ECS (AWS Fargate 任務）  |  N/A  |  0.02 美元  |  12.01 美元  | 
|  總計  |  |   **0.586 美元**   |   **425.19 美元**   | 

### 選項 2：多個執行個體部署
<a name="option-2-multiple-instances-deployment"></a>

使用 AWS CloudFormation 範本部署此解決方案時，請修改 **OpensearchMultiAz** 參數以將兩個執行個體`Yes`部署在 OpenSearch Service 網域的兩個可用區域中，並修改 **CreateNeptuneReplica** 參數以將兩個執行個體部署在 Neptune `Yes` 資料存放區的兩個可用區域中。多個執行個體部署選項的執行成本較高，但在可用區域故障時，會增加 AWS 上工作負載探索的可用性。


| AWS 服務 | 執行個體類型 | 每小時成本 | 每月成本 【USD】 | 
| --- | --- | --- | --- | 
|  Amazon Neptune  |   `db.r5.large`   |  0.696 美元  |  508.08 美元  | 
|  Amazon OpenSearch Service  |   `m6g.large.search`   |  0.256 美元  |  186.88 美元  | 
|  Amazon VPC (NAT Gateway)  |  N/A  |  0.090 USD  |  65.7 美元  | 
|  AWS Config  |  N/A  |  每個資源 0.003 美元  |  每個資源 0.003 美元  | 
|  Amazon ECS (AWS Fargate 任務）  |  N/A  |  0.02 美元  |  12.01 美元  | 
|  總計  |  |   **1.062 美元**   |   **772.67 美元**   | 
+ 您的最終成本取決於 AWS Config 偵測到的資源數量。 除了表格中提供的金額之外，還會產生每個記錄的資源項目 0.003 USD。

**重要**  
Amazon Neptune 和 Amazon OpenSearch Service 的成本會因您選擇的執行個體類型而異。

# 安全
<a name="security-1"></a>

當您在 AWS 基礎設施上建置系統時，您與 AWS 之間會共同承擔安全責任。此[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)可減少您的營運負擔，因為 AWS 會操作、管理和控制元件，包括主機作業系統、虛擬化層，以及服務營運所在設施的實體安全性。如需 AWS 安全性的詳細資訊，請造訪 [AWS 安全中心](https://aws.amazon.com/security/)。

## 資源存取
<a name="resource-access"></a>

### IAM 角色
<a name="iam-roles"></a>

IAM 角色可讓客戶將精細存取政策和許可指派給 AWS 雲端上的服務和使用者。在 AWS 上執行工作負載探索和探索 AWS 帳戶中的資源需要多個角色。

### Amazon Cognito
<a name="amazon-cognito"></a>

Amazon Cognito 用於使用短期、強大的登入資料來驗證存取權，以授予 AWS 上工作負載探索所需的元件存取權。

## 網路存取
<a name="network-access"></a>

### Amazon VPC
<a name="amazon-vpc"></a>

AWS 上的工作負載探索部署在 Amazon VPC 中，並根據最佳實務進行設定，以提供安全性和高可用性。如需其他詳細資訊，請參閱 [VPC 的安全最佳實務](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)。VPC 端點允許服務之間的非網際網路傳輸，並在可用時設定。

安全群組用於控制和隔離在 AWS 上執行工作負載探索所需的元件之間的網路流量。

我們建議您檢閱安全群組，並在部署啟動並執行後視需要進一步限制存取。

### Amazon CloudFront
<a name="amazon-cloudfront"></a>

此解決方案會部署[託管](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html)在由 Amazon CloudFront 分佈的 Amazon S3 儲存貯體中的 Web 主控台 UI。 Amazon CloudFront 透過使用原始存取身分功能，只能透過 CloudFront 存取此 Amazon S3 儲存貯體的內容。如需詳細資訊，請參閱《[Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 *Amazon CloudFront *

CloudFront 會啟用其他安全緩解措施，將 HTTP 安全標頭附加到每個檢視器回應。如需其他詳細資訊，請參閱在 [ CloudFront 回應中新增或移除 HTTP 標頭](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-response-headers.html)。

此解決方案使用預設 CloudFront 憑證，該憑證具有 TLS v1.0 的最低支援安全通訊協定。若要強制使用 TLS v1.2 或 TLS v1.3，您必須使用自訂 SSL 憑證，而非預設 CloudFront 憑證。如需詳細資訊，請參閱[如何將 CloudFront 分佈設定為使用 SSL/TLS 憑證](https://aws.amazon.com/premiumsupport/knowledge-center/install-ssl-cloudfront/)。

## 應用程式組態
<a name="application-configuration"></a>

### AWS AppSync
<a name="aws-appsync"></a>

AWS GraphQL APIs 上的工作負載探索具有 AWS AppSync 根據 [GraphQL 規格](https://spec.graphql.org/June2018/#sec-Validation)提供的請求驗證。此外，身分驗證和授權是使用 IAM 和 Amazon Cognito 實作，當使用者在 Web UI 中成功驗證時，會使用 Amazon Cognito 提供的 JWT。

### AWS Lambda
<a name="aws-lambda"></a>

根據預設，Lambda 函數會設定為最新穩定版本的語言執行時間。不會記錄任何敏感資料或秘密。服務互動是以最低必要權限執行。定義這些權限的角色不會在函數之間共用。

### Amazon OpenSearch Service
<a name="amazon-opensearch-service"></a>

Amazon OpenSearch Service 網域設定了存取政策，限制存取以停止對 OpenSearch Service 叢集提出的任何未簽署請求。這僅限於單一 Lambda 函數。

OpenSearch Service 叢集建置時已啟用node-to-node加密，可在現有的 OpenSearch Service [安全功能](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/security.html)上新增額外的資料保護層。

# 配額
<a name="quotas"></a>

服務配額 (也稱為限制) 是您 AWS 帳戶的服務資源或操作數目最大值。

## 此解決方案中 AWS 服務的配額
<a name="quotas-for-aws-services-in-this-solution"></a>

請確定您有足夠的配額，可用於[此解決方案中實作的每個服務](aws-services-in-this-solution.md)。如需詳細資訊，請參閱 [AWS 服務配額](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。

使用以下連結前往該服務的 頁面。若要檢視文件中所有 AWS 服務的服務配額，而不切換頁面，請改為檢視 PDF 中[服務端點和配額](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information)頁面中的資訊。


|  |  | 
| --- |--- |
|   [Amplify](https://docs.aws.amazon.com/general/latest/gr/amplify.html)   |   [Amazon ECR](https://docs.aws.amazon.com/general/latest/gr/ecr.html)   | 
|   [Athena](https://docs.aws.amazon.com/general/latest/gr/athena.html)   |   [Lambda](https://docs.aws.amazon.com/general/latest/gr/lambda-service.html)   | 
|   [CloudFront](https://docs.aws.amazon.com/general/latest/gr/cf_region.html)   |   [OpenSearch Service](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html)   | 
|   [Cognito](https://docs.aws.amazon.com/general/latest/gr/cognito_identity.html)   |   [Neptune](https://docs.aws.amazon.com/general/latest/gr/neptune.html)   | 
|   [Config](https://docs.aws.amazon.com/general/latest/gr/awsconfig.html)   |   [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/general/latest/gr/s3.html)   | 
|   [Amazon ECS](https://docs.aws.amazon.com/general/latest/gr/ecs-service.html)   |  | 

## AWS CloudFormation 配額
<a name="aws-cloudformation-quotas"></a>

您的 AWS 帳戶具有 AWS CloudFormation 配額，在此解決方案中[啟動堆疊](launch-the-stack.md)時，您應該注意這些配額。透過了解這些配額，您可以避免限制會阻止您成功部署此解決方案的錯誤。如需詳細資訊，請參閱《[AWS CloudFormation 使用者指南》中的 中的 AWS CloudFormation 配額](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html)。 *AWS CloudFormation *

## AWS Lambda 配額
<a name="aws-lambda-quotas"></a>

您的帳戶的 AWS Lambda 並行執行配額為 1000。如果解決方案用於執行和使用 Lambda 的其他工作負載的帳戶，請將此配額設定為適當的值。此值可調整；如需詳細資訊，請參閱[AWS Lambda 使用者指南》中的 AWS Lambda 配額](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html)。 *AWS Lambda *

**注意**  
此解決方案需要 150 個來自並行執行配額的執行，才能在部署解決方案的帳戶中使用。如果該帳戶中可用的執行少於 150 個，CloudFormation 部署將會失敗。

## Amazon VPC 配額
<a name="amazon-vpc-quotas"></a>

您的 AWS 帳戶可以包含五個 VPCs和兩個彈性 IPs(EIPs)。如果在具有其他 VPCs 帳戶中使用該解決方案，這可能會阻止您成功部署此解決方案。 EIPs 如果您有達到此配額的風險，您可以在遵循[啟動堆疊](launch-the-stack.md)區段中的步驟時提供自己的 VPC 以進行部署。如需詳細資訊，請參閱《[Amazon VPC 使用者指南》中的 Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)*。 [https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)*

# 選擇部署帳戶
<a name="choosing-the-deployment-account"></a>

如果您要將 AWS 上的工作負載探索部署至 AWS 組織，則必須在已啟用 [StackSets](https://aws.amazon.com/blogs/mt/cloudformation-stacksets-delegated-administration/) 和[多區域 AWS Config ](https://docs.aws.amazon.com/config/latest/developerguide/aggregated-register-delegated-administrator.html)功能的委派管理員帳戶中安裝解決方案。

如果您不是使用 AWS Organizations，我們建議您將 AWS 上的工作負載探索部署到專門為此解決方案建立的專用 AWS 帳戶。此方法表示 AWS 上的工作負載探索與您現有的工作負載隔離，並提供單一位置來設定解決方案，例如新增使用者和匯入新區域。追蹤執行 解決方案時產生的成本也比較容易。

部署 AWS 上的工作負載探索之後，您就可以從已佈建的任何帳戶匯入區域。