本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨账户支持 Route 53 ARC 中的集群
Amazon Route 53 应用程序恢复控制器与集成 Amazon Resource Access Manager 以实现资源共享。 Amazon RAM 是一项使您能够与其他人共享资源 Amazon Web Services 账户 或通过共享资源的服务 Amazon Organizations。对于 Route 53 ARC,您可以共享集群资源。
使用 Amazon RAM,您可以通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及共享资源的参与者。参与者可以包括:
-
特定于所有者组织 Amazon Web Services 账户 内部或外部 Amazon Organizations
-
其组织内部的组织单位 Amazon Organizations
-
它的整个组织都在 Amazon Organizations
有关的更多信息 Amazon RAM,请参阅《Amazon RAM 用户指南》。
通过使用 Amazon Resource Access Manager 在 Route 53 ARC 中跨账户共享群集资源,您可以使用一个集群来托管由多个不同账户拥有的控制面板和路由控件 Amazon Web Services 账户。当您选择共享集群时,您指定的其他 Amazon Web Services 账户 人可以使用该集群来托管自己的控制面板和路由控件,从而可以对不同团队之间的路由功能进行更多的控制和灵活性。
Amazon RAM 是一项可帮助 Amazon 客户安全地共享资源的服务 Amazon Web Services 账户。借 Amazon RAM助,您可以使用 IAM 角色和用户在 Amazon Organizations组织或组织单位 (OU) 内共享资源。 Amazon RAM 是一种集中和受控的群集共享方式。
通过共享集群,可以减少组织所需的集群总数。集群共享后,您可以将运行集群的总成本分摊给不同的团队,从而以更低的成本更大限度地发挥 Route 53 ARC 的优势。(创建托管在集群中的资源不会给拥有者或参与者增加成本。) 跨账户共享集群还可以简化将多个应用程序加载到 Route 53 ARC 的过程,尤其是在大量应用程序分布在多个账户和运营团队中的情况下。
要开始在 Route 53 ARC 中进行跨账户共享,请在 Amazon RAM中创建资源共享。资源共享指定有权共享您的账户所拥有的集群的参与者。然后,参与者可以在集群中创建资源,例如控制面板和路由控件,方法是使用 Amazon Web Services Management Console Amazon Command Line Interface 或 Amazon 软件开发工具包运行 Route 53 ARC API 操作。
本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。
共享集群的先决条件
-
要共享集群,您必须在自己的集群中拥有该集群 Amazon Web Services 账户。这意味着资源必须分配或预调配到您的账户。您无法共享已共享给您的集群。
-
要与您的组织或 Amazon Organizations内的组织单位共享集群,您必须允许与 Amazon Organizations共享。有关更多信息,请参阅《Amazon RAM 用户指南》中的允许与 Amazon Organizations共享。
共享集群
当您共享自己拥有的集群时,您指定共享该集群的参与者可以在集群中创建和托管自己的 Route 53 ARC 资源。
要共享集群,您必须将它添加到资源共享中。资源共享是一项 Amazon RAM 资源,可让您跨 Amazon Web Services 账户共享资源。资源共享将指定要共享的资源以及共享资源的参与者。要共享集群,您可以创建新的资源共享或将资源添加到现有资源共享。要创建新的资源共享,您可以使用Amazon RAM 控制台
如果您是组织中的一员, Amazon Organizations 并且启用了组织内部共享,则组织中的参与者将自动获得访问共享群集的权限。否则,参与者会收到加入资源共享的邀请,并在接受邀请后获得对共享集群的访问权限。
您可以使用 Amazon RAM 控制台共享您拥有的集群,也可以使用 Amazon RAM API 操作与 Amazon CLI 或软件开发工具包共享。
使用 Amazon RAM 控制台共享您拥有的集群
请参阅《Amazon RAM 用户指南》中的创建资源共享。
要共享您拥有的集群,请使用 Amazon CLI
使用 create-resource-share 命令。
取消共享集群
取消共享集群时,以下规则适用于参与者和拥有者:
现有参与者资源将继续留存在已取消共享的集群中。
参与者可以继续在已取消共享的集群中更新路由控制状态,以管理应用程序失效转移的路由。
参与者不能再在已取消共享的集群中创建新资源。
如果参与者在已取消共享的集群中仍有资源,则拥有者无法删除共享集群。
要取消共享您拥有的共享集群,必须从资源共享中将其删除。为此,您可以使用 Amazon RAM 控制台或将 Amazon RAM API 操作与 Amazon CLI 或软件开发工具包一起使用。
使用控制台取消共享您拥有的共享集群 Amazon RAM
请参阅《Amazon RAM 用户指南》中的更新资源共享。
要取消共享您拥有的共享集群,请使用 Amazon CLI
使用 disassociate-resource-share 命令。
识别共享集群
拥有者和参与者可以通过查看 Amazon RAM中的信息来识别共享集群。他们还可以通过使用 Route 53 ARC 控制台和 Amazon CLI获取有关共享资源的信息。
一般而言,要详细了解您已共享或已与您共享的资源,请参阅 Amazon Resource Access Manager 用户指南中的信息:
作为拥有者,您可以使用 Amazon RAM查看与他人共享的所有资源。有关更多信息,请参阅中的查看共享资源 Amazon RAM。
作为参与者,您可以使用查看与您共享的所有资源 Amazon RAM。有关更多信息,请参阅中的查看共享资源 Amazon RAM。
作为所有者,您可以通过查看中的信息 Amazon Web Services Management Console 或使用 with Route 53 ARC API 操作来确定是否共享集群。 Amazon Command Line Interface
使用控制台确定您拥有的集群是否已共享的步骤
在 Amazon Web Services Management Console集群的详细信息页面上,查看集群共享状态。
要确定您拥有的集群是否已共享,请使用 Amazon CLI
使用 get-resource-policy 命令。如果集群有资源策略,则该命令将返回有关该策略的信息。
作为参与者,当集群共享给您时,您通常必须接受共享。此外,集群的拥有者字段包含集群拥有者的帐户。
共享集群的责任和权限
所有者的权限
当您与其他人共享您拥有的集群时 Amazon Web Services 账户,允许使用该集群的参与者可以在集群中创建控制面板、路由控件和其他资源。
作为集群的拥有者,您负责创建、管理和删除集群。您不能修改或删除参与者创建的资源,例如路由控制和安全规则。例如,您不能更新参与者创建的路由控制,以更改路由控制状态。
但是,您可以查看参与者在您拥有的集群中创建的路由控制的详细信息。例如,您可以使用 Amazon Command Line Interface 或 Amazon 软件开发工具包调用 R oute 53 ARC 路由控制 API 操作来查看路由控制状态。
如果您需要修改参与者创建的资源,他们可以在 IAM 中设置一个拥有资源访问权限的角色,并将您的账户添加到该角色中。
参与者的权限
一般而言,参与者可以创建和使用他们在共享的集群中创建的控制面板、路由控制、安全规则和运行状况检查。只有他们在共享集群中拥有资源,才能查看、修改或删除这些集群资源。例如,参与者可以为自己创建的控制面板创建和删除安全规则。
以下限制适用于参与者:
参与者无法查看、修改或删除由使用共享集群的其他账户创建的控制面板。
参与者无法查看、创建或修改其他账户在共享集群中创建的资源的路由控制,包括路由控制状态。
参与者无法创建、修改或查看其他账户在共享集群中创建的安全规则。
参与者无法在共享集群的默认控制面板中添加资源,因为它属于集群拥有者。
如前所述,参与者无法在共享集群的默认控制面板中创建路由控制,因为集群拥有者拥有默认控制面板。但是,集群拥有者可以创建跨账户 IAM 角色,以提供访问集群默认控制面板的权限。然后,拥有者可以向参与者授予权限以担任该角色,这样参与者就可以访问默认控制面板,按照拥有者通过角色权限指定的方式使用该面板。
成本计费
Route 53 ARC 中集群的拥有者需要支付与该集群相关的成本。对于集群拥有者或参与者来说,创建托管在集群中的资源不会产生任何额外成本。
有关详细的定价信息和示例,请参阅 Amazon Route 53 应用程序恢复控制器定价
配额
在共享集群中创建的所有资源(包括有权访问共享集群的所有参与者创建的资源)都计入该群集和其他资源(例如路由控制)的有效限额。如果共享群集资源的账户的配额高于群集所有者的配额,则群集所有者的配额优先于共享的账户的配额。
要更好地理解其工作原理,请参阅以下示例。为了说明配额如何与资源共享一起使用,在这些示例中,假设集群所有者是所有者,而与之共享集群的账户是参与者。
- 控制面板配额
所有者对每个集群的控制面板总数实行配额。
例如,假设 Owner 每个集群的控制面板数量配额为 50,并且集群中有 13 个控制面板。现在,假设参与者的配额设置为 150。在这种情况下,参与者只能在共享集群中创建最多 37 个控制面板(即 50-13)。
此外,如果共享集群的其他账户也创建了控制面板,则这些控制面板也都计入集群总配额(50 个控制面板)。
- 路由控制配额
路由控制有多个配额:每个控制面板的配额、每个集群的配额以及每个安全规则的配额。所有这些配额均优先考虑所有者的配额。
例如,假设 Owner 每个集群的路由控制数量配额为 300,并且集群中已经有 300 个路由控件。现在,假设参与者已将此配额设置为 500。在这种情况下,参与者无法在共享集群中创建任何新的路由控件。
- 安全规则配额
根据控制面板配额,所有者的安全规则强制执行配额。
例如,假设所有者每个控制面板的安全规则数量配额为 20,参与者将此配额设置为 80。在这种情况下,由于所有者的下限优先,因此参与者只能在共享集群的控制面板中创建最多 20 条安全规则。
有关路由控制配额的列表,请参阅路由控制配额。