本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# VPC 到 VPC 連線
<a name="vpc-to-vpc-connectivity"></a>

客戶可以使用兩種不同的 VPC 連線模式來設定多 VPC 環境：*許多到許多*，或*中樞和輪輻*。在many-to-many方法中，每個 VPC 之間的流量會在每個 VPC 之間個別管理。在中hub-and-spoke模型中，所有 VPC 間流量都會流經中央資源，而中央資源會根據已建立的規則路由流量。

# VPC 對等互連
<a name="vpc-peering"></a>

連接兩個 VPCs 的第一個方法是使用 VPC 對等互連。在此設定中，連線可在 VPCs 之間啟用完整雙向連線。此對等連線用於路由 VPCs 之間的流量。不同帳戶和 AWS 區域中的 VPCs 也可以對等互連。透過保持在可用區域內的 VPC 對等互連連線進行的所有資料傳輸都是免費的。透過跨可用區域的 VPC 對等互連進行的所有資料傳輸，都會以標準區域內資料傳輸費率計費。如果 VPCs 跨區域對等，則會收取標準區域間資料傳輸費用。

 VPC 對等互連是point-to-point連線，不支援[傳輸路由](https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html#transitive-peering)。例如，如果您在 VPC A 和 VPC B 之間以及 VPC A 和 VPC C 之間具有 [VPC 對等](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)互連，則 VPC B 中的執行個體無法透過 VPC A 傳輸以到達 VPC C。若要在 VPC B 和 VPC C 之間路由封包，您需要建立直接的 VPC 對等互連連線。

大規模地，當您有數十或數百VPCs 時，將它們與對等互連可能會導致數百或數千個對等互連的網格。大量連線可能難以管理和擴展。例如，如果您有 100 VPCs，而且想要在它們之間設定完整的網格對等互連，則需要 4，950 個對等互連 【`n(n-1)/2`】，其中 `n`是 VPCs 的總數。每個 VPC [最多](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)有 125 個作用中對等互連。

![\[描述使用 VPC 對等互連進行網路設定的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/network-setup-vpc-peering.png)


如果您使用 VPC 對等互連，則必須對每個 VPC 建立內部部署連線 (VPN 和/或 Direct Connect)。VPC 中的資源無法使用對等 VPC 的混合連線到達內部部署，如上圖所示。

 當一個 VPC 中的資源必須與另一個 VPC 中的資源通訊、兩個 VPCs的環境受到控制和保護，且要連線的 VPCs 數量少於 10 時，最好使用 VPC 對等互連 （以允許每個連線的個別管理）。與其他 VPC 互連選項相比，VPC 互連可提供最低的整體成本和最高的彙總效能。

# AWS Transit Gateway 
<a name="transit-gateway"></a>

 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 提供中樞和輻條設計，可將 VPCs 和內部部署網路作為全受管服務進行連接，而無需您佈建第三方虛擬設備。不需要 VPN 浮水印，並 AWS 管理高可用性和可擴展性。

 Transit Gateway 可讓客戶連接數千個 VPCs。您可以將所有混合連線 (VPN 和 Direct Connect 連線） 連接到單一閘道，在一個位置整合和控制組織的整個 AWS 路由組態 （請參閱下圖）。Transit Gateway 會使用路由表，控制流量在所有連接的輻條網路之間路由的方式。此hub-and-spoke模型可簡化管理並降低營運成本VPCs 只會連線至 Transit Gateway 執行個體，以取得連線網路的存取權。

![\[描述 中樞和輻條設計的圖表 AWS Transit Gateway\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/hub-and-spoke-design.png)


Transit Gateway 是區域性資源，可以在相同的 中連接數千個 VPCs AWS 區域。您可以透過單一 Direct Connect 連線連接多個閘道，以進行混合連線。一般而言，您只能使用一個 Transit Gateway 執行個體來連接指定區域中的所有 VPC 執行個體，並在需要時使用 Transit Gateway 路由表來隔離它們。請注意，您不需要額外的傳輸閘道來實現高可用性，因為傳輸閘道的設計非常可用；對於備援，請在每個區域中使用單一閘道。不過，有一個有效的案例可以建立多個閘道，以限制設定錯誤的爆量半徑、隔離控制平面操作和管理ease-of-use。

透過 Transit Gateway 對等互連，客戶可以在相同或多個區域中對等 Transit Gateway 執行個體，並在它們之間路由流量。它使用與 VPC 對等互連相同的基礎基礎設施，因此會加密。如需詳細資訊，請參閱[使用 AWS Transit Gateway 區域間對等互連建置全球網路](https://aws.amazon.com/blogs/networking-and-content-delivery/building-a-global-network-using-aws-transit-gateway-inter-region-peering/)和 [AWS Transit Gateway 現在支援區域間對等互連](https://aws.amazon.com/blogs/networking-and-content-delivery/aws-transit-gateway-now-supports-intra-region-peering/)。

 將組織的 Transit Gateway 執行個體放在其 Network Services 帳戶中。這可讓管理 Network Services 帳戶的網路工程師集中管理。使用 AWS Resource Access Manager (RAM) 來共用 Transit Gateway 執行個體，以便在相同區域內的 AWS Organization 中多個帳戶之間連接 VPCs。AWS RAM 可讓您輕鬆安全地與任何 AWS Organization 內 AWS 帳戶或 AWS Organization 共用 AWS 資源。如需詳細資訊，請參閱[中央帳戶部落格文章中的自動化 AWS Transit Gateway 連接至傳輸閘道](https://aws.amazon.com/blogs/networking-and-content-delivery/automating-aws-transit-gateway-attachments-to-a-transit-gateway-in-a-central-account/)。

Transit Gateway 也可讓您在 SD-WAN 基礎設施與 AWS 使用 Transit Gateway Connect 之間建立連線。將 Transit Gateway Connect 連接與邊界閘道通訊協定 (BGP) 搭配使用，以用於動態路由，並將一般路由封裝 (GRE) 通道通訊協定搭配使用，以實現高效能，為每個 Connect 連接提供高達 20 Gbps 的總頻寬 （每個 Connect 連接最多四個 Transit Gateway Connect 對等）。透過使用 Transit Gateway Connect，您可以透過 VPC 連接或連接來整合在雲端中執行的內部部署 SD-WAN 基礎設施或 Direct Connect SD-WAN 設備，做為基礎傳輸層。如需參考架構和詳細組態，請參閱[使用 AWS Transit Gateway Connect 簡化 SD-WAN 連線](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-sd-wan-connectivity-with-aws-transit-gateway-connect/)。

# 傳輸 VPC 解決方案
<a name="transit-vpc-solution"></a>

 [傳輸 VPCs](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/transit-vpc-option.html)可以採用與 VPC 對等互連不同的方式，在 VPCs 之間建立連線，方法是引入中樞和輻條設計，以實現 VPC 間連線。在傳輸 VPC 網路中，一個中央 VPC （中樞 VPC) 會透過 VPN 連線與所有其他 VPC （輻 VPC) 連線，通常透過 [IPsec](https://en.wikipedia.org/wiki/IPsec) 利用 BGP。中央 VPC 包含執行軟體設備的 [Amazon Elastic Compute Cloud](https://aws.amazon.com/ec2/) (Amazon EC2) 執行個體，使用 VPN 浮水印將傳入流量路由至目的地。傳輸 VPC 對等互連具有下列優點：
+  使用覆蓋 VPN 網路啟用暫時性路由 — 允許中心和輻條設計。
+  在中樞傳輸 VPC 的 EC2 執行個體上使用第三方廠商軟體時，可以使用進階安全性 （第 7 層防火牆/入侵防禦系統 (IPS)/入侵偵測系統 (IDS)) 的廠商功能。如果客戶在內部部署使用相同的軟體，則受益於統一的操作/監控體驗。
+ Transit VPC 架構可啟用某些使用案例中可能需要的連線。例如，您可以將 AWS GovCloud 執行個體和商業區域 VPC 或 Transit Gateway 執行個體連接到 Transit VPC，並在兩個區域之間啟用 VPC 間連線。考慮此選項時，請評估您的安全和合規要求。為了提高安全性，您可以使用本白皮書稍後所述的設計模式來部署集中式檢查模型。

![\[描述具有虛擬設備的傳輸 VPC 的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/transit-vpc-virtual-appliances.png)


Transit VPC 本身就面臨挑戰，例如根據執行個體大小/系列在 EC2 上執行第三方供應商虛擬設備的成本較高、每個 VPN 連線的輸送量有限 （每個 VPN 通道高達 1.25 Gbps)，以及額外的組態、管理和彈性額外負荷 （客戶負責管理執行第三方供應商虛擬設備的 EC2 執行個體的 HA 和備援）。

## VPC 互連 vs. Transit VPC vs. Transit Gateway
<a name="peering-vs"></a>

*表 1 — 連線能力比較*


| 條件  | VPC 對等互連  | 傳輸 VPC | 轉換閘道 | PrivateLink | 雲端 WAN | VPC Lattice | 
| --- | --- | --- | --- | --- | --- | --- | 
|  範圍   | 區域/全球 | 區域性  | 區域性  | 區域性 | 全球服務 | 區域性 | 
| 架構 | 全網格 | 以 VPN 為基礎的中hub-and-spoke | 以附件為基礎的中hub-and-spoke | 提供者或消費者模型 | 以附件為基礎的多區域 | 應用程式對應用程式連線 | 
|  擴展   | 125 個作用中的對等/VPC  | 取決於虛擬路由器/EC2  | 每個區域 5000 個附件  | 無限制 | 每個核心網路 5000 個附件 | 每個服務 500 個 VPC 關聯 | 
|  區隔   | 安全群組  | 客戶受管  | Transit Gateway 路由表  | 無分割 | 客群 | Servie 和服務網路政策 | 
|  Latency (延遲)   | 最低  | 額外，由於 VPN 加密額外負荷  | 其他 Transit Gateway 跳轉  | 流量會保留在 AWS 骨幹上，客戶應該測試 | 使用與 Transit Gateway 相同的資料平面 | 流量會保留在 AWS 骨幹上，客戶應該測試 | 
|  頻寬限制   | 每個執行個體限制，無彙總限制  | 根據大小/家庭，受限於 EC2 執行個體頻寬限制  | 最高 100 Gbps （爆量）/連接  | 每個可用區域 10 Gbps，自動擴展至 100 Gbps | 最高 100 Gbps （爆量）/連接 | 每個可用區域 10 Gbps | 
|  Visibility   | VPC 流量日誌  | VPC 流程日誌和 CloudWatch 指標  | Transit Gateway Network Manager、VPC 流程日誌、CloudWatch 指標  | CloudWatch Metrics  | Network Manager、VPC 流程日誌、CloudWatch 指標  | CloudWatch 存取日誌 | 
|  安全群組  交叉參考   | 支援  | 不支援  | 不支援  | 不支援 | 不支援 | 不適用 | 
| IPv6 支援  | 支援 | 取決於虛擬設備  | 支援 | 支援 | 支援 | 支援 | 

# AWS PrivateLink
<a name="aws-privatelink"></a>

[AWS PrivateLink](https://aws.amazon.com/privatelink/) 提供 VPCs、AWS 服務和內部部署網路之間的私有連線，而不會將您的流量暴露到公有網際網路。採用 技術的界面 VPC 端點 AWS PrivateLink可讓您輕鬆地跨不同帳戶 AWS 和 VPCs 連線至 和其他 服務，以大幅簡化您的網路架構。這可讓可能想要以僅消費者 VPCs 啟動與服務提供者 VPC 之連線 AWS 區域 的方式，將某個 VPC （服務提供者） 中的服務/應用程式私下公開給 內的其他 VPCs（消費者）。例如，您的私有應用程式可存取服務提供者 APIs。

 若要使用 AWS PrivateLink，請在 VPC 中為您的應用程式建立 Network Load Balancer，並建立指向該負載平衡器的 VPC 端點服務組態。然後，服務消費者會為您的服務建立介面端點。這會在消費者子網路中建立彈性網路介面 (ENI)，其私有 IP 地址可做為目的地為 服務的流量進入點。消費者和服務不需要位於相同的 VPC 中。如果 VPC 不同，消費者和服務提供者 VPCs可以有重疊的 IP 地址範圍。除了建立介面 VPC 端點以存取其他 VPCs中的服務之外，您還可以建立介面 VPC 端點，透過 私下存取[支援的 AWS 服務](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) AWS PrivateLink，如下圖所示。

使用 Application Load Balancer (ALB) 作為 NLB 的目標，您現在可以將 ALB 進階路由功能與 結合 AWS PrivateLink。如需參考架構和詳細組態，請參閱適用於 [Network Application Load Balancer Load Balancer 類型目標群組](https://aws.amazon.com/blogs/networking-and-content-delivery/application-load-balancer-type-target-group-for-network-load-balancer/)。

![\[描述與其他 VPCs和 AWS Services 連線 AWS PrivateLink 的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/aws-privatelink.png)


 Transit Gateway、VPC 對等互連和 之間的選擇 AWS PrivateLink 取決於連線。
+  **AWS PrivateLink** — 當您有用戶端/伺服器設定，而您想要允許一或多個消費者 VPCs 單向存取特定服務或服務提供者 VPC 或特定 AWS 服務中的一組執行個體 AWS PrivateLink 時，請使用 。只有具有取用者 VPC 中存取權的用戶端，才能在服務提供者 VPC 或服務中啟動對服務的連線 AWS 。當兩個 VPCs具有重疊的 IP 地址時，這也是不錯的選擇，因為 AWS PrivateLink 會在用戶端 VPC 中使用 ENIs，以確保 不會與服務提供者發生 IP 衝突。您可以透過 VPC 對等互連、VPN、傳輸閘道、雲端 WAN 和 存取 AWS PrivateLink 端點 AWS Direct Connect。
+  **VPC 對等互連和傳輸閘道** — 當您想要在 VPC 之間啟用 layer-3 IP 連線時VPCs 對等互連和傳輸閘道。

  您的架構將包含這些技術的混合，以滿足不同的使用案例。所有這些服務都可以互相組合和操作。例如， AWS PrivateLink 處理 API 樣式用戶端伺服器連線、處理直接連線需求的 VPC 對等互連，其中可能需要在區域內或區域間連線的置放群組，以及 Transit Gateway 簡化大規模 VPCs 的連線，以及用於混合連線的邊緣整合。

# VPC 共享
<a name="amazon-vpc-sharing"></a>

當團隊之間的網路隔離不需要由 VPCs 擁有者嚴格管理，但帳戶層級使用者和許可必須如此時，共用 VPC 非常有用。透過[共用 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)，多個 AWS 帳戶會在共用、集中管理的 Amazon VPCs 中建立其應用程式資源 （例如 Amazon EC2 執行個體）。在此模型中，擁有 VPC 的帳戶 （擁有者） 與其他帳戶 （參與者） 共用一或多個子網路。共用子網路後，參與者可以檢視、建立、修改及刪除與其共用之子網路中的應用程式資源。參與者無法檢視、修改或刪除屬於其他參與者或 VPC 擁有者的資源。共用 VPCs中資源之間的安全，是使用安全群組、網路存取控制清單 (NACLs) 或透過子網路之間的防火牆進行管理。

 VPC 共用優點：
+  簡化設計：VPC 間連線不複雜 
+  受管 VPCs 較少 
+  網路團隊和應用程式擁有者之間的職責劃分 
+  更好的 IPv4 地址使用率 
+  降低成本 — 屬於相同可用區域內不同帳戶的執行個體之間不收取資料傳輸費用 

**注意**  
 當您與多個帳戶共用子網路時，參與者應該有一定程度的合作，因為他們正在共用 IP 空間和網路資源。如有必要，您可以選擇為每個參與者帳戶共用不同的子網路。每個參與者一個子網路可讓網路 ACL 除了提供安全群組之外，還提供網路隔離。

 大多數客戶架構將包含多個 VPCs，其中許多 VPC 會與兩個或多個帳戶共用。Transit Gateway 和 VPC 對等互連可用來連接共用 VPCs。例如，假設您有 10 個應用程式。每個應用程式都需要自己的 AWS 帳戶。這些應用程式可分為兩個應用程式產品組合 （相同產品組合內的應用程式具有類似的聯網需求，即「行銷」中的應用程式 1–5 和「銷售」中的應用程式 6–10)。

 您可以為每個應用程式產品組合有一個 VPC （總共兩個 VPCs)，而 VPC 會與該產品組合中的不同應用程式擁有者帳戶共用。應用程式擁有者將應用程式部署到其各自的共用 VPC 中 （在此情況下，在不同的子網路中，使用 NACLs 進行網路路由分割和隔離）。這兩個共用 VPCs 是透過 Transit Gateway 連接。透過此設定，您可以將 10 VPCs，如下圖所示。

![\[描述共用 VPC 設定範例的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/example-setup-shared-vpc.png)


**注意**  
 VPC 共用參與者無法在共用子網路中建立所有 AWS 資源。如需詳細資訊，請參閱 VPC 共用文件中[的限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-share-limitations)一節。  
如需 VPC 共用的重要考量和最佳實務的詳細資訊，請參閱 [VPC 共用：重要考量和最佳實務](https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-key-considerations-and-best-practices/)部落格文章。

# 私有 NAT 閘道
<a name="private-nat-gateway"></a>

團隊通常獨立運作，而且他們可能會為專案建立新的 VPC，這可能具有重疊的無類別網域間路由 (CIDR) 區塊。為了進行整合，他們可能想要啟用具有重疊 CIDRs的網路之間的通訊，這些 CIDR 無法透過 VPC 對等互連和 Transit Gateway 等功能實現。私有 NAT 閘道可協助處理此使用案例。私有 NAT 閘道使用唯一的私有 IP 地址來執行重疊來源 IP 地址的來源 NAT，而 ELB 則會執行重疊目的地 IP 地址的目的地 NAT。您可以使用 Transit Gateway 或虛擬私有閘道，將流量從私有 NAT 閘道路由到其他 VPCs 或內部部署網路。



![\[描述私有 NAT 閘道設定範例的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/example-setup-private-nat-gateway.png)


上圖顯示 VPC A 和 B 中的兩個不可路由 （重疊 CIDRs，`100.64.0.0/16`) 子網路。若要在它們之間建立連線，您可以分別將次要不可重疊/可路由 CIDRs （可路由子網路，`10.0.1.0/24`和 `10.0.2.0/24`) 新增至 VPC A 和 B。可路由 CIDRs 應由負責 IP 配置的網路管理團隊配置。私有 NAT 閘道會新增至 VPC A 中 IP 地址為 的可路由子網路`10.0.1.125`。私有 NAT 閘道會在 VPC A (`100.64.0.10`) 不可路由子網路中的執行個體請求上執行來源網路地址轉譯`10.0.1.125`，做為私有 NAT 閘道的 ENI。現在可將流量指向指派給 VPC B () 中 Application Load Balancer (ALB`10.0.2.10`) 的可路由 IP 地址，其目標為 `100.64.0.10`。流量會透過 Transit Gateway 路由。傳回流量會由私有 NAT 閘道處理，再傳回請求連線的原始 Amazon EC2 執行個體。

當您的內部部署網路限制存取核准的 IPs 時，也可以使用私有 NAT 閘道。合規部門要求少數客戶的內部部署網路只能透過客戶擁有的有限連續 IPs 區塊與私有網路 （非 IGW) 通訊。您可以使用私有 NAT 閘道在每個允許清單 IP 後面的 AWS VPCs 上執行大型工作負載，而不是將每個執行個體與區塊分開配置。如需詳細資訊，請參閱[如何使用私有 NAT 解決方案解決私有 IP 耗盡](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-solve-private-ip-exhaustion-with-private-nat-solution/)部落格文章。

![\[說明如何使用私有 NAT 閘道為內部部署網路提供已核准 IPs圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/how-to-use-nat.png)


# AWS 雲端 WAN
<a name="aws-cloud-wan"></a>

 AWS Cloud WAN 是將網路連接在一起的新方法，我們之前可以使用 Transit Gateways、VPC Peering 和 IPSEC VPN 通道。您先前會設定一或多個 VPCs、使用上述其中一種方法將它們連接在一起，並使用 IPSEC VPN 或 Direct Connect 連線到內部部署網路。您可以在一個位置定義您的網路和安全狀態建構，並在另一個位置定義您的網路。Cloud WAN 可讓您將所有這些建構集中在單一位置。根據政策，您可以分割您的網路，以判斷誰可以與誰交談，並透過這些區段將生產流量與開發或測試工作負載或內部部署網路隔離。

![\[描述 AWS Cloud WAN 連線的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/cloud-wan-diagram.png)


 透過 AWS Network Manager 使用者介面和 APIs管理您的全球網路。全域網路是所有網路物件的根層級容器；核心網路是 AWS 管理的全域網路的一部分。核心網路政策 (CNP) 是定義核心網路所有層面的單一版本控制政策文件。附件是您想要新增至核心網路的任何連線或資源。核心網路邊緣 (CNE) 是符合 政策之附件的本機連接點。根據預設，網路區段是路由網域，僅允許區段內的通訊。

 若要使用 CloudWAN：

1.  在 AWS Network Manager 中，建立全域網路和相關聯的核心網路。

1.  建立 CNP，以定義區段、ASN 範圍 AWS 區域 和要用來連接至區段的標籤。

1.  套用網路政策。

1.  使用資源存取管理員與您的使用者、帳戶或組織共用核心網路。

1.  建立和標記附件。

1.  更新連接 VPCs中的路由，以包含核心網路。

 Cloud WAN 旨在簡化全球連接 AWS 基礎設施的程序。它可讓您使用集中式許可政策來分割流量，並使用您公司據點的現有基礎設施。Cloud WAN 也會連接您的 VPCs、SD-WANs、用戶端 VPNs、防火牆、VPNs和資料中心資源，以連線至 Cloud WAN。如需詳細資訊，請參閱 [AWS Cloud WAN 部落格文章](https://aws.amazon.com/blogs/networking-and-content-delivery/category/networking-content-delivery/aws-cloud-wan/)。

 AWS Cloud WAN 可啟用統一的網路連接雲端和內部部署環境。組織使用新一代防火牆 (NGFWs) 和入侵預防系統 IPSs) 來確保安全。[AWS Cloud WAN 和 Transit Gateway 遷移和互通性模式](https://aws.amazon.com/blogs/networking-and-content-delivery/aws-cloud-wan-and-aws-transit-gateway-migration-and-interoperability-patterns/)部落格文章描述了架構模式，用於集中管理和檢查 Cloud WAN 網路中的傳出網路流量，包括單一區域和多區域網路，並設定路由表。這些架構可確保資料和應用程式安全，同時維護安全的雲端環境。

 如需 Cloud WAN 的詳細資訊，請參閱 [AWS Cloud WAN 部落格文章中的集中式傳出檢查架構](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-outbound-inspection-architecture-in-aws-cloud-wan/)。

# Amazon VPC Lattice
<a name="vpc-lattice"></a>

 Amazon VPC Lattice 是一種全受管應用程式聯網服務，用於跨各種帳戶和虛擬私有雲端來連接、監控和保護服務。VPC Lattice 有助於在邏輯界限內互連服務，讓您可以有效率地管理和探索這些服務。

 VPC Lattice 元件包含：
+  **服務** - 這是在執行個體、容器或 Lambda 函數上執行的應用程式單位，由接聽程式、規則和目標群組組成。
+  **服務網路** - 這是邏輯界限，用於自動實作服務探索和連線，並將常見的存取和可觀測性政策套用至服務集合。
+  **驗證政策** - 可與服務網路或個別服務相關聯的 IAM 資源政策，以支援請求層級身分驗證和內容特定授權。
+  **服務目錄** - 您擁有或透過 AWS Resource Access Manager 與您共用之服務的集中式檢視。

 VPC Lattice 使用步驟：

1.  建立服務網路。服務網路通常位於網路管理員具有完整存取權的網路帳戶中。服務網路可以在組織中的多個帳戶之間共用。共用可以在個別服務或整個服務帳戶上執行。

1.  將 VPCs連接至服務網路，以啟用每個 VPC 的應用程式聯網，讓不同的服務可以開始耗用網路中註冊的其他 服務。會套用安全群組來控制流量。

1.  開發人員會定義 服務，這些服務會填入服務目錄中並註冊至服務網路。VPC Lattice 包含所有已設定服務的通訊錄。開發人員也可以定義路由政策以使用藍/綠部署。安全性是在定義身分驗證和授權政策的服務網路層級，以及在實作 IAM 存取政策的服務層級進行管理。

![\[描述 VPC Lattice 通訊流程的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/vpc-lattice.png)


 如需更多詳細資訊，請參閱 [VPC Lattice 使用者指南](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html )。