

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 映射应用程序并设计体系结构
<a name="map-your-applications-architecture"></a>

以下各节将帮助您了解应用程序在现有环境中的组合方式，以及如何设计其新体系结构。

**Topics**
+ [映射应用程序](#map-your-applications)
+ [规划架构](#plan-your-architecture)

## 映射应用程序
<a name="map-your-applications"></a>

将应用程序及其相关依赖项迁移到 AWS 云端时，没有标准方法。下表概述了通常与 F5 BIG-IP 工作负载一起迁移到 AWS 云端的不同应用程序的主要注意事项。


| 应用程序类型 | 使用案例 | 建议采取的措施 | 
| --- | --- | --- | 
| 定制或商用现成 (COT) 应用程序  | 您要么计划在将应用程序迁移到 AWS 云端后关闭数据中心或托管实例，要么混合运行本地和 AWS 产品或服务。您不打算实现这些应用程序的现代化。<br />您可能已将 [F5 应用交付控制器 (ADC)](https://www.f5.com/glossary/application-delivery-controller) 作为应用程序逻辑的一部分，并要求它将相同的逻辑移植到云端。 AWS <br />应用程序组件可能同时迁移，也可能不迁移。 | 查看当前的 F5 配置，并将其分解为需要迁移的应用程序组件。<br />确保通过模块或 [F5 Good、Better、Best (GBB)](https://www.f5.com/products/get-f5/perpetual-licensing-gbb) 计划与正在使用的许可模型相匹配。 | 
| 具有高合规性或安全性相关要求的应用程序 | 尽管这些应用程序可以重新托管、重新平台化或重新架构，但它们需要高级保护。<br />这些高级保护可能包括行为保护、移动应用安全、高级爬虫程序检测、深度 IP 智能和响应数据的出口过滤。 | 如果您已在使用 F5 ASM，请确保迁移安全性或合规性策略。<br />如果这是一个新应用程序，那么您应该评估利用 [F5 ASM 或 F5 Web 应用程序防火墙 (F5 WAF)](https://www.f5.com/products/big-ip-services/advanced-waf) 的最佳方法。 | 
| Next-generation [或者托管在亚马逊弹性容器服务 (Amazon ECS)、亚马逊 Elastic Kubernetes Service (Amazon EKS) 或托管 K8S 的亚马逊 EC2 上的云原生应用程序](https://community.f5.com/kb/technicalarticles/easy-demo-protect-container-traffic-to-eks-with-big-ip/291173) |  这些应用程序需要协议调整，例如移动或其他有损网络类型、HTTP 优化、可编程数据平面 (iRules) 或调整负载平衡算法的高级服务。 | 有关容器入口，请参阅 [F5 文档中的 F5 容器入口服务](https://clouddocs.f5.com/containers/v2/)。 | 
| 联合命名空间或混合应用程序 | 在这些应用程序中，演示层的交付在混合部署中联合，或者所使用的服务在混合部署中。<br />例如，您可以在本地使用 F5 GTM 和 F5 LTM，并利用 F5 GTM 的高级功能来映射复杂的依赖关系和将客户发送到哪个位置的高级逻辑。 | 此部署应至少具备两个 F5 DNS 系统或 [F5 分布式云 DNS](https://www.f5.com/products/distributed-cloud-services/dns)。<br />部署需要在 AWS 云中创建一个或多个 VPC。<br />需要将一个 VPC 作为数据中心映射到系统中。如果您使用转换 VPC 设计，则可能是多个 VPC。 | 
| 性能优化的应用程序 | 在会话 (L4) 和应用程序层 (L7)、移动应用程序，或者您担心由于迁移到云和迁出云而导致延迟增加、HTTP 优化 (SPDY) 和压缩的应用程序。 AWS  | 这需要部署运行标准类型虚拟服务器（完整 TTCP 代理）或更高版本（应用程序代理，如 HTTP）的 F5 LTM 系统，并且应用程序服务器和客户之间的对称流量较低。<br />流量可由源网络地址转换 (SNAT) 处理，或者 F5 BIG-IP 实例可以作为实例和路由表的默认网关。 | 
| 跨多个可用区的内部应用程序，高可用性（HA）但无 DNS | 您需要部署应用程序并希望支持跨区域以提高可用性，但不想使用 DNS 并且无法更改 IP 地址。 | 您将需要使用 VPC 中与虚拟专用网关对等的客户网关来公布外部地址空间，并使用 [F5 Advanced HA iAPP 模板](https://www.f5.com/pdf/deployment-guides/f5-aws-ha-dg.pdf)来操作路由表。F5 系统可以是 VPC 中的客户网关，也可以是第三方解决方案的客户网关。 | 
| WAF 或应用程序 IDS/IPS  | 这些应用程序需要高级安全功能，例如 SNORT 签名、机器人保护、深度复杂的 WAF 规则集（2900\+ 签名）以及安全扫描程序集成。 | 选择满足应用程序需求的 CloudFormation 模板拓扑（[高可用性[AWS Auto Scaling](https://docs.aws.amazon.com/autoscaling/index.html)](https://docs.aws.amazon.com/whitepapers/latest/oracle-database-aws-best-practices/architecting-for-high-availability.html)、独立拓扑），然后创建并验证适当的安全策略。 | 
| 安全和服务传输 VPC 应用程序  | 这是中转 VPC 的变体，您可以在其中集中 Internet 或 Intranet 的安全性和服务，并将其与其他 VPC 对等。<br />此拓扑可以与其他应用程序类型和用例列表一起使用。它用于减少组织 VPC 结构的互联网攻击面、集中控制和分离职责。它还用于在特定 VPC、其他 VPC 和互联网之间插入高级应用程序和安全服务。 | 部署中转 VPC 以及对等（应用程序）VPC IP 地址可见性要求。 | 
| DNS 安全、快速和混合应用程序 | 在 AWS 云端和数据中心复制安全一致的 DNS 查询表，能够处理大量 DNS 查询；通过 Direct Connect以下方式在直接连接中断后幸存下来：跨环境集中管理、基于策略的 DNS；DNS 缓存和 DNS 协议验证和安全 (DNSSEC)。 | 使用最佳实践来部署 DNS 并将每个 VPC 视为一个虚拟数据中心。 | 

## 规划架构
<a name="plan-your-architecture"></a>

下图显示了通过 Tr AWS ansit Gateway 连接的边缘 VPC 和应用程序 VPC 的基准架构。VPC 可以是相同账户的一部分，也可以是不同账户的一部分。

![F5 AWS 云端架构。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/migration-f5-big-ip/images/F5-aws-architecture-2.png)


例如，登录区通常会部署一个网络账户，用于控制边缘 VPC。此架构可帮助用户在应用程序套件中利用通用策略、流程和平台。

下图显示了部署在活动备用集群中的 F5 BIG-IP 工作负载中的两个网络接口 (NIC) 实例。您可以向这些系统添加更多弹性网络接口，直至达到实例限制。F5 建议您在部署中使用一种 Multi-AZ 模式，以避免可用区出现故障。

![迁移策略决策概述。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/migration-f5-big-ip/images/F5-aws-architecture.png)
