重要:此解決方案需要使用 AWS CodeCommit,該服務並未提供新客戶使用。AWS CodeCommit 的現有客戶可以繼續正常使用和部署此 AWS 解決方案。
概觀
AWS 上的集中式網路檢測可設定篩選網路流量所需的 AWS 資源。這個解決方案會將佈建集中式 AWS Network Firewall 以檢查 Amazon Virtual Private Cloud (Amazon VPC) 之間流量的整個過程予以自動化,因此可節省時間。
優勢
此解決方案可讓您修改 AWS CodeCommit 儲存器內組態套件的規則群組和防火牆政策。這樣可自動叫用 AWS CodePipeline 以執行驗證和部署。
這個解決方案可讓您在同一處集中檢查成千上萬個 Amazon VPC 和帳戶。您也可以統一設定及管理 AWS Network Firewall、防火牆政策和規則群組。
這個解決方案可協助您使用 GitOps 工作流程,藉此進行協同合作並管理 AWS Network Firewall 組態的變更。
技術詳細資訊
您可以使用實作指南和隨附的 AWS CloudFormation 範本自動部署此架構。
步驟 1
AWS CloudFormation 範本部署了一個共計四個子網路的檢查 VPC。其中兩個子網路用於建立 VPC Transit Gateway 連接,另外兩個子網路用於建立 AWS Network Firewall 端點。
步驟 3
在 CodeCommit 儲存器內修改組態套件,調用 AWS CodePipeline 以執行驗證和部署等階段。
步驟 4
該解決方案能為每個可用區域建立含有預設路由目的地的 Amazon VPC 路由表。亦可建立防火牆子網路所共用的路由表,傳輸閘道 ID 是預設的路由目的地。
步驟 5
該解決方案也會建立兩個 AWS Key Management Service (AWS KMS) 加密金鑰。其中一個金鑰可用來加密 Amazon Simple Storage Service (Amazon S3) 成品、原始程式碼儲存貯體和 AWS CodeBuild 專案中的物件。第二個金鑰可用來加密 Network Firewall 日誌目的地。
步驟 6
可建立 AWS Identity and Access Management (IAM),將權限授予 CodePipeline 和 CodeBuild 階段,以便存取 S3 儲存貯體並管理 Network Firewall 資源。