本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # VPC 共享 當團隊之間的網路隔離不需要由 VPCs 擁有者嚴格管理,但帳戶層級使用者和許可必須如此時,共用 VPC 非常有用。透過[共用 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html),多個 AWS 帳戶會在共用、集中管理的 Amazon VPCs 中建立其應用程式資源 (例如 Amazon EC2 執行個體)。在此模型中,擁有 VPC 的帳戶 (擁有者) 與其他帳戶 (參與者) 共用一或多個子網路。共用子網路後,參與者可以檢視、建立、修改及刪除與其共用之子網路中的應用程式資源。參與者無法檢視、修改或刪除屬於其他參與者或 VPC 擁有者的資源。共用 VPCs中資源之間的安全,是使用安全群組、網路存取控制清單 (NACLs) 或透過子網路之間的防火牆進行管理。 VPC 共用優點: + 簡化設計:VPC 間連線不複雜 + 受管 VPCs 較少 + 網路團隊和應用程式擁有者之間的職責劃分 + 更好的 IPv4 地址使用率 + 降低成本 — 屬於相同可用區域內不同帳戶的執行個體之間不收取資料傳輸費用 **注意** 當您與多個帳戶共用子網路時,參與者應該有一定程度的合作,因為他們正在共用 IP 空間和網路資源。如有必要,您可以選擇為每個參與者帳戶共用不同的子網路。每個參與者一個子網路可讓網路 ACL 除了提供安全群組之外,還提供網路隔離。 大多數客戶架構將包含多個 VPCs,其中許多 VPC 會與兩個或多個帳戶共用。Transit Gateway 和 VPC 對等互連可用來連接共用 VPCs。例如,假設您有 10 個應用程式。每個應用程式都需要自己的 AWS 帳戶。這些應用程式可分為兩個應用程式產品組合 (相同產品組合內的應用程式具有類似的聯網需求,即「行銷」中的應用程式 1–5 和「銷售」中的應用程式 6–10)。 您可以為每個應用程式產品組合有一個 VPC (總共兩個 VPCs),而 VPC 會與該產品組合中的不同應用程式擁有者帳戶共用。應用程式擁有者將應用程式部署到其各自的共用 VPC 中 (在此情況下,在不同的子網路中,使用 NACLs 進行網路路由分割和隔離)。這兩個共用 VPCs 是透過 Transit Gateway 連接。透過此設定,您可以將 10 VPCs,如下圖所示。 ![\[描述共用 VPC 設定範例的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/example-setup-shared-vpc.png) **注意** VPC 共用參與者無法在共用子網路中建立所有 AWS 資源。如需詳細資訊,請參閱 VPC 共用文件中[的限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-share-limitations)一節。 如需 VPC 共用的重要考量和最佳實務的詳細資訊,請參閱 [VPC 共用:重要考量和最佳實務](https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-key-considerations-and-best-practices/)部落格文章。