# 基礎
<a name="a-foundations"></a>

**Topics**
+ [REL 1  您如何管理服務配額和限制？](w2aac19b9b5b5.md)
+ [REL 2  如何規劃您的網路拓撲？](w2aac19b9b5b7.md)

# REL 1  您如何管理服務配額和限制？
<a name="w2aac19b9b5b5"></a>

雲端型工作負載架構會有服務配額 (也稱為服務限制)。這些配額旨在用於防止不慎佈建超過您所需的資源，並限制 API 操作上的請求率，以防止服務遭到濫用。此外也會有資源限制，例如，您可將位元壓入光纖電纜的速率或實體磁碟上的儲存量會受到限制。 

**Topics**
+ [REL01-BP01 了解服務配額和限制](rel_manage_service_limits_aware_quotas_and_constraints.md)
+ [REL01-BP02 管理跨帳戶和區域的服務配額](rel_manage_service_limits_limits_considered.md)
+ [REL01-BP03 透過架構適應固定服務配額和限制](rel_manage_service_limits_aware_fixed_limits.md)
+ [REL01-BP04 監控和管理配額](rel_manage_service_limits_monitor_manage_limits.md)
+ [REL01-BP05 自動配額管理](rel_manage_service_limits_automated_monitor_limits.md)
+ [REL01-BP06 確保目前配額與最大使用量之間存在足夠差距以適應容錯移轉](rel_manage_service_limits_suff_buffer_limits.md)

# REL01-BP01 了解服務配額和限制
<a name="rel_manage_service_limits_aware_quotas_and_constraints"></a>

 您需了解工作負載架構的預設配額和配額增加要求。您也需知道哪些資源限制 (例如，磁碟或網路) 具有潛在影響。 

 Service Quotas 是一項 AWS 服務，有助於您從單一位置管理 100 多種 AWS 服務的配額。除了查閱配額值外，您也可以從 Service Quotas 主控台或透過 AWS 開發套件請求和追蹤配額增長。AWS Trusted Advisor 提供服務配額檢查功能，會顯示部分服務某些層面的用量和配額。每項服務的預設服務配額也根據各自服務列於 AWS 文件中，例如，請參閱 [Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。若要在 API Gateway 中設定用於調節 API 的速率限制，請設定用量計畫。在其各自服務上設為組態的其他限制包括佈建 IOPS、分配的 RDS 儲存體，以及 EBS 磁碟區分配。Amazon Elastic Compute Cloud (Amazon EC2) 具有專門的 Service Limits 儀表板，有助於您管理執行個體、Amazon Elastic Block Store (Amazon EBS) 和彈性 IP 地址限制。如果在您的使用案例中，服務配額會影響您的應用程式效能且無法根據您的需求調整，請聯絡 AWS 支援 以查看是否有緩解措施。 

 **常用的反模式：** 
+  部署工作負載，但不考慮所使用 AWS 服務上的服務配額。 
+  設計工作負載，但不調查和適應 AWS 服務的設計限制。 
+  部署具有重要用途的工作負載取代已知的現有工作負載，但事先未設定必要的配額或聯絡 AWS 支援。 
+  規劃事件以將流量導引至您的工作負載，但事先未設定必要的配額或聯絡 AWS 支援。 

 **建立此最佳實務的優勢：** 了解服務配額、API 調節限制和設計限制，可讓您在設計、實作和操作工作負載的過程中納入這些考量。 

 **若未建立此最佳實務，暴露的風險等級：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  在發佈的文件和 Service Quotas 中審查 AWS 服務配額。 
  +  [AWS Service Quotas (先前稱為 Limits)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) 
+  透過查看部署程式碼來確定工作負載所需的所有服務。
+  使用 AWS Config 尋找在 AWS 帳戶 中使用的所有 AWS 資源。
  +  [AWS Config 支援的 AWS 資源類型和資源關係](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html) 
+  您也可以使用 AWS CloudFormation 來確定所使用的 AWS 資源。查看在 AWS 管理主控台或透過 list-stack-resources CLI 命令建立的資源。您也可以查看設為自行在範本中部署的資源。
  +  [在 AWS 管理主控台 上檢視 AWS CloudFormation 堆疊資源和資料](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html) 
  +  [AWS CLI for CloudFormation：list-stack-resources](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-resources.html) 
+  決定適用的服務配額。透過 Trusted Advisor 和 Service Quotas 使用可以程式設計方式存取的資訊。

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS Marketplace：可追蹤限制的 CMDB 產品](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB) 
+  [AWSService Quotas (先前稱為 Service Limits)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) 
+  [AWS Trusted Advisor 最佳實務檢查 (請參閱 Service Limits 一節)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/) 
+  [AWS Answers 上的 AWS Limit Monitor](https://aws.amazon.com/answers/account-management/limit-monitor/) 
+  [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) 
+  [什麼是 Service Quotas？](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) 

 **相關影片：** 
+  [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo) 

# REL01-BP02 管理跨帳戶和區域的服務配額
<a name="rel_manage_service_limits_limits_considered"></a>

 如果您使用多個 AWS 帳戶或 AWS 區域，確保在生產工作負載執行的所有環境中都要求合適的配額。 

 系統會針對每個帳戶追蹤服務配額。除非另有說明，否則每個配額都是 AWS 區域特有。除生產環境之外，也會在所有適用的非生產環境中管理配額，因此不會阻礙測試和開發。 

 **常用的反模式：** 
+  允許一個隔離區域內的資源利用率增長，但無維持其他隔離區域中容量的機制。 
+  獨自手動設定隔離區域中的所有配額。 
+  未確保隔離區域的部署在部署遺失時調整規模，以適應來自其他區域的流量增加。 

 **建立此最佳實務的優勢：** 確保您可以在隔離區域無法使用時可以處理目前的負載，這可協助減少在容錯移轉期間發生的錯誤，而不會對客戶造成阻斷服務狀況。 

 **若未建立此最佳實務，暴露的風險等級：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  根據您的服務要求、延遲、法規和災難復原 (DR) 要求，選擇相關的帳戶和區域。
+  確定所有相關帳戶、區域和可用區域中的服務配額。限制範圍受限於帳戶和區域。 
+  [什麼是 Service Quotas？](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS Marketplace：可追蹤限制的 CMDB 產品](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB) 
+  [AWSService Quotas (先前稱為 Service Limits)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) 
+  [AWS Trusted Advisor 最佳實務檢查 (請參閱 Service Limits 一節)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/) 
+  [AWS Answers 上的 AWS Limit Monitor](https://aws.amazon.com/answers/account-management/limit-monitor/) 
+  [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) 
+  [什麼是 Service Quotas？](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) 

 **相關影片：** 
+  [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo) 

# REL01-BP03 透過架構適應固定服務配額和限制
<a name="rel_manage_service_limits_aware_fixed_limits"></a>

 瞭解不可變更的服務配額和實體資源及架構，以防止這些因素影響可靠性。 

 範例包括網路頻寬、AWS Lambda 承載大小、API Gateway 調節爆量速率，以及 Amazon Redshift 叢集的使用者同時連線數目。 

 **常用的反模式：** 
+  執行基準化分析的時間過短，利用高載限制，但預期服務會以該容量持續執行一段期間。 
+  選擇每位使用者或客戶使用一項服務的一項資源的設計，但未注意到擴展時會導致此項設計失效的設計限制。 

 **建立此最佳實務的優勢：** 追蹤 AWS 服務中的固定配額和工作負載其他部分中的限制 (例如連線能力限制、IP 地址限制和第三方服務的限制)，能夠讓您察覺何時趨向於配額限制，並有能力在超過配額前處理配額。 

 **若未建立此最佳實務，暴露的風險等級為：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  注意固定服務配額：請注意固定的服務配額和限制，並根據這些因素建立架構。 
  +  [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS Marketplace：可追蹤限制的 CMDB 產品](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB) 
+  [AWSService Quotas (先前稱為 Service Limits)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) 
+  [AWS Trusted Advisor 最佳實務檢查 (請參閱 Service Limits 一節)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/) 
+  [AWS Answers 上的 AWS Limit Monitor](https://aws.amazon.com/answers/account-management/limit-monitor/) 
+  [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) 
+  [什麼是 Service Quotas？](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) 

 **相關影片：** 
+  [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo) 

# REL01-BP04 監控和管理配額
<a name="rel_manage_service_limits_monitor_manage_limits"></a>

 評估潛在用量並適當地增加配額，以允許使用量按計劃增長。 

 對於支援的服務，您可以設定 CloudWatch 警示來監控用量並提醒您已接近配額限制，從而管理配額。這些警示可以從 Service Quotas 或 Trusted Advisor 觸發。您也可以使用 CloudWatch Logs 上的指標篩選條件，搜尋與擷取日誌中的模式，以判斷用量是否正在接近配額閾值。 

 **常用的反模式：** 
+  設定了正在接近 Service Quotas 的警示，但無如何回應提醒的程序。 
+  只設定 Service Quotas 支援的服務警示，但未監控其他服務。 

 **建立此最佳實務的優勢：** 自動追蹤 AWS 服務配額並根據這些配額監控您的使用量，可讓您查看何時會接近配額限制。您也可以使用此監控資料來評估何時可能降低配額以節省成本。 

 **若未建立此最佳實務，暴露的風險等級為：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  監控和管理您的配額：評估您在 AWS 上的潛在使用量，適當提高區域服務配額，並允許使用量按計劃增長。 
  +  擷取當前資源消耗 (例如，儲存貯體、執行個體)。使用服務 API 操作 (例如 Amazon EC2 DescribeInstances API) 來收集當前資源消耗。
  +  擷取您的目前配額：使用 AWS Service Quotas、AWS Trusted Advisor 和 AWS 文件。
    +  使用 AWS Service Quotas，這是一項 AWS 服務，有助於您從單一位置管理 100 多種 AWS 服務的配額。
    +  使用 Trusted Advisor 服務限制來確定您當前的服務限制。 
    +  使用服務 API 操作來確定支援的當前服務配額。
    +  記錄請求增加的配額及其狀態：核准配額增加後，請確保您更新記錄，以反映配額的變更。

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS Marketplace：可追蹤限制的 CMDB 產品](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB) 
+  [AWSService Quotas (先前稱為 Service Limits)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) 
+  [AWS Trusted Advisor 最佳實務檢查，適用於 Service Limits](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html) 
+  [AWS Answers 上的 AWS Limit Monitor](https://aws.amazon.com/answers/account-management/limit-monitor/) 
+  [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) 
+  [什麼是 Service Quotas？](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) 
+  [使用 Amazon CloudWatch 警示監控 Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/configure-cloudwatch.html) 

 **相關影片：** 
+  [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo) 

# REL01-BP05 自動配額管理
<a name="rel_manage_service_limits_automated_monitor_limits"></a>

 實作工具以在接近閾值時獲得提醒。您可以使用 AWS Service Quotas API，自動化配額增加請求。您可以自動化配額增加請求。 

 如果您將組態管理資料庫 (CMDB) 或票務系統與 Service Quotas 整合，則可以自動追蹤配額增加請求和目前的配額。除了 AWS 開發套件外，Service Quotas 也會使用 AWS Command Line Interface (AWS CLI) 提供自動化。 

 **常用的反模式：** 
+  以試算表追蹤配額和使用量。 
+  每日、每週或每月執行使用量報告，然後比較使用量與配額。 

 **建立此最佳實務的優勢：** 自動追蹤 AWS 服務配額並根據該配額監控您的使用量，可讓您查看何時會接近配額限制。您可以設定自動化，協助您在需要時請求增加配額。當您的使用量與實現風險降低 (登入資料遭危害時) 和成本節省的優勢背道而馳時，您可能會考慮降低部分配額。 

 **若未建立此最佳實務，暴露的風險等級為：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  設定自動監控：使用開發套件實作工具，以在接近閾值時獲得提醒。 
  +  使用 Service Quotas，並以如 AWS Limit Monitor 或 AWS Marketplace 中的產品等自動配額監控解決方案擴大此項服務。
    +  [什麼是 Service Quotas？](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) 
    +  [AWS 上的配額監視器 - AWS 解決方案](https://aws.amazon.com/answers/account-management/limit-monitor/) 
  +  使用 Amazon SNS 和 AWS Service Quotas API 設定由配額閾值觸發的回應。
  +  測試自動化。
    +  設定限制閾值。
    +  與來自 AWS Config、部署管道、Amazon EventBridge 或第三方的變更事件整合。
    +  人工設定較低配額閾值以測試回應。
    +  設定觸發程序以在收到通知時採取適當的措施，以及在必要時讓人員聯絡 AWS 支援。
    +  手動觸發變更事件。
    +  執行演練日以測試配額增長變更程序。

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [APN 合作夥伴：可以幫助進行組態管理的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=Configuration+Management) 
+  [AWS Marketplace：可追蹤限制的 CMDB 產品](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB) 
+  [AWSService Quotas (先前稱為 Service Limits)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) 
+  [AWS Trusted Advisor 最佳實務檢查 (請參閱 Service Limits 一節)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/) 
+  [AWS 上的配額監視器 - AWS 解決方案](https://aws.amazon.com/answers/account-management/limit-monitor/) 
+  [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) 
+  [什麼是 Service Quotas？](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) 

 **相關影片：** 
+  [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo) 

# REL01-BP06 確保目前配額與最大使用量之間存在足夠差距以適應容錯移轉
<a name="rel_manage_service_limits_suff_buffer_limits"></a>

 當資源失敗時，在成功終止之前，其可能仍會被計入限額。在終止失敗的資源之前，確保您的配額涵蓋所有失敗的資源與替換資源的重疊部分。計算此差距時，應考慮可用區域失敗。 

 **常用的反模式：** 
+  根據目前的需求設定服務配額，而不考量容錯移轉案例。 

 **建立此最佳實務的優勢：** 當事件可能影響可用性時，雲端可讓您實作策略來減輕影響或從這些事件中復原。這類策略通常包括建立額外資源以取代失敗的資源。您的配額策略必須容納這些額外的資源。 

 **若未建立此最佳實務，暴露的風險等級：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  確保您的服務配額和最大用量之間存在足夠的差距以適應容錯移轉。 
  +  確定服務限制，並在此過程中考慮您的部署模式、可用性要求和使用量增長。
  +  視需要請求增加配額。規劃必要的時間來滿足增加配額的請求。
    +  確定您的可靠性方案 (也稱為「幾個 9」)。 
    +  建立故障案例 (例如，元件、可用區域或區域遺失)。
    +  建立您的部署方法 (例如，Canary、藍/綠、紅/黑或滾動)。
    +  為當前限制新增適當的緩衝 (例如 15%)。 
    +  為使用量增長制定計畫 (例如，監控使用量趨勢)。 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS Marketplace：可追蹤限制的 CMDB 產品](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB) 
+  [AWSService Quotas (先前稱為 Service Limits)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) 
+  [AWS Trusted Advisor 最佳實務檢查 (請參閱 Service Limits 一節)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/) 
+  [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) 
+  [什麼是 Service Quotas？](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) 

 **相關影片：** 
+  [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo) 

# REL 2  如何規劃您的網路拓撲？
<a name="w2aac19b9b5b7"></a>

工作負載經常存在於多個環境中。這些環境包括多個 (可公開存取和私有的) 雲端環境，且可能包含您現有的資料中心基礎設施。計畫必須包括系統內和系統間連線、公有 IP 地址管理、私有 IP 地址管理和網域名稱解析等網路考量因素。

**Topics**
+ [REL02-BP01 針對工作負載公有端點使用高可用性網路連線](rel_planning_network_topology_ha_conn_users.md)
+ [REL02-BP02 在雲端中的私有網路與內部部署環境之間佈建冗餘連線能力](rel_planning_network_topology_ha_conn_private_networks.md)
+ [REL02-BP03 確保 IP 子網路分配帳戶具有擴展性和可用性](rel_planning_network_topology_ip_subnet_allocation.md)
+ [REL02-BP04 偏好軸幅式拓撲而非多對多網狀拓撲](rel_planning_network_topology_prefer_hub_and_spoke.md)
+ [REL02-BP05 在連線的所有私有地址空間中強制使用不重疊的私有 IP 地址範圍](rel_planning_network_topology_non_overlap_ip.md)

# REL02-BP01 針對工作負載公有端點使用高可用性網路連線
<a name="rel_planning_network_topology_ha_conn_users"></a>

 這些端點及其路由必須具備高可用性。為達成此目的，請使用高度可用的 DNS、內容交付網路 (CDN)、API Gateway、負載平衡或反向代理。 

 Amazon Route 53、AWS Global Accelerator、Amazon CloudFront、Amazon API Gateway 和 Elastic Load Balancing (ELB) 全都提供高可用性的公開端點。您也可以選擇評估用於負載平衡和代理的 AWS Marketplace 軟體設備。 

 您的工作負載提供的服務取用者 (無論是最終使用者還是其他服務) 會請求這些服務端點。有多種 AWS 資源可供您提供高可用性端點。 

 Elastic Load Balancing 提供跨可用區域的負載平衡，執行 Layer 4 (TCP) 或 Layer 7 (http/https) 路由，與 AWS WAF 整合，以及與 AWS Auto Scaling 整合，以便協助建立自我修復基礎設施並吸收增加的流量，同時在流量減少時釋放資源。 

 Amazon Route 53 是可擴展的高可用性網域名稱系統 (DNS) 服務，能將使用者請求連接到 AWS 中執行的基礎設施，例如 Amazon EC2 執行個體、Elastic Load Balancing 負載平衡器或 Amazon S3 儲存貯體，還可用於將使用者路由到 AWS 外部的基礎設施。 

 AWS Global Accelerator 是網路層服務，可供您透過 AWS 全球網路將流量引導至最佳端點。 

 分散式阻斷服務 (DDoS) 攻擊所存在的風險會將合法流量阻擋在外，並減少使用者的可用性。AWS Shield 為您工作負載上的 AWS 服務端點，提供抵擋這些攻擊的自動防護，無需額外費用。您可以使用 APN 合作夥伴和 AWS Marketplace 提供的虛擬設備來增強這些功能，以滿足您的需求。 

 **常用的反模式：** 
+  在執行個體或容器上使用公有網際網路地址，並透過 DNS 管理其連線。 
+  使用網際網路通訊協定地址，而非網域名稱來定位服務。 
+  提供內容 (網頁、靜態資產、媒體檔案) 到大型地理區域，而不使用內容交付網路。 

 **建立此最佳實務的優勢：** 透過在工作負載中實作高可用性服務，即可知道負載可供使用者使用。 

 **若未建立此最佳實務，暴露的風險等級：** 高 

## 實作指引
<a name="implementation-guidance"></a>

 確保為工作負載使用者提供高可用性連線：Amazon Route 53、AWS Global Accelerator、Amazon CloudFront、Amazon API Gateway 和 Elastic Load Balancing (ELB) 全都提供高可用性的公開端點。您也可能選擇評估用於負載平衡和代理的 AWS Marketplace 軟體設備。 
+  確保您與使用者的連線高度可用。 
+  確保您使用的是高度可用的 DNS 來管理應用程式端點的網域名稱。 
  +  如果使用者透過網際網路存取您的應用程式，請使用服務 API 操作來確認正確使用網際網路閘道。同時確認託管應用程式端點之子網路的路由表項目正確。
    +  [DescribeInternetGateways](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInternetGateways.html) 
    +  [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html) 
+  確保在應用程式前面使用高可用性的反向代理或負載平衡器。 
  +  如果使用者透過您的內部部署環境存取您的應用程式，應確保 AWS 與您的內部部署環境之間的連線高度可用。
  +  使用 Route 53 來管理您的網域名稱。
    +  [什麼是 Amazon Route 53？](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 
  +  使用符合您要求的第三方 DNS 供應商。
  +  使用 Elastic Load Balancing。
    +  [什麼是 Elastic Load Balancing？](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) 
  +  使用符合您要求的 AWS Marketplace 設備。

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [APN 合作夥伴：可以幫助您規劃聯網的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=network) 
+  [AWS Direct Connect 恢復能力建議](https://aws.amazon.com/directconnect/resiliency-recommendation/) 
+  [適用於網路基礎設施的 AWS Marketplace](https://aws.amazon.com/marketplace/b/2649366011) 
+  [Amazon Virtual Private Cloud 連線能力選項白皮書](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) 
+  [多個資料中心 HA 網路連線](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/) 
+  [以 Direct Connect 彈性工具組開始使用](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resilency_toolkit.html) 
+  [VPC 端點和 VPC 端點服務 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) 
+  [什麼是 AWS Global Accelerator？](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) 
+  [什麼是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 
+  [什麼是 Transit Gateway？](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 
+  [什麼是 Amazon CloudFront？](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) 
+  [什麼是 Amazon Route 53？](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 
+  [什麼是 Elastic Load Balancing？](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) 
+  [使用 Direct Connect Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html) 

 **相關影片：** 
+  [AWS re:Invent 2018：進階 VPC 設計及 Amazon VPC 的新功能 (NET303)](https://youtu.be/fnxXNZdf6ew) 
+  [AWS re:Invent 2019：適用於許多 VPC 的 AWS Transit Gateway 參考架構 (NET406-R1)](https://youtu.be/9Nikqn_02Oc) 

# REL02-BP02 在雲端中的私有網路與內部部署環境之間佈建冗餘連線能力
<a name="rel_planning_network_topology_ha_conn_private_networks"></a>

 在單獨部署的私有網路之間使用多個 AWS Direct Connect 連線和多個 VPN 通道。使用多個 Direct Connect 位置以實現高可用性。如果使用多個 AWS 區域，請至少在其中兩個區域中確保冗餘。您可能需要評估終止 VPN 的 AWS Marketplace 設備。如果您使用 AWS Marketplace 設備，可在不同的可用區域中部署冗餘執行個體以實現高可用性。 

 AWS Direct Connect 是一項雲端服務，可讓您輕鬆地建立一個連接內部部署環境和 AWS 的專用網路連線。您的內部部署資料中心可以使用 Direct Connect Gateway，連線至橫跨多個 AWS 區域的多個 AWS VPC。 

 此冗餘可以解決會影響連線彈性的可能故障： 
+  您可如何彈性回應拓樸故障？ 
+  如果您錯誤設定並刪除連線會怎樣？ 
+  您是否能夠處理服務流量或使用方面的意外增加情況？ 
+  您是否能夠應對企圖的分散式阻斷服務 (DDoS) 攻擊？ 

 透過 VPN 將 VPC 連線至內部部署資料中心時，您應在選擇需要在其上執行設備的供應商和執行個體大小時，考慮所需的彈性和頻寬要求。如果您使用的 VPN 設備在實作上沒有彈性，則您應透過第二個設備進行冗餘連線。對於所有這些情況，您需要定義可接受的復原時間並進行測試以確保能滿足這些要求。 

 如果您選擇使用 Direct Connect 連線將 VPC 連線到資料中心，且您需要此連線具有高可用性，請從各資料中心獲取冗餘 Direct Connect 連線。冗餘連線應使用不同於第一個位置的第二個 Direct Connect 連線。如果您擁有多個資料中心，請確保在不同的位置終止連線。使用 [Direct Connect 彈性工具組](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html) 有助於您進行此項設定。 

 如果您選擇使用 Site-to-Site VPN 透過網際網路容錯移轉到 VPN，請務必了解其支援至多每個 VPN 通道 1.25 Gbps 的輸送量，但是若在同一 VGW 上終止多個 AWS Managed VPN 通道，則不支援等價多路徑 (ECMP) 傳出流量。除非您可以忍受容錯移轉時低於 1 Gbps 的速度，否則我們不建議您將 AWS Managed VPN 做為 Direct Connect 連線的備份。 

 您也可以使用 VPC 端點，將 VPC 私密連線至支援的 AWS 服務和採用 AWS PrivateLink 技術的 VPC 端點服務，而不需周遊公有網際網路。端點是虛擬裝置。它們是水平擴展、冗餘和高可用性的 VPC 元件。它們允許 VPC 中的執行個體與服務之間進行通訊，而不會對網路流量帶來可用性風險或頻寬限制。 

 **常用的反模式：** 
+  您的現場網路與 AWS 之間只有一個連線供應商。 
+  使用 AWS Direct Connect 連線的連線功能，但只有一個連線。 
+  您的 VPN 連線只有一個路徑。 

 **建立此最佳實務的優勢：** 透過在您的雲端環境與您的公司或內部部署環境之間實作冗餘連線，即可確保兩個環境之間的相依服務能夠可靠地進行通訊。 

 **若未建立此最佳實務，暴露的風險等級為：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  確保 AWS 與內部部署環境之間具有高度可用的連線。在單獨部署的私有網路之間使用多個 AWS Direct Connect 連線和多個 VPN 通道。使用多個 Direct Connect 位置以實現高可用性。如果使用多個 AWS 區域，請至少在其中兩個區域中確保冗餘。您可能需要評估終止 VPN 的 AWS Marketplace 設備。如果您使用 AWS Marketplace 設備，可在不同的可用區域中部署冗餘執行個體以實現高可用性。 
  +  確保與內部部署環境之間存在冗餘連線。您可能需要與多個 AWS 區域的冗餘連線才能滿足可用性需求。
    +  [AWS Direct Connect 恢復能力建議](https://aws.amazon.com/directconnect/resiliency-recommendation/) 
    +  [使用冗餘站點對站點 VPN 連接提供容錯移轉](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html) 
      +  使用服務 API 操作來識別對 Direct Connect 線路的正確使用。
        +  [DescribeConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnections.html) 
        +  [DescribeConnectionsOnInterconnect](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnectionsOnInterconnect.html) 
        +  [DescribeDirectConnectGatewayAssociations](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html) 
        +  [DescribeDirectConnectGatewayAttachments](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAttachments.htmll) 
        +  [DescribeDirectConnectGateways](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGateways.html) 
        +  [DescribeHostedConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeHostedConnections.html) 
        +  [DescribeInterconnects](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeInterconnects.html) 
      +  如果僅存在一個 Direct Connect 連線，或者一個都沒有，則設定到虛擬私有閘道的冗餘 VPN 通道。
        +  [什麼是 AWS 站點對站點 VPN？](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html) 
  +  擷取您當前的連線 (例如，直接連線、虛擬私有閘道、AWS Marketplace 設備)。
    +  使用服務 API 操作來查詢 Direct Connect 連線的組態。
      +  [DescribeConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnections.html) 
      +  [DescribeConnectionsOnInterconnect](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnectionsOnInterconnect.html) 
      +  [DescribeDirectConnectGatewayAssociations](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html) 
      +  [DescribeDirectConnectGatewayAttachments](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAttachments.htmll) 
      +  [DescribeDirectConnectGateways](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGateways.html) 
      +  [DescribeHostedConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeHostedConnections.html) 
      +  [DescribeInterconnects](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeInterconnects.html) 
    +  使用服務 API 操作來收集路由表使用的虛擬私有閘道。
      +  [DescribeVpnGateways](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnGateways.html) 
      +  [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html) 
    +  使用服務 API 操作收集路由表使用的 AWS Marketplace 應用程式。
      +  [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [APN 合作夥伴：可以幫助您規劃聯網的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=network) 
+  [AWS Direct Connect 恢復能力建議](https://aws.amazon.com/directconnect/resiliency-recommendation/) 
+  [適用於網路基礎設施的 AWS Marketplace](https://aws.amazon.com/marketplace/b/2649366011) 
+  [Amazon Virtual Private Cloud 連線能力選項白皮書](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) 
+  [多個資料中心 HA 網路連線](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/) 
+  [使用冗餘站點對站點 VPN 連接提供容錯移轉](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html) 
+  [以 Direct Connect 彈性工具組開始使用](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resilency_toolkit.html) 
+  [VPC 端點和 VPC 端點服務 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) 
+  [什麼是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 
+  [什麼是 Transit Gateway？](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 
+  [什麼是 AWS 站點對站點 VPN？](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html) 
+  [使用 Direct Connect Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html) 

 **相關影片：** 
+  [AWS re:Invent 2018：進階 VPC 設計及 Amazon VPC 的新功能 (NET303)](https://youtu.be/fnxXNZdf6ew) 
+  [AWS re:Invent 2019：適用於許多 VPC 的 AWS Transit Gateway 參考架構 (NET406-R1)](https://youtu.be/9Nikqn_02Oc) 

# REL02-BP03 確保 IP 子網路分配帳戶具有擴展性和可用性
<a name="rel_planning_network_topology_ip_subnet_allocation"></a>

 Amazon VPC IP 地址範圍必須足夠大，以適應工作負載的要求，包括考慮將來擴展 IP 地址以及跨可用區域將 IP 地址分配給子網路。這包括負載平衡器、EC2 執行個體和容器型應用程式。 

 規劃您的網路拓樸時，首先要定義 IP 地址空間。私有 IP 地址範圍 (依循 RFC 1918 指導方針) 應分配給各 VPC。在此流程中請滿足下列要求： 
+  允許每個區域為多於一個 VPC 準備 IP 地址空間。 
+  在 VPC 內，允許多個子網路的空間，並可跨越多個可用區域。 
+  經常在 VPC 內留下未用 CIDR 區塊空間，以供未來擴展。 
+  確保有 IP 地址空間可以滿足您可能會用到之 EC2 執行個體的任何臨時機群需求，例如，用於機器學習的 Spot Fleets、Amazon EMR 叢集或 Amazon Redshift 叢集。 
+  請注意，在各子網路 CIDR 區塊中，前四個 IP 地址和最後一個 IP 地址均預留起來，無法供您使用。 
+  您應計劃部署大型 VPC CIDR 區塊。請注意，雖然無法變更或刪除分配給 VPC 的最初 VPC CIDR 區塊，但您可以將不重疊的其他 CIDR 區塊新增至 VPC。無法變更子網路 IPv4 CIDR，但可以變更 IPv6 CIDR。請牢記，部署最大的 VPC 可能 (/16) 會導致超過 65,000 個 IP 地址。單單在基底 10.x.x.x IP 地址空間中，您即可佈建 255 個此類 VPC。因此，您應該選擇過大而非過小，以便更容易管理 VPC。 

 **常用的反模式：** 
+  建立小型 VPC。 
+  建立小型子網路，然後必須隨著增長將子網路新增至組態。 
+  錯誤預估 Elastic Load Balancer 可以使用的 IP 地址數量。 
+  在相同的子網路中部署許多高流量負載平衡器。 

 **建立此最佳實務的優勢：** 如此可確保您可以適應工作負載的增長，並在向上擴展時繼續提供可用性。 

 **若未建立此最佳實務，暴露的風險等級：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  規劃網路以適應增長、法規要求以及與其他網路整合。增長可能會被低估，合規要求可能會發生變化，並且如果沒有適當的規劃，採購或私有網路連線可能會難以實作。 
  +  根據您的服務要求、延遲、法規和災難復原 (DR) 要求，選擇相關的 AWS 帳戶和區域。
  +  確定您對區域 VPC 部署的需求。
  +  確定 VPC 的大小。
    +  確定是否要部署多 VPC 連線。
      +  [什麼是 Transit Gateway？](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 
      +  [單區域多 VPC 連線](https://aws.amazon.com/answers/networking/aws-single-region-multi-vpc-connectivity/) 
    +  確定您是否需要區隔聯網以滿足法規要求。 
    +  讓 VPC 盡可能保持較大規模。雖然無法變更或刪除分配給 VPC 的最初 VPC CIDR 區塊，但您可以將不重疊的其他 CIDR 區塊新增至 VPC。但這可能會導致地址範圍片段化。
    +  讓 VPC 盡可能保持較大規模。雖然無法變更或刪除分配給 VPC 的最初 VPC CIDR 區塊，但您可以將不重疊的其他 CIDR 區塊新增至 VPC。但這可能會導致地址範圍片段化。

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [APN 合作夥伴：可以幫助您規劃聯網的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=network) 
+  [適用於網路基礎設施的 AWS Marketplace](https://aws.amazon.com/marketplace/b/2649366011) 
+  [Amazon Virtual Private Cloud 連線能力選項白皮書](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) 
+  [多個資料中心 HA 網路連線](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/) 
+  [單區域多 VPC 連線](https://aws.amazon.com/answers/networking/aws-single-region-multi-vpc-connectivity/) 
+  [什麼是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 

 **相關影片：** 
+  [AWS re:Invent 2018：進階 VPC 設計及 Amazon VPC 的新功能 (NET303)](https://youtu.be/fnxXNZdf6ew) 
+  [AWS re:Invent 2019：適用於許多 VPC 的 AWS Transit Gateway 參考架構 (NET406-R1)](https://youtu.be/9Nikqn_02Oc) 

# REL02-BP04 偏好軸幅式拓撲而非多對多網狀拓撲
<a name="rel_planning_network_topology_prefer_hub_and_spoke"></a>

 如果兩個以上的網路地址空間 (例如，VPC 和內部部署網路) 透過 VPC 對等互連 AWS Direct Connect 或 VPN 連線，則使用軸幅式模型，例如 AWS Transit Gateway 提供的此類模型。 

 如果您只有這兩種網路，僅需相互連線，但隨著網路數成長，此類網狀連線的複雜性將變得難以處理。AWS Transit Gateway 提供容易維護的軸幅式模型，以便跨多條網路路由流量。 

![\[顯示未使用 AWS Transit Gateway 的圖表\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/without-transit-gateway.png)


![\[顯示使用 AWS Transit Gateway 的圖表\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/with-transit-gateway.png)


 **常用的反模式：** 
+  使用 VPC 對等互連來連接兩個以上的 VPC。 
+  為每個 VPC 建立多個 BGP 工作階段，以建立橫跨多個 AWS 區域間多個 Virtual Private Clouds (VPC) 的連線。 

 **建立此最佳實務的優勢：** 隨著網路數量增加，此類網狀連線的複雜性將變得難以處理。AWS Transit Gateway 提供容易維護的軸幅式模型，以便在多條網路之間路由流量。 

 **若未建立此最佳實務，暴露的風險等級為：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  偏好軸幅式拓撲而非多對多網狀拓撲。如果兩個以上的網路地址空間 (VPC、內部部署網路) 透過 VPC 對等互連、AWS Direct Connect 或 VPN 連線，則使用軸幅式模型，例如 AWS Transit Gateway 提供的此類模型。 
  +  如果只有這兩種網路，則僅需將這兩種網路相互連線，但隨著網路數量增加，此類網狀連線的複雜性將變得難以處理。AWS Transit Gateway 提供容易維護的軸幅式模型，以便跨多條網路路由流量。
    +  [什麼是 Transit Gateway？](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [APN 合作夥伴：可以幫助您規劃聯網的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=network) 
+  [適用於網路基礎設施的 AWS Marketplace](https://aws.amazon.com/marketplace/b/2649366011) 
+  [多個資料中心 HA 網路連線](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/) 
+  [VPC 端點和 VPC 端點服務 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) 
+  [什麼是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 
+  [什麼是 Transit Gateway？](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 

 **相關影片：** 
+  [AWS re:Invent 2018：進階 VPC 設計及 Amazon VPC 的新功能 (NET303)](https://youtu.be/fnxXNZdf6ew) 
+  [AWS re:Invent 2019：適用於許多 VPC 的 AWS Transit Gateway 參考架構 (NET406-R1)](https://youtu.be/9Nikqn_02Oc) 

# REL02-BP05 在連線的所有私有地址空間中強制使用不重疊的私有 IP 地址範圍
<a name="rel_planning_network_topology_non_overlap_ip"></a>

 如果透過 VPN 對等互連或連線，則每個 VPC 的 IP 地址範圍不得重疊。同樣地，您必須避免 VPC 與內部部署環境或您所使用之其他雲端供應商之間出現 IP 地址衝突。您也須有一種在需要時分配私有 IP 地址範圍的方法。 

 IP 地址管理 (IPAM) 系統可以協助解決此問題。AWS Marketplace 提供多套 IPAM 系統。 

 **常用的反模式：** 
+  在 VPC 中使用與內部部署或公司網路相同的 IP 範圍。 
+  不追蹤用來部署工作負載之 VPC 的 IP 範圍。 

 **建立此最佳實務的優勢：** 主動規劃網路可確保在互連網路中不會出現多個相同的 IP 地址。這可防止在使用不同應用程式的工作負載部分中發生路由問題。 

 **若未建立此最佳實務，暴露的風險等級為：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  監控和管理您的 CIDR 使用。評估您在 AWS 上的潛在使用情況，將 CIDR 範圍新增到現有 VPC，並建立 VPC 以允許計劃的用量增長。 
  +  擷取當前的 CIDR 消耗 (例如，VPC、子網路) 
    +  使用服務 API 操作來收集當前的 CIDR 消耗。
  +  記錄您當前的子網路用量。
    +  使用服務 API 操作來收集每個區域中每個 VPC 的子網路。
      +  [DescribeSubnets](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSubnets.html) 
    +  記錄目前用量。
    +  確定是否建立了任何重疊的 IP 範圍。
    +  計算備用容量。
    +  識別重疊的 IP 範圍。如果需要連線重疊範圍，則可以遷移至新的地址範圍，也可以使用 AWS Marketplace 的網路和連接埠轉換 (NAT) 設備。

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [APN 合作夥伴：可以幫助您規劃聯網的合作夥伴](https://aws.amazon.com/partners/find/results/?keyword=network) 
+  [適用於網路基礎設施的 AWS Marketplace](https://aws.amazon.com/marketplace/b/2649366011) 
+  [Amazon Virtual Private Cloud 連線能力選項白皮書](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) 
+  [多個資料中心 HA 網路連線](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/) 
+  [什麼是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 
+  [什麼是 IPAM？](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) 

 **相關影片：** 
+  [AWS re:Invent 2018：進階 VPC 設計及 Amazon VPC 的新功能 (NET303)](https://youtu.be/fnxXNZdf6ew) 
+  [AWS re:Invent 2019：適用於許多 VPC 的 AWS Transit Gateway 參考架構 (NET406-R1)](https://youtu.be/9Nikqn_02Oc)