概觀
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
AWS 上的集中式網路檢測可設定篩選網路流量所需的 AWS 資源。這個解決方案會將佈建集中式 AWS Network Firewall 以檢查 Amazon Virtual Private Cloud (Amazon VPC) 之間流量的整個過程予以自動化,因此可節省時間。
優勢
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
此解決方案可讓您修改 AWS CodeCommit 儲存器內組態套件的規則群組和防火牆政策。這樣可自動叫用 AWS CodePipeline 以執行驗證和部署。
這個解決方案可讓您在同一處集中檢查成千上萬個 Amazon VPC 和帳戶。您也可以統一設定及管理 AWS Network Firewall、防火牆政策和規則群組。
這個解決方案可協助您使用 GitOps 工作流程,藉此進行協同合作並管理 AWS Network Firewall 組態的變更。
技術詳細資訊
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
您可以使用實作指南和隨附的 AWS CloudFormation 範本自動部署此架構。
步驟 1
AWS CloudFormation 範本部署了一個共計四個子網路的檢查 VPC。其中兩個子網路用於建立 VPC Transit Gateway 連接,另外兩個子網路用於建立 AWS Network Firewall 端點。
步驟 3
在 CodeCommit 儲存器內修改組態套件,調用 AWS CodePipeline 以執行驗證和部署等階段。
步驟 4
該解決方案能為每個可用區域建立含有預設路由目的地的 Amazon VPC 路由表。亦可建立防火牆子網路所共用的路由表,傳輸閘道 ID 是預設的路由目的地。
步驟 5
該解決方案也會建立兩個 AWS Key Management Service (AWS KMS) 加密金鑰。其中一個金鑰可用來加密 Amazon Simple Storage Service (Amazon S3) 成品、原始程式碼儲存貯體和 AWS CodeBuild 專案中的物件。第二個金鑰可用來加密 Network Firewall 日誌目的地。
步驟 6
可建立 AWS Identity and Access Management (IAM),將權限授予 CodePipeline 和 CodeBuild 階段,以便存取 S3 儲存貯體並管理 Network Firewall 資源。