Los consumidores de SaaS que operan en AWS - AWS Guía prescriptiva
AWS PrivateLinkAmazon VPC LatticeEmparejamiento de VPCAWS Transit Gateway

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Los consumidores de SaaS que operan en AWS

En esta sección se analizan las opciones de conectividad si tanto usted como sus consumidores operan en el. Nube de AWS Este escenario ofrece la mayor flexibilidad porque muchas se integran de Servicios de AWS forma nativa y porque ambas partes tienen acceso a toda la Servicio de AWS cartera.

El siguiente mapa de valores de red resume la puntuación de cada una de estas opciones para cada métrica de evaluación. Para obtener más información sobre las métricas de evaluación, consulte las métricas de evaluación en esta guía. En el mapa, un cinco representa la mejor puntuación, por ejemplo, el menor TCO, el mejor aislamiento de la red o el menor tiempo de reparación. Para obtener más información sobre cómo leer este gráfico radial, consulte Mapa de valores de redes esta guía.

Gráfico radial que muestra las puntuaciones de cada métrica de evaluación.

El gráfico radial muestra los siguientes valores.

Métrica de evaluación AWS PrivateLink Amazon VPC Lattice Emparejamiento de VPC AWS Transit Gateway
Facilidad de integración 5 5 4 3
TCO 5 5 3 4
Escalabilidad 5 4 1 4
Adaptabilidad 4 5 2 3
Aislamiento de red 5 5 2 3
Observabilidad 4 5 4 4
Es hora de reparar 5 5 5 4

AWS PrivateLinkes la forma más nativa de la nube de integrar una oferta de SaaS. Los proveedores de SaaS pueden alojar sus aplicaciones o bien detrás de un Network Load Balancer. El balanceador de carga de red se integra directamente con un balanceador de carga de aplicaciones, grupos de Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service (Amazon EKS) y Auto Scaling. También es posible enrutar el tráfico desde el Network Load Balancer a los puntos finales de la VPC de interfaz en la cuenta del proveedor de SaaS. Esto le ayuda a usar una API para llegar a las aplicaciones, por ejemplo, a través de Amazon API Gateway o AWS AppSync. Si tu aplicación requiere acceso a recursos del entorno del cliente que no tienen un equilibrio de carga, como una base de datos, puedes usar puntos finales de VPC de recursos.

AWS PrivateLink admite un ancho de banda de hasta 100 Gbps por zona de disponibilidad. El siguiente diagrama muestra una configuración básica con algunas posibles integraciones. Conecta dos cuentas de consumidor a la cuenta del proveedor de SaaS a través de. AWS PrivateLink Hay puntos finales de servicio en las cuentas de los consumidores y un Network Load Balancer en la cuenta del proveedor de SaaS.

Configuración básica para integraciones opcionales AWS PrivateLink .

Los siguientes son beneficios de este enfoque:

  • Facilidad de integración: no es necesario cambiar la tabla de enrutamiento

  • Facilidad de integración: puede ofrecer servicios de punto final a través de AWS Marketplace

  • Facilidad de integración: los puntos de conexión de VPC admiten nombres DNS fáciles de entender

  • Escalabilidad: puede ampliarse a miles de consumidores de SaaS

  • Adaptabilidad: Support para rangos CIDR superpuestos

  • Adaptabilidad: Support for IPv6

  • Adaptabilidad: soporte interregional

  • TCO: AWS PrivateLink es un servicio totalmente gestionado, por lo que requiere menos esfuerzo operativo

  • Aislamiento de la red: beneficio de seguridad para el consumidor de SaaS porque el tráfico no puede iniciarse desde el proveedor de SaaS

  • Aislamiento de la red: beneficio de seguridad para el proveedor de SaaS porque no expone una subred o VPC completa

Los inconvenientes de este enfoque son los siguientes:

  • Adaptabilidad: el proveedor de SaaS debe usar las mismas zonas de disponibilidad que el consumidor

  • Adaptabilidad: Support solo para conexiones iniciadas por el cliente y se requieren puntos finales de VPC de recursos para la comunicación iniciada por el servicio

  • Adaptabilidad: Network Load Balancer es la única integración directa para AWS PrivateLink

Compartir un servicio de Amazon VPC Lattice

Para utilizar Amazon VPC Lattice como opción de conectividad para su aplicación SaaS, primero debe crear uno o más servicios de VPC Lattice que representen los componentes de la aplicación SaaS. Usted configura los oyentes y las reglas de enrutamiento para dirigir el tráfico a sus destinos de backend, como instancias, contenedores o funciones de Amazon EC2. AWS Lambda Para obtener más información, consulte Conexión de servicios SaaS dentro de una red de servicios de VPC Lattice AWS (entrada del blog). Desde el punto de vista conceptual, es casi lo mismo que configurar un Application Load Balancer. Luego, comparte su servicio SaaS de forma segura con los clientes Cuentas de AWS o las organizaciones mediante AWS Resource Access Manager (AWS RAM), especificando los permisos que tienen. Una vez que los clientes acepten el recurso compartido, pueden asociar su servicio SaaS a sus redes de servicios VPC Lattice existentes o recién creadas para permitir la comunicación. service-to-service

Cada servicio de VPC Lattice puede admitir hasta 10 Gbps y 10 000 solicitudes por segundo por zona de disponibilidad. Al implementar políticas de autenticación, sus clientes pueden tener un control detallado sobre qué servicios y recursos pueden acceder a la aplicación SaaS. Puede usar pasarelas de recursos para acceder a los recursos que requieren una conexión TCP. Por ejemplo, puede ser un clúster de Amazon EKS que usted administre o un recurso administrado por el cliente al que su aplicación necesite acceder. Para obtener más información sobre el uso de pasarelas de recursos para las ofertas de SaaS, consulte Ampliar las capacidades de SaaS AWS PrivateLink al Cuentas de AWS uso del soporte para los recursos de VPC (entrada del blog).AWS

El siguiente diagrama muestra una configuración de entramado de VPC de alto nivel con algunos ejemplos de integraciones. Utiliza redes de servicios gestionadas por el cliente para acceder a la aplicación SaaS.

Configuración básica para Amazon VPC Lattice con integraciones opcionales.

Los siguientes son beneficios de este enfoque:

  • Facilidad de integración: no es necesario cambiar la tabla de enrutamiento

  • Facilidad de integración: detección de servicios lista para usar

  • Escalabilidad: puede ampliarse a miles de consumidores de SaaS

  • Adaptabilidad: Support para rangos CIDR superpuestos

  • Adaptabilidad: Support for IPv6

  • Adaptabilidad: se integra con cualquier servicio de AWS cómputo como un servicio de VPC Lattice

  • TCO: VPC Lattice es un servicio totalmente gestionado, por lo que requiere menos esfuerzo operativo

  • TCO: equilibrio de carga integrado con enrutamiento de tráfico avanzado

  • Aislamiento de la red: autorización detallada con políticas de autenticación

  • Aislamiento de la red: beneficio de seguridad para el consumidor de SaaS porque el tráfico no puede iniciarse desde el proveedor de SaaS

  • Aislamiento de la red: beneficio de seguridad para el proveedor de SaaS porque no se expone una subred o VPC completa

Los inconvenientes de este enfoque son los siguientes:

  • Adaptabilidad: Support solo para conexiones iniciadas por el cliente y se requieren pasarelas de recursos para la comunicación iniciada por el servicio

  • Adaptabilidad: no es compatible con otras regiones

Creación de conexiones de emparejamiento de VPC

Cuando se utiliza la interconexión de VPC para conectar la VPC del proveedor de SaaS con la VPC del consumidor, ambas partes pueden iniciar las conexiones. Esto requiere una configuración adecuada de los grupos de seguridad, los firewalls y las listas de control de acceso a la red () en ambas cuentas. NACLs De lo contrario, el tráfico no deseado podría entrar en la red a través de la conexión de interconexión. Puede usar los grupos de seguridad para hacer referencia a los grupos de seguridad desde los grupos de seguridad interconectados VPCs. Esto puede ayudarle a controlar el acceso a su aplicación, ya que los grupos de seguridad que incluyen listas de usuarios permitidos proporcionan un control de acceso más explícito y detallado en comparación con las direcciones IP que sí están permitidas.

Con la interconexión de VPC, se puede acceder a la oferta de SaaS a través de un servicio o recurso implementado en la VPC. La mayoría de las aplicaciones SaaS se basan en un Application Load Balancer o Network Load Balancer. AWS AppSync private APIs o Amazon API Gateway private APIs son otros puntos de entrada comunes a las aplicaciones SaaS, ya que pueden ser un objetivo a través de una conexión de pares a través de los puntos de enlace de la interfaz de VPC.

Tras establecer una conexión de emparejamiento, debe actualizar las tablas de rutas de ambas cuentas para definir VPCs la conexión de emparejamiento como el siguiente salto del rango CIDR correspondiente. Esta solución se recomienda solo para los proveedores de SaaS que tienen pocos consumidores, ya que la gestión de varias conexiones entre pares se vuelve demasiado compleja rápidamente.

El siguiente diagrama muestra una configuración básica con algunas posibles integraciones. VPCs en dos cuentas de consumidores, tienen una conexión de emparejamiento con una VPC en la cuenta del proveedor de SaaS.

Configuración básica de las conexiones de emparejamiento de VPC entre varias cuentas.

Los siguientes son beneficios de este enfoque:

  • Tiempo de reparación: no existe un punto único de fallo en la comunicación

  • Escalabilidad: sin limitaciones de ancho de banda en comparación con la interconexión de VPC

  • TCO: la conexión de emparejamiento o el tráfico a través de la conexión de emparejamiento dentro de la misma zona de disponibilidad son gratuitos

  • TCO: no hay infraestructura que administrar

  • Adaptabilidad: Support for IPv6

  • Adaptabilidad: se admite la interconexión interregional

Los inconvenientes de este enfoque son los siguientes:

  • Adaptabilidad: no se admite el enrutamiento transitivo

  • Adaptabilidad: no se admiten rangos de CIDR superpuestos

  • Escalabilidad: escalabilidad limitada (máximo 125 conexiones de emparejamiento por VPC)

  • TCO: la complejidad crece exponencialmente con cada conexión de emparejamiento adicional

  • TCO: gastos generales derivados de la administración de las tablas de rutas, las propias conexiones entre pares, las reglas de los grupos de seguridad y la inspección del tráfico

  • Aislamiento de la red: se requieren controles de seguridad estrictos porque ambas partes VPCs están expuestas en su totalidad

Conectarse VPCs con AWS Transit Gateway

Cuando te conectas VPCs AWS Transit Gateway, crea adjuntos de VPC e implementa interfaces de red en las subredes de cada zona de disponibilidad que deberían enrutar el tráfico hacia y desde la VPC. Se recomienda tener una /28 subred dedicada en cada zona de disponibilidad para el adjunto de la VPC. Para obtener más información, consulte las prácticas recomendadas de diseño de Amazon VPC Transit Gateways. VPCs Necesitan una tabla de rutas actualizada para enviar el tráfico a través de la interfaz de red implementada y las tablas de rutas de Transit Gateway deben actualizarse en consecuencia. En una configuración de varios inquilinos, desea que la VPC del proveedor de SaaS tenga una ruta a la de todos los consumidores. VPCs El consumidor VPCs debe tener una ruta únicamente hacia la VPC del proveedor de SaaS.

Transit Gateway tiene un diseño de alta disponibilidad. Admite la supervisión con registros de flujo de VPC y el ancho de banda máximo para un adjunto de Transit Gateway es de 100 Gbps por zona de disponibilidad. Al igual que la interconexión de VPC, este enfoque permite hacer referencia a grupos de seguridad entre VPC, lo que simplifica el control de acceso entre los entornos.

Hay dos opciones principales para conectar a los consumidores con su oferta de SaaS con Transit Gateway.

Opción 1: usar RAM

En la primera opción, el proveedor de servicios comparte la Transit Gateway con los consumidores mediante AWS Resource Access Manager (AWS RAM). Esto permite a los consumidores implementar los archivos adjuntos de la VPC en sus propias cuentas. El siguiente diagrama muestra esta opción en un nivel superior.

Los consumidores instalan adjuntos a Transit Gateway en sus VPCs.

Opción 2: pasarelas de tránsito interconectadas

La segunda opción es vincular tu pasarela de transporte público con una pasarela de transporte público en las cuentas de los consumidores. Esto proporciona a los consumidores más flexibilidad, ya que ahora pueden controlar completamente las tablas de rutas dentro de su pasarela de transporte público. Por ejemplo, podrían configurar una inspección centralizada entre el servicio y sus cargas de trabajo. Una desventaja de esta opción es que solo se admite el enrutamiento estático entre las pasarelas de tránsito. El siguiente diagrama muestra esta opción en un nivel alto.

Los consumidores y el proveedor de SaaS crean pasarelas de tránsito entre pares.

Los siguientes son beneficios de este enfoque:

  • Escalabilidad: Support para hasta 5000 archivos adjuntos

  • Escalabilidad: un solo lugar para administrar y monitorear todas las conexiones VPCs

  • Adaptabilidad: Transit Gateway también se puede conectar a VPNs Direct Connect pasarelas y dispositivos SD-WAN de terceros

  • Adaptabilidad: arquitectura flexible, como añadir una VPC de inspección

  • Adaptabilidad: Support for transitive routing

  • Adaptabilidad: ¿Pueden emparejarse las pasarelas de tránsito intrarregionales e interregionales

  • Adaptabilidad: Support for IPv6

  • TCO: AWS Transit Gateway es un servicio totalmente gestionado, por lo que requiere menos esfuerzo operativo

  • TCO: el TCO crece de forma lineal con cada conexión adicional a la pasarela de tránsito

Los inconvenientes de este enfoque son los siguientes:

  • Facilidad de integración: la configuración del enrutamiento requiere conocimientos avanzados de redes

  • Adaptabilidad: no se admiten rangos de CIDR superpuestos

  • TCO: sobrecarga derivada de la administración de las entradas de las tablas de rutas, las reglas de los grupos de seguridad y la inspección del tráfico

  • Seguridad: se requieren controles de seguridad estrictos porque ambas partes están expuestas en su totalidad VPCs