本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建置可擴展且安全的多 VPC AWS 網路基礎設施
<a name="welcome"></a>

發佈日期：**2024 年 4 月 17** 日 ([文件歷史記錄](document-revisions.md))

Amazon Web Services (AWS) 客戶通常依賴數百個帳戶和虛擬私有雲端 (VPCs) 來分割工作負載並擴展其足跡。這種規模通常會在 VPC 連線的資源共用、VPC 間連線和內部部署設施方面造成挑戰。

本白皮書說明使用 [Amazon Virtual Private Cloud](https://aws.amazon.com/vpc/) (Amazon VPC)、[AWS Transit Gateway](https://aws.amazon.com/transit-gateway)、、[AWS PrivateLink](https://aws.amazon.com/privatelink/)[Direct Connect](https://aws.amazon.com/directconnect/)、[Gateway Load Balancer](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/)、 [AWS Network Firewall](https://aws.amazon.com/network-firewall/)和 [Amazon Route 53 ](https://aws.amazon.com/route53/)等 AWS 服務，在大型網路中建立可擴展且安全的網路架構的最佳實務。它示範了管理不斷增長的基礎設施的解決方案 - 確保可擴展性、高可用性和安全性，同時保持低成本。

## 簡介
<a name="introduction"></a>

AWS 客戶從在代表管理界限的單一 AWS 帳戶中建置資源開始，以區隔許可、成本和服務。不過，隨著客戶的組織成長，為了監控成本、控制存取，以及提供更輕鬆的環境管理，需要更多的服務區隔。多帳戶解決方案透過為組織中的 IT 服務和使用者提供特定帳戶來解決這些問題。 AWS 提供多種工具來管理和設定此基礎設施，包括 [AWS Control Tower](https://aws.amazon.com/controltower/)。  

![\[描述 AWS Control Tower 初始部署的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/control-tower-deployment.png)


當您使用 設定多帳戶環境時 AWS Control Tower，它會建立兩個組織單位 (OUs)：
+ **安全性 OU** – 在此 OU 中， 會 AWS Control Tower 建立兩個帳戶：
+ 日誌存檔
+ 稽核 （此帳戶對應至本指南先前討論的安全工具帳戶。)
+ **沙盒 OU** – 此 OU 是其中建立之帳戶的預設目的地 AWS Control Tower。它包含您的建置器可以在其中探索和試驗 AWS 服務以及其他工具和服務的帳戶，但需遵守您團隊的可接受使用政策。

**AWS Control Tower 可讓您建立、註冊和管理其他 OUs，以擴展初始環境來實作指引。 **

 下圖顯示最初部署的 OUs AWS Control Tower。您可以擴展您的 AWS 環境來實作圖表中包含的任何建議 OUs，以符合您的需求。

![\[描述 AWS 組織 OUs圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/organization-ous.png)


如需使用 之多帳戶環境的更多詳細資訊 AWS Control Tower，請參閱*使用多個帳戶組織 AWS 環境*白皮書中的[https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html)。

大多數客戶都從幾個 VPCs 開始部署其基礎設施。客戶建立VPCs 數量通常與其帳戶、使用者和暫存環境 （生產、開發、測試等） 的數量相關。隨著雲端用量的增加，與客戶互動的使用者、業務單位、應用程式和區域數量也會增加，進而建立新的 VPCs。

隨著 VPCs 數量的增加，跨 VPC 管理對於客戶雲端網路的操作至關重要。本白皮書涵蓋跨 VPC 和混合連線三個特定領域的最佳實務：
+ **網路連線** – 大規模互連 VPCs 和內部部署網路。
+ **網路安全** – 建置存取網際網路和端點的集中式輸出點，例如[網路位址轉譯 (NAT) 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)、[VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) [AWS PrivateLink](https://aws.amazon.com/privatelink/) 、、 [AWS Network Firewall](https://aws.amazon.com/network-firewall/) 和 [Gateway Load Balancer](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/)。
+ **DNS 管理** – 解析 Control Tower 內的 DNS 和混合式 DNS。

## IP 地址規劃和管理
<a name="ip-address-planning-and-management"></a>

 為了建置可擴展的多帳戶多 VPC 網路設計，IP 地址規劃和管理是必要的。良好的 IP 定址機制需要考慮您目前和未來的聯網需求。您的 IP 地址方案 IP 需要涵蓋您的內部部署工作負載、雲端工作負載，也應該允許未來擴展 （例如，新增 AWS 區域、業務單位和合併或收購）。它還應該防止您的團隊不小心建立重疊CIDRs。如果需要重疊的 IP CIDR，例如隔離或中斷連線的工作負載，則此決策需要有意識，並應考量對路由、安全性和成本的影響。您可能還需要考慮為此類例外狀況建立必要的核准程序。良好的 IP 定址機制也有助於簡化網路設計和路由組態。

 關鍵考量事項：
+  事先規劃您的 IP 定址機制 （包括公有和私有 IPs)，然後選取 IP 地址管理工具，以配置、管理和追蹤所有工作負載的 IP 地址用量。
+  使用階層式和摘要 IP 定址機制。
+  根據環境 AWS 區域、組織或業務單位，規劃一致的 IP 指派。
+  為內部部署和雲端網路指定不同的 IP CIDRs (IPv4 和 IPv6)。
+  主動防止和追蹤重疊CIDRs。
+  適當調整 IP CIDRs的大小，以實現擴展和未來成長。
+  啟用工作負載以實現 IPv6 或雙堆疊相容性，以減少 IP 衝突並解決 IPv4 空間耗盡。

 您可以使用 Amazon VPC IP Address Manager (IPAM) 來簡化 AWS 工作負載的公有和私有 IP 地址規劃、追蹤和監控。IPAM 可讓您跨多個 和 組織、配置、監控 AWS 區域 和共用 IP 地址空間 AWS 帳戶。它還有助於使用特定業務規則將 CIDRs 自動配置到 VPCs。

 請參閱 [Amazon VPC IP Address Manager 最佳實務](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-vpc-ip-address-manager-best-practices/)、[使用 Amazon VPC IP Address Manager 管理VPCs 和區域的 IP 集區](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/)，以及部落格文章[的 IP 地址管理 AWS Control Tower](https://aws.amazon.com/blogs/networking-and-content-delivery/ip-address-management-for-aws-control-tower/)，以了解 IP 定址最佳實務，以及如何使用 IPAM 管理跨 VPCs IP 集區 AWS 區域，以及 AWS Control Tower。

## 您是 Well-Architected 嗎？
<a name="are-you-well-architected"></a>

 [AWS Well-Architected](https://aws.amazon.com/architecture/well-architected/) Framework 可協助您了解在雲端建置系統時所做決策的優缺點。架構的六大支柱可讓您學習架構最佳實務，以設計和操作可靠、安全、有效率、經濟實惠且永續的系統。使用 [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/)免費提供的 [AWS 管理主控台](https://console.aws.amazon.com/wellarchitected)，您可以透過回答每個支柱的一組問題，根據這些最佳實務來檢閱工作負載。

 如需雲端架構的更多專家指引和最佳實務，參考架構部署、圖表和白皮書，請參閱[AWS 架構中心](https://aws.amazon.com/architecture/)。