iT邦幫忙

2

【AWS架構實戰系列 】 組織、帳號、 VPC基礎概念

aws
Wesley 2025-12-02 15:34:21232 瀏覽

  • 分享至 

  • xImage
    •  

目標

  • 認識資源階層結構:掌握 AWS、Azure、GCP 三大公有雲的 Cloud Resource Hierarchy。
  • 理解計費與權限邊界:Account / Subscription / Project 不只是計費單位,更是權限與風險隔離邊界。
  • 理解網路邊界:VPC / VNet / VPC Network 是虛擬網路的核心隔離單位。
  • 建立服務架構地圖:理解常見服務落點與彼此關聯。

Cloud Resource Hierarchy 雲端資源階層對照

Company(公司實體)
└── Organization / Tenant(企業帳號根節點)
    └── OU / Management Group / Folder(部門/環境分組)
        └── Account / Subscription / Project(計費/權限邊界單位)
            └── VPC / VNet / VPC Network → Subnet(網路邊界)
                └── Resources(EC2, S3…)

AWS vs Azure vs GCP 資源階層對照表

階層 AWS Azure GCP
公司實體 Organization Tenant (Azure AD) Organization
組織分層 OU Management Group Folder
計費/權限 Account Subscription Project
網路邊界 VPC VNet VPC Network
子網路 Subnet Subnet Subnet

雲端架構的兩大邊界

計費與權限邊界:Account / Subscription / Project

  • 最上層隔離:適用於不同部門、開發/生產環境分離。
  • 成本清楚:可追蹤專案或部門成本。
  • 權限獨立:各帳號擁有獨立 IAM。
  • 風險隔離:某帳號爆炸不會影響其他帳號。

網路邊界:VPC / VNet / VPC Network

  • 服務層分隔:可切分前後端與不同服務。
  • IP 衝突避免:CIDR 決定 IP 空間。
  • 安全防線:搭配 SG / NACL 施行精細控管。

🧩 AWS Organization / OU 常見劃分方式

Management Account (Root)
├── Security OU
│   ├── Log Archive
│   └── Audit
├── Network OU
│   └── Shared VPC
└── Workloads OU
    ├── Product A OU
    │   ├── Prod Account
    │   └── Non-Prod Account
    └── Product B OU
  • Security OU:集中文檔與稽核。
  • Network OU:統一網路元件、Transit Gateway。
  • Workloads OU:依產品/專案分環境。

Account 策略與規劃

  • 每個 Account 是一個 IAM、資源、VPC 的隔離單位。
  • 常見切法:
    • 依環境劃分:PRD / DEV。
    • 依部門劃分:AI-Lab、AI-Dev、AI-Prd。

VPC & Subnet 架構概念

架構示意圖

Region(例如 ap-northeast-1)
└── VPC(例如 10.0.0.0/16)
    ├── AZ A
    │   ├── Public Subnet
    │   └── Private Subnet
    ├── AZ B
    │   ├── Public Subnet
    │   └── Private Subnet
    └── AZ C
        └── 尚未配置

Region

  • 頂層的地理區域,例如 ap-northeast-1(東京)。

Availability Zones(AZs)

  • Region 內由一個或多個獨立資料中心組成的實體位置,彼此具備電力與網路的高可用隔離。

VPC(虛擬私有雲)

  • 私有 IP 空間:CIDR 自定義(如 10.0.0.0/16)。
  • 完全隔離:不同 VPC 預設無法互通。
  • 安全設計:搭配路由表、SG、NACL。

Subnet(子網)

  • AZ 隔離:每個可用區(AZ)有獨立 Subnet。
  • Public Subnet 條件:
    • 擁有 Elastic IP 或 Public IP。
    • Route Table 有指到 Internet Gateway。
  • Private Subnet 條件:
    • 無法直接連上 Internet。
    • 透過 NAT Gateway(部署於 Public Subnet)出站。

AWS 服務分類

  • VPC(網路核心):一切服務連接的中心。
  • Compute(運算):EC2(VM)、ECS(Container)、Lambda(Serverless)。
  • Network(網路):Subnet、Route Table、SG、ALB/NLB、Transit GW。
  • Security(安全):IAM、KMS、Secrets Manager。
  • Monitoring(監控):CloudWatch、CloudTrail。
  • AI(AI 服務):Bedrock Models 等生成式 AI。

Reference

https://docs.aws.amazon.com/zh_tw/AWSEC2/latest/UserGuide/using-regions-availability-zones.html


圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
19839
完賽人數
529
iT+看影片追技術 看影片追技術 看更多
熱門tag
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 17th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# linux windows server css react
熱門問題
熱門回答
熱門文章
IT邦幫忙