SaaS-Verbraucher, die auf AWS - AWS Präskriptive Leitlinien
AWS PrivateLinkAmazon VPC LatticeVPC-PeeringAWS Transit Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SaaS-Verbraucher, die auf AWS

In diesem Abschnitt werden die Konnektivitätsoptionen für den Fall beschrieben, dass sowohl Sie als auch Ihre Kunden in der AWS Cloud Dieses Szenario bietet die größte Flexibilität, da viele AWS-Services Systeme systemintern integriert sind und beide Parteien Zugriff auf das gesamte AWS-Service Portfolio haben.

In der folgenden Netzwerkwerteübersicht wird zusammengefasst, wie jede dieser Optionen bei jeder Bewertungsmetrik abschneidet. Weitere Informationen zu den Bewertungsmetriken finden Sie unter Bewertungskennzahlen in diesem Leitfaden. In der Übersicht steht eine Fünf für das beste Ergebnis, z. B. für die niedrigsten Gesamtbetriebskosten, die beste Netzwerkisolierung oder die kürzeste Reparaturzeit. Weitere Informationen zum Lesen dieses Radardiagramms finden Sie Wertübersicht der Netzwerke in diesem Handbuch.

Radardiagramm, das die Ergebnisse für jede Bewertungsmetrik anzeigt.

Das Radardiagramm zeigt die folgenden Werte.

Bewertungsmetrik AWS PrivateLink Amazon VPC Lattice VPC-Peering AWS Transit Gateway
Einfache Integration 5 5 4 3
Gesamtbetriebskosten 5 5 3 4
Skalierbarkeit 5 4 1 4
Anpassungsfähigkeit 4 5 2 3
Netzwerkisolierung 5 5 2 3
Beobachtbarkeit 4 5 4 4
Zeit zum Reparieren 5 5 5 4

AWS PrivateLinkist die Cloud-nativste Methode zur Integration eines SaaS-Angebots. SaaS-Anbieter können ihre Anwendung entweder hinter einem Network Load Balancer hosten. Der Network Load Balancer lässt sich direkt in einen Application Load Balancer, Amazon Elastic Container Service (Amazon ECS), AmazonElastic Kubernetes Service (Amazon EKS) und Auto Scaling Scaling-Gruppen integrieren. Es ist auch möglich, den Datenverkehr vom Network Load Balancer zu VPC-Endpunkten im SaaS-Anbieterkonto weiterzuleiten. Auf diese Weise können Sie eine API verwenden, um Anwendungen zu erreichen, z. B. über Amazon API Gateway oder AWS AppSync. Wenn Ihre Anwendung Zugriff auf Ressourcen in der Kundenumgebung benötigt, die keinen Lastenausgleich aufweisen, z. B. eine Datenbank, können Sie Ressourcen-VPC-Endpunkte verwenden.

AWS PrivateLink unterstützt eine Bandbreite von bis zu 100 Gbit/s pro Availability Zone. Das folgende Diagramm zeigt eine Grundkonfiguration mit einigen möglichen Integrationen. Es verbindet zwei Verbraucherkonten über das SaaS-Anbieterkonto AWS PrivateLink. Es gibt Dienstendpunkte in den Verbraucherkonten und einen Network Load Balancer im SaaS-Anbieterkonto.

Grundkonfiguration für AWS PrivateLink mit optionalen Integrationen.

Diese Herangehensweise bietet folgende Vorteile:

  • Einfache Integration: Keine Änderungen an der Routentabelle erforderlich

  • Einfache Integration: Sie können Endpunktdienste anbieten über AWS Marketplace

  • Einfache Integration: VPC-Endpunkte unterstützen benutzerfreundliche DNS-Namen

  • Skalierbarkeit: Es kann auf Tausende von SaaS-Verbrauchern skaliert werden

  • Anpassungsfähigkeit: Support für überlappende CIDR-Bereiche

  • Anpassungsfähigkeit: Support für IPv6

  • Anpassungsfähigkeit: Regionalübergreifende Unterstützung

  • TCO: AWS PrivateLink ist ein vollständig verwalteter Service, der weniger Betriebsaufwand erfordert

  • Netzwerkisolierung: Sicherheitsvorteil für den SaaS, da der Datenverkehr nicht vom SaaS-Anbieter initiiert werden kann

  • Netzwerkisolierung: Sicherheitsvorteil für den SaaS-Anbieter, da er nicht ein ganzes Subnetz oder eine VPC offenlegt

Im Folgenden sind die Nachteile dieses Ansatzes aufgeführt:

  • Anpassungsfähigkeit: SaaS-Anbieter muss dieselben Availability Zones verwenden wie der Verbraucher

  • Anpassungsfähigkeit: Support nur für vom Client initiierte Verbindungen, und für die dienstinitiierte Kommunikation sind Ressourcen-VPC-Endpunkte erforderlich

  • Anpassungsfähigkeit: Network Load Balancer ist die einzige direkte Integration für AWS PrivateLink

Einen Amazon VPC Lattice-Service teilen

Um Amazon VPC Lattice als Konnektivitätsoption für Ihre SaaS-Anwendung zu verwenden, erstellen Sie zunächst einen oder mehrere VPC Lattice-Dienste, die Ihre SaaS-Anwendungskomponenten darstellen. Sie konfigurieren Listener und Routing-Regeln, um den Datenverkehr an Ihre Back-End-Ziele wie Amazon EC2 EC2-Instances, Container oder Funktionen weiterzuleiten. AWS Lambda Weitere Informationen finden Sie unter Verbinden von Saas-Diensten innerhalb eines VPC-Lattice-Dienstnetzwerks (AWS Blogbeitrag). Vom Konzept her entspricht dies fast der Konfiguration eines Application Load Balancer. Anschließend teilen Sie Ihren SaaS-Dienst sicher mit Kunden AWS-Konten oder Organisationen, indem Sie AWS Resource Access Manager (AWS RAM) verwenden und angeben, über welche Berechtigungen sie verfügen. Nachdem Kunden die gemeinsame Nutzung der Ressourcen akzeptiert haben, können sie Ihren SaaS-Service ihren bestehenden oder neu erstellten VPC-Lattice-Dienstnetzwerken zuordnen, um die Kommunikation zu ermöglichen service-to-service.

Jeder VPC Lattice-Dienst kann bis zu 10 Gbit/s und 10.000 Anfragen pro Sekunde pro Availability Zone unterstützen. Durch die Implementierung von Authentifizierungsrichtlinien können Ihre Kunden genau steuern, welche Dienste und Ressourcen auf die SaaS-Anwendung zugreifen können. Sie können Ressourcen-Gateways verwenden, um auf Ressourcen zuzugreifen, für die eine TCP-Verbindung erforderlich ist. Dies kann beispielsweise ein Amazon EKS-Cluster sein, den Sie verwalten, oder es könnte sich um eine vom Kunden verwaltete Ressource handeln, auf die Ihre Anwendung zugreifen muss. Weitere Informationen zur Verwendung von Ressourcen-Gateways für SaaS-Angebote finden Sie unter Erweitern der SaaS-Funktionen über die AWS-Konten Nutzung der AWS PrivateLink Unterstützung für VPC-Ressourcen (AWS Blogbeitrag).

Das folgende Diagramm zeigt eine VPC-Lattice-Konfiguration auf hoher Ebene mit einigen Beispielintegrationen. Es verwendet vom Kunden verwaltete Servicenetzwerke, um auf die SaaS-Anwendung zuzugreifen.

Grundkonfiguration für Amazon VPC Lattice mit optionalen Integrationen.

Diese Herangehensweise bietet folgende Vorteile:

  • Einfache Integration: Keine Änderungen an der Routentabelle erforderlich

  • Einfache Integration: Serviceerkennung sofort einsatzbereit

  • Skalierbarkeit: Es kann auf Tausende von SaaS-Verbrauchern skaliert werden

  • Anpassungsfähigkeit: Support für überlappende CIDR-Bereiche

  • Anpassungsfähigkeit: Support für IPv6

  • Anpassungsfähigkeit: Lässt sich als AWS VPC-Lattice-Dienst in jeden Rechendienst integrieren

  • Gesamtbetriebskosten: VPC Lattice ist ein vollständig verwalteter Service, der weniger Betriebsaufwand erfordert

  • TCO: Integrierter Lastenausgleich mit erweitertem Datenverkehrs-Routing

  • Netzwerkisolierung: Präzise Autorisierung mit Authentifizierungsrichtlinien

  • Netzwerkisolierung: Sicherheitsvorteil für den SaaS, da der Datenverkehr nicht vom SaaS-Anbieter initiiert werden kann

  • Netzwerkisolierung: Sicherheitsvorteil für den SaaS-Anbieter, da Sie nicht ein ganzes Subnetz oder eine VPC offenlegen

Im Folgenden sind die Nachteile dieses Ansatzes aufgeführt:

  • Anpassungsfähigkeit: Support nur für vom Client initiierte Verbindungen, und für dienstinitiierte Kommunikation sind Ressourcen-Gateways erforderlich

  • Anpassungsfähigkeit: Keine regionsübergreifende Unterstützung

VPC-Peering-Verbindungen erstellen

Wenn Sie VPC-Peering verwenden, um die VPC des SaaS-Anbieters mit der VPC des Verbrauchers zu verbinden, können beide Parteien Verbindungen initiieren. Dies erfordert die korrekte Konfiguration von Sicherheitsgruppen, Firewalls und Netzwerkzugriffskontrolllisten () in beiden Konten. NACLs Andernfalls könnte unerwünschter Datenverkehr über die Peering-Verbindung in das Netzwerk gelangen. Sie können Sicherheitsgruppen verwenden, um auf Sicherheitsgruppen von VPCs Peered zu verweisen. Dies kann Ihnen helfen, den Zugriff auf Ihre Anwendung zu kontrollieren, da Sicherheitsgruppen, die eine Zulassungsliste enthalten, eine explizitere und detailliertere Zugriffskontrolle bieten als IP-Adressen, die auf der Zulassungsliste stehen.

Mit VPC-Peering kann das SaaS-Angebot über einen Dienst oder eine Ressource erreicht werden, die in der VPC bereitgestellt werden. Die meisten SaaS-Anwendungen befinden sich hinter einem Application Load Balancer oder Network Load Balancer. AWS AppSync Private APIs oder Amazon API Gateway Private APIs sind weitere gängige Einstiegspunkte für SaaS-Anwendungen, da sie über eine Peering-Verbindung über Schnittstellen-VPC-Endpunkte als Ziel dienen können.

Nachdem Sie eine Peering-Verbindung hergestellt haben, müssen Sie die Routing-Tabellen für beide Konten aktualisieren, um die VPCs Peering-Verbindung als nächsten Hop für den jeweiligen CIDR-Bereich zu definieren. Diese Lösung wird nur für SaaS-Anbieter mit wenigen Verbrauchern empfohlen, da die Verwaltung mehrerer Peering-Verbindungen schnell zu komplex wird.

Das folgende Diagramm zeigt eine Grundkonfiguration mit einigen möglichen Integrationen. VPCs in zwei Verbraucherkonten besteht eine Peering-Verbindung mit einer VPC im SaaS-Anbieterkonto.

Grundkonfiguration von VPC-Peering-Verbindungen zwischen mehreren Konten.

Diese Herangehensweise bietet folgende Vorteile:

  • Zeit bis zur Reparatur: Es gibt keine einzige Fehlerquelle für die Kommunikation

  • Skalierbarkeit: Keine Bandbreitenbeschränkungen gegenüber VPC-Peering

  • Gesamtbetriebskosten: Keine Kosten für die Peering-Verbindung oder den Verkehr über die Peering-Verbindung innerhalb derselben Availability Zone

  • Gesamtbetriebskosten: Keine zu verwaltende Infrastruktur

  • Anpassungsfähigkeit: Support für IPv6

  • Anpassungsfähigkeit: Interregionales Peering wird unterstützt

Im Folgenden sind die Nachteile dieses Ansatzes aufgeführt:

  • Anpassungsfähigkeit: Keine Unterstützung für transitives Routing

  • Anpassungsfähigkeit: Keine Unterstützung für überlappende CIDR-Bereiche

  • Skalierbarkeit: Eingeschränkte Skalierbarkeit (maximal 125 Peering-Verbindungen pro VPC)

  • Gesamtbetriebskosten: Die Komplexität nimmt mit jeder weiteren Peering-Verbindung exponentiell zu

  • Gesamtbetriebskosten: Mehraufwand aufgrund der Verwaltung von Routing-Tabellen, der Peering-Verbindungen selbst, der Sicherheitsgruppenregeln und der Verkehrsinspektion

  • Netzwerkisolierung: Strenge Sicherheitskontrollen sind erforderlich, da VPCs beide Parteien vollständig gefährdet sind

Verbindung herstellen VPCs mit AWS Transit Gateway

Wenn Sie eine Verbindung VPCs herstellen AWS Transit Gateway, erstellt es VPC-Anlagen und stellt Netzwerkschnittstellen in den Subnetzen jeder Availability Zone bereit, die den Verkehr zur und von der VPC weiterleiten sollen. Es wird empfohlen, in jeder Availability Zone ein eigenes /28 Subnetz für den VPC-Anhang einzurichten. Weitere Informationen finden Sie unter Bewährte Entwurfsmethoden für Amazon VPC Transit Gateways. VPCs Sie benötigen eine aktualisierte Routentabelle, um Verkehr über die bereitgestellte Netzwerkschnittstelle zu senden, und die Transit Gateway Gateway-Routentabellen müssen entsprechend aktualisiert werden. In einer Konfiguration mit mehreren Mandanten möchten Sie, dass die VPC des SaaS-Anbieters eine Route zu allen Verbrauchern hat. VPCs Der Verbraucher VPCs sollte nur eine Route zur VPC des SaaS-Anbieters haben.

Transit Gateway ist von Haus aus hochverfügbar. Es unterstützt die Überwachung mit VPC Flow Logs, und die maximale Bandbreite für einen Transit Gateway Gateway-Anhang beträgt 100 Gbit/s pro Availability Zone. Wie beim VPC-Peering ermöglicht dieser Ansatz die VPC-Sicherheitsgruppenreferenzierung, wodurch die Zugriffskontrolle zwischen den Umgebungen vereinfacht wird.

Es gibt zwei Hauptoptionen, um Verbraucher mit Ihrem SaaS-Angebot mit Transit Gateway zu verbinden.

Option 1: RAM verwenden

Bei der ersten Option teilt der Dienstanbieter das Transit Gateway mithilfe von AWS Resource Access Manager (AWS RAM) mit den Verbrauchern. Auf diese Weise können die Verbraucher die VPC-Anhänge in ihren eigenen Konten bereitstellen. Das folgende Diagramm zeigt diese Option auf hoher Ebene.

Verbraucher stellen Transit-Gateway-Anhänge an ihren bereit VPCs.

Option 2: Peering-Transit-Gateways

Die zweite Option besteht darin, Ihr Transit-Gateway mit einem Transit-Gateway in den Konten der Verbraucher zu verbinden. Dies bietet Verbrauchern mehr Flexibilität, da sie jetzt die vollständige Kontrolle über die Routentabellen in ihrem Transit-Gateway haben. Sie könnten beispielsweise eine zentrale Inspektion zwischen dem Service und ihren Workloads einrichten. Ein Nachteil dieser Option besteht darin, dass nur statisches Routing zwischen Transit-Gateways unterstützt wird. Das folgende Diagramm zeigt diese Option auf hoher Ebene.

Verbraucher und der SaaS-Anbieter erstellen Peering-Transit-Gateways.

Diese Herangehensweise bietet folgende Vorteile:

  • Skalierbarkeit: Support für bis zu 5.000 Anhänge

  • Skalierbarkeit: Ein Ort für die Verwaltung und Überwachung aller verbundenen Geräte VPCs

  • Anpassungsfähigkeit: Transit Gateway kann auch an Direct Connect Gateways und VPNs SD-WAN-Appliances von Drittanbietern angeschlossen werden

  • Anpassungsfähigkeit: Flexible Architektur, z. B. Hinzufügen einer Inspektions-VPC

  • Anpassungsfähigkeit: Support für transitives Routing

  • Anpassungsfähigkeit: Kann interregionale und interregionale Transit-Gateways miteinander verbinden

  • Anpassungsfähigkeit: Support für IPv6

  • TCO: AWS Transit Gateway ist ein vollständig verwalteter Service, der weniger Betriebsaufwand erfordert

  • Gesamtbetriebskosten: Die Gesamtbetriebskosten steigen linear mit jedem weiteren Transit-Gateway-Anschluss

Im Folgenden sind die Nachteile dieses Ansatzes aufgeführt:

  • Einfache Integration: Die Routing-Konfiguration erfordert fortgeschrittene Netzwerkkenntnisse

  • Anpassungsfähigkeit: Keine Unterstützung für überlappende CIDR-Bereiche

  • Gesamtbetriebskosten: Mehraufwand aufgrund der Verwaltung von Routentabelleneinträgen, Sicherheitsgruppenregeln und der Verkehrsinspektion

  • Sicherheit: Strenge Sicherheitskontrollen sind erforderlich, VPCs da beide Parteien vollständig gefährdet sind