问如何组织云形成模板？

EN

是否在项目之间共享安全组是在简单性和孤立性之间的权衡。通过在项目之间共享一个安全组，您可以为每个项目使用较小的模板，并一起管理它们。每个堆栈有一个堆栈允许您更改一个项目的设置，而不会影响其他项目。

我更喜欢在项目之间共享少量的安全组。我将它们放在一个CloudFormation堆栈中，用于在帐户之间共享资源。它包括以下内容：

• EC2安全组(我有一个用于仅访问SSH，另一个用于SSH和HTTP/HTTPS)用于VPC以及子网、路由、网关和存储桶，因为许多资源都需要S3 EC2 initialization
  • IAM roles

  policies

  • an S3 topic
  • S3主题中的资源

这个堆栈依赖于其他所有东西，并单独维护。当我创建一个项目模板时，来自全局堆栈的输出作为参数传递。

一个不错的资源是亚马逊网络服务CloudFormation最佳实践1指南。

最好按照该页面上的描述创建嵌套堆栈。多个项目使用的安全组应该与私有网络、子网、路由一起存在于较低级别的堆栈中。项目可以存在于较高级别的堆栈中，这些堆栈建立在较低级别堆栈中描述的资源之上。为了帮助确定这一点，请考虑每个资源的生命周期-资源X可以没有资源Y而存在吗？如果不是，那么可能应该在较低级别的堆栈中定义资源X。

如果你有多个团队，这也是一个需要考虑的问题。您的安全/网络团队可能需要访问DevOps团队不需要的资源。

1