Konsumen layanan yang beroperasi di tempat - AWS Bimbingan Preskriptif
AWS Site-to-Site VPNAWS Direct ConnectArsitektur VPC TransitInternet publik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsumen layanan yang beroperasi di tempat

Bagian ini membahas opsi konektivitas antara beban kerja SaaS di AWS Cloud pusat data lokal dan SaaS. Banyak konsumen dengan persyaratan lokal, terutama di tingkat perusahaan, melihat cloud sebagai perpanjangan dari jaringan fisik mereka, dan mereka ingin mencerminkan hal itu dalam arsitektur mereka. Itu berarti konektivitas pribadi ke penawaran SaaS di cloud, baik melalui terowongan logis atau bahkan melalui koneksi fisik pribadi. Konsumen lain akan menerima konektivitas melalui internet publik, yang juga dibahas dalam bagian ini.

Peta nilai jaringan berikut merangkum bagaimana masing-masing opsi ini mendapat skor untuk setiap metrik evaluasi. Untuk informasi selengkapnya tentang metrik evaluasi, lihat Metrik evaluasi dalam panduan ini. Dalam peta, lima mewakili skor terbaik, seperti TCO terendah, isolasi jaringan terbaik, atau waktu terendah untuk memperbaiki. Untuk informasi lebih lanjut tentang cara membaca bagan radar ini, lihat Peta nilai jaringan di panduan ini.

catatan

Opsi VPC transit yang dikelola penyedia dikecualikan karena skornya sangat bergantung pada layanan mana yang dioperasikan.

Bagan radar yang menunjukkan skor untuk setiap metrik evaluasi.

Bagan radar menunjukkan nilai-nilai berikut.

Metrik evaluasi

AWS Site-to-Site VPN

AWS Direct Connect

VPC transit yang dikelola konsumen

Akses internet publik

Kemudahan integrasi

3

1

4

5

TCO

2

1

5

4

Skalabilitas

3

1

5

5

Kemampuan beradaptasi

3

2

4

5

Isolasi jaringan

3

4

5

1

Observabilitas

3

4

5

5

Waktu untuk memperbaiki

3

2

5

5

Menghubungkan dengan AWS Site-to-Site VPN

AWS Site-to-Site VPNkoneksi dapat berakhir baik pada gateway pribadi virtual atau gateway transit. Gateway pribadi virtual adalah titik akhir VPN di AWS sisi koneksi Site-to-Site VPN Anda yang dapat dilampirkan ke satu VPC. Transit Gateway adalah hub transit yang dapat digunakan untuk menghubungkan beberapa VPCs dan jaringan lokal. Ini juga dapat digunakan sebagai titik akhir VPN untuk AWS sisi koneksi Site-to-Site VPN. Bagian ini membahas kedua opsi.

Koneksi melalui gateway pribadi virtual

Setelah Anda membuat gateway pribadi virtual, Anda melampirkannya ke VPC yang berisi penawaran SaaS Anda. Kemudian, Anda mengaktifkan propagasi rute untuk menyebarkan rute VPN ke tabel rute VPC. Rute tersebut dapat berupa rute dinamis statis atau BGP yang diiklankan.

Untuk ketersediaan tinggi, koneksi Site-to-Site VPN memiliki dua terowongan VPN yang berakhir di dua Availability Zone di AWS samping. Jika salah satu menjadi tidak tersedia, terowongan kedua dapat mengambil alih. Sebuah terowongan tunggal memungkinkan bandwidth maksimum 1,25 Gbps. Karena virtual private gateway tidak mendukung equal-cost multi-path routing (ECMP), Anda hanya dapat menggunakan satu terowongan pada satu waktu.

Untuk meningkatkan toleransi kesalahan, Anda dapat mengatur koneksi VPN kedua ke gateway pelanggan fisik kedua. Setelah koneksi dibuat, konsumen dapat mencapai sumber daya di VPC penyedia SaaS.

Diagram berikut menunjukkan arsitektur ini.

Koneksi dari pusat data lokal ke AWS Cloud melalui gateway virtual.

Berikut ini adalah manfaat dari pendekatan ini:

  • Saatnya memperbaiki: Failover terkelola ke terowongan VPN sekunder

  • Observabilitas: Integrasi untuk pemantauan aktif terkelola dengan menggunakan Network Synthetic Monitor

  • Kemudahan integrasi: Dukungan perutean dinamis melalui BGP

  • Adaptabilitas: Kompatibilitas dengan sebagian besar peralatan jaringan lokal

  • Kemampuan beradaptasi: dukungan IPv6

  • TCO: AWS Site-to-Site VPN adalah layanan yang dikelola sepenuhnya, sehingga membutuhkan lebih sedikit upaya operasional

  • TCO: Tidak ada biaya untuk gateway virtual, meskipun ada biaya untuk dua alamat publik IPv4 di masing-masing

  • Isolasi jaringan: Memungkinkan komunikasi pribadi yang aman melalui internet

Berikut ini adalah kelemahan dari pendekatan ini:

  • Kemudahan integrasi: Konsumen harus mengkonfigurasi gateway pelanggan mereka

  • Skalabilitas: Kurangnya dukungan ECMP membatasi bandwidth hingga 1,25 Gbps per gateway virtual

  • Skalabilitas: Penskalaan terbatas karena peningkatan kompleksitas jaringan dan overhead operasional

  • Adaptabilitas: IPv6 dukungan hanya untuk alamat IP bagian dalam terowongan VPN

  • Kemampuan beradaptasi: Tidak ada perutean transitif

  • TCO: Overhead operasional untuk memelihara, mengelola, dan mengonfigurasi berbagai koneksi VPN untuk penyedia SaaS

Koneksi melalui gateway transit

Koneksi melalui gateway transit mirip dengan gateway virtual. Namun, ada beberapa perbedaan yang perlu diingat.

Pertama, rute untuk lampiran VPN dapat secara otomatis disebarkan dalam tabel rute gateway transit, tetapi Anda harus menambahkan rute secara manual ke yang terlampir VPCs.

Dibandingkan dengan gateway virtual, Transit Gateway mendukung ECMP. Jika gateway pelanggan mendukung ECMP, ia dapat menggunakan kedua terowongan untuk mencapai total throughput maksimum 2,5 Gbps. Anda dapat membuat beberapa koneksi antara jaringan lokal yang sama ke gateway transit. Dengan menggunakan pendekatan ini, Anda dapat meningkatkan bandwidth maksimum hingga 2,5 Gbps per koneksi.

Diagram berikut menunjukkan arsitektur ini.

Koneksi dari pusat data lokal ke gateway transit AWS Cloud melalui.

Berikut ini adalah manfaat dari pendekatan ini:

  • Saatnya memperbaiki: Failover terkelola ke terowongan VPN sekunder

  • Observabilitas: Integrasi untuk pemantauan aktif terkelola dengan menggunakan Network Synthetic Monitor

  • Kemudahan integrasi: Dukungan perutean dinamis melalui BGP

  • Skalabilitas: Dukungan ECMP memungkinkan penskalaan throughput VPN untuk memenuhi persyaratan bandwidth yang besar

  • Skalabilitas: Sejumlah besar koneksi VPN yang didukung oleh gateway transit tunggal (hingga hampir 5.000)

  • Skalabilitas: Satu tempat untuk mengelola dan memantau semua koneksi VPN

  • Adaptabilitas: Kompatibilitas dengan sebagian besar peralatan jaringan lokal

  • Kemampuan beradaptasi: dukungan IPv6

  • Kemampuan beradaptasi: Mewarisi fleksibilitas AWS Transit Gateway

  • TCO: AWS Transit Gateway adalah layanan yang dikelola sepenuhnya, sehingga membutuhkan lebih sedikit upaya operasional

  • TCO: Tidak ada biaya untuk gateway virtual, meskipun ada biaya untuk dua alamat publik IPv4 di masing-masing

  • Isolasi jaringan: Memungkinkan komunikasi pribadi yang aman melalui internet

Berikut ini adalah kelemahan dari pendekatan ini:

  • Kemudahan integrasi: Konsumen harus mengkonfigurasi gateway pelanggan mereka

  • Skalabilitas: Penskalaan terbatas karena peningkatan kompleksitas jaringan dan overhead operasional

  • Adaptabilitas: IPv6 dukungan hanya untuk alamat IP bagian dalam terowongan VPN

  • TCO: Overhead operasional untuk memelihara, mengelola, dan mengonfigurasi berbagai koneksi VPN untuk penyedia SaaS

  • TCO: Biaya tambahan untuk penggunaan AWS Transit Gateway

  • TCO: Kompleksitas tambahan mengelola tabel rute gateway transit

Menghubungkan dengan AWS Direct Connect

AWS Direct Connectmenghubungkan jaringan internal Anda ke Direct Connect lokasi melalui kabel serat optik Ethernet standar. Berbeda dengan opsi arsitektur lainnya, koneksi khusus tidak dapat dibuat dalam beberapa menit. Sebaliknya, proses ini bisa memakan waktu hingga beberapa hari jika semua persyaratan terpenuhi. Jika tidak, mungkin butuh waktu lebih lama. Oleh karena itu, kami menyarankan agar Anda menghubungi tim AWS akun Anda atau AWS Dukungan untuk bantuan dengan pendekatan ini. Secara opsional, Anda dapat memilih koneksi host yang disediakan oleh AWS Mitra dan dibagikan dengan pelanggan lain. Arsitekturnya sama. Anda dapat memilih Direct Connect karena mengurangi latensi, meningkatkan bandwidth, atau mematuhi persyaratan peraturan.

Untuk menggunakan Direct Connect koneksi, konsumen harus membuat antarmuka virtual publik, pribadi, atau transit. Ada berbagai pilihan arsitektur yang tersedia. Yang paling fleksibel untuk menghubungkan beberapa lokasi lokal ke lokasi AWS Cloud adalah antarmuka virtual transit yang terhubung ke Direct Connect gateway. Direct Connect Gateway adalah komponen logis global yang memungkinkan penyedia layanan untuk menghubungkan hingga enam gateway transit ke sana. Selanjutnya, Anda dapat menghubungkan hingga 30 antarmuka virtual ke gateway. Untuk skala, Anda dapat membuat Direct Connect gateway tambahan. Di akun penyedia SaaS, gateway transit kemudian dilampirkan ke VPCs, seperti yang dijelaskan sebelumnya.

Konsumen dapat terhubung menggunakan satu hingga empat Direct Connect koneksi dari total satu atau dua Direct Connect lokasi, tergantung pada tingkat ketahanan yang diinginkan. Untuk informasi selengkapnya, lihat Mengkonfigurasi Direct Connect untuk ketahanan maksimum. AWS Site-to-Site VPN Koneksi melalui internet mungkin juga berfungsi sebagai jalur cadangan berbiaya lebih rendah untuk koneksi Direct Connect . Koneksi Direct Connect khusus yang didukung dapat digunakan MACsecuntuk mengenkripsi tautan pada Lapisan 2 antara Direct Connect lokasi dan pusat data. Adalah umum untuk memiliki koneksi Site-to-Site VPN untuk kerahasiaan tambahan data. Koneksi Site-to-Site VPN dapat berakhir pada gateway transit dengan menggunakan lampiran VPN normal. Diagram berikut menunjukkan arsitektur ini.

Koneksi dari pusat data lokal ke AWS Cloud melalui AWS Direct Connect.

Berikut ini adalah manfaat dari pendekatan ini:

  • Observabilitas: Integrasi untuk pemantauan aktif terkelola dengan menggunakan Network Synthetic Monitor

  • Skalabilitas: Dukungan untuk peningkatan throughput bandwidth

  • Kemampuan beradaptasi: dukungan IPv6

  • TCO: Potensi untuk mengurangi transfer data

  • TCO: Pengalaman jaringan yang konsisten

  • Isolasi jaringan: Konektivitas pribadi yang dapat memenuhi persyaratan peraturan

Berikut ini adalah kelemahan dari pendekatan ini:

  • Kemudahan integrasi: Waktu dan upaya manual untuk mengatur

  • Skalabilitas: Skalabilitas terbatas di luar puluhan Direct Connect koneksi karena ada beberapa kuota untuk dilacak

  • Kemampuan beradaptasi: Opsi konfigurasi bergantung pada lokasi yang tersedia Direct Connect

  • TCO: Direct Connect Pemeliharaan terjadwal dapat menyebabkan downtime yang memerlukan tindakan

Menghubungkan dengan arsitektur VPC transit

Transit VPC adalah opsi arsitektur yang memberikan fleksibilitas kepada konsumen tentang cara terhubung AWS, dan memungkinkan penyedia SaaS mendapat manfaat dari memiliki akses terpadu ke layanan mereka melalui. AWS PrivateLink Konsumen terhubung dari tempat ke VPC transit yang hanya berisi titik masuk (seperti gateway pribadi virtual) dan titik akhir VPC antarmuka, yang merupakan sumber daya. AWS PrivateLink Transit VPCs harus dimiliki oleh penyedia SaaS atau oleh konsumen. Bagian ini membahas kedua opsi.

Anda dapat membuat VPC transit dan subnet dengan rentang CIDR yang kompatibel dengan pusat data lokal. Jika mereka memerlukan konektivitas pribadi, konsumen dapat terhubung ke VPC itu melalui AWS Direct Connect atau. AWS Site-to-Site VPN Anda juga dapat mengonfigurasi akses ke akun transit dari internet publik dengan menggunakan Application Load Balancer atau Network Load Balancer yang mengarah ke titik akhir VPC.

VPC transit yang dikelola konsumen

Dalam pendekatan ini, penyedia SaaS VPCs menyerahkan manajemen transit kepada konsumen. Dari sudut pandang teknis, arsitektur penyedia SaaS sama dengan saat menghubungkan ke konsumen secara menyeluruh. AWS Cloud AWS PrivateLink Dari perspektif penjualan dan produk, ini adalah upaya tambahan karena beberapa konsumen Akun AWS belum memilikinya. Mereka mungkin ragu untuk membuka dan mengoperasikan akun. Penyedia SaaS harus memberikan panduan kepada konsumen mereka tentang cara membuat Akun AWS dan menghubungkan pusat data lokal mereka. Diagram berikut menunjukkan campuran akses publik dan pribadi, di mana konsumen memiliki transit VPCs.

Konsumen mengelola VPC transit di. AWS Cloud

Berikut ini adalah manfaat dari pendekatan ini:

  • Waktu untuk memperbaiki: Overhead operasional sebagian besar diturunkan ke konsumen SaaS

  • Kemampuan beradaptasi: Konsumen SaaS dapat memilih dari berbagai opsi akses

  • Kemampuan beradaptasi: Tidak ada konflik rentang CIDR, bahkan saat menggunakan VPN atau Site-to-Site Direct Connect

  • Semua metrik: Penyedia layanan mewarisi manfaat AWS PrivateLink

Berikut ini adalah kelemahan dari pendekatan ini:

  • Kemudahan integrasi: Konsumen SaaS membutuhkan setidaknya satu Akun AWS

  • TCO: VPC transit adalah arsitektur, bukan layanan yang dikelola sepenuhnya, sehingga membutuhkan lebih banyak upaya operasional

VPC transit yang dikelola penyedia

Pendekatan ini menggunakan teknologi yang sama, tetapi batasan akun dan tanggung jawab berubah. Di sini, penyedia SaaS memiliki transit VPCs, lebih disukai di akun terpisah dari penawaran SaaS. Decoupling ini mengurangi biaya, mengurangi risiko, dan memungkinkan akun transit untuk menskalakan secara independen. Untuk lingkungan yang memerlukan isolasi tingkat tinggi, Anda dapat membuat pemisahan tambahan antar penyewa dengan menggunakan subnet atau dengan membuat VPC transit terpisah untuk setiap konsumen. Konsumen kemudian dapat memilih cara terhubung ke VPC transit. Pendekatan ini memberikan lebih banyak opsi untuk memperluas total pasar yang dapat dialamatkan, tetapi memiliki TCO yang lebih tinggi untuk penyedia SaaS karena kebutuhan untuk mengoperasikan dan memantau komponen arsitektur tambahan.

Penyedia SaaS mengelola satu atau lebih transit VPCs di. AWS Cloud

Berikut ini adalah manfaat dari pendekatan ini:

  • Kemampuan beradaptasi: Konsumen SaaS dapat memilih dari berbagai opsi akses

  • Kemampuan beradaptasi: Konsumen SaaS tidak perlu memiliki Akun AWS

  • Kemampuan beradaptasi: Tidak ada konflik rentang CIDR, bahkan saat menggunakan VPN atau Site-to-Site Direct Connect

Berikut ini adalah kelemahan dari pendekatan ini:

  • TCO: VPC transit adalah arsitektur, bukan layanan yang dikelola sepenuhnya, sehingga membutuhkan lebih banyak upaya operasional

  • TCO: Penyedia SaaS perlu mengoperasikan dan memantau komponen arsitektur tambahan

Menghubungkan melalui internet publik

Akses internet publik juga merupakan pilihan yang valid untuk menyediakan akses ke penawaran SaaS, meskipun tidak menawarkan konektivitas pribadi dalam pengertian tradisional. Beberapa konsumen mungkin masih lebih memilih pendekatan akses publik karena tidak memerlukan infrastruktur jaringan tambahan antara mereka dan penyedia SaaS. Ini mengurangi kompleksitas, biaya, dan waktu integrasi dengan imbalan permukaan serangan yang meningkat. Mekanisme otentikasi dan otorisasi yang kuat dapat membantu mengurangi tingkat ancaman yang meningkat, dan Anda harus selalu mengenkripsi lalu lintas. Masih disarankan agar Anda memiliki lapisan keamanan tambahan dalam skenario ini, seperti dengan menggunakan AWS WAF.

Arsitektur dalam skenario ini sangat mudah. Konsumen terhubung ke host publik (penyedia SaaS) melalui internet. Aplikasi ini dapat di-host langsung di instance Amazon Elastic Compute Cloud (Amazon EC2) publik dengan alamat IP Elastis. Opsi yang lebih disukai adalah meng-hostingnya di belakang Application Load Balancer atau layanan serupa. Untuk kinerja yang lebih baik dan caching aset statis, Anda dapat menggunakan jaringan pengiriman konten, seperti Amazon CloudFront. Untuk menyajikan aplikasi dengan latensi minimum pada dua alamat IP Anycast statis global, Anda dapat menempatkan AWS Global Acceleratordi depan instans Amazon EC2, Network Load Balancer, atau Application Load Balancer. Selain itu CloudFront, Application Load Balancers, AWS AppSync, dan Amazon API Gateway semuanya terintegrasi dengan. AWS WAF Diagram berikut memberikan gambaran umum tentang opsi konektivitas akses internet publik.

Konektivitas ke penawaran SaaS melalui internet publik.

Tabel berikut menjelaskan protokol dan integrasi yang didukung untuk skenario ini.

Layanan atau sumber daya

IPv6

AWS WAF integrasi

Bisa menjadi titik akhir Global Accelerator

Amazon CloudFront

Didukung

Didukung

Tidak Support

Amazon API Gateway

Didukung

Didukung

Tidak Support

AWS AppSync

Sebagian didukung

Didukung

Tidak Support

Amazon EC2 dengan alamat IP Elastis

Didukung

Tidak didukung

Didukung

Penyeimbang Beban Aplikasi

Didukung

Didukung

Didukung

Penyeimbang Beban Jaringan

Didukung

Tidak didukung

Didukung

Berikut ini adalah manfaat dari pendekatan ini:

  • Kemudahan integrasi: Kesederhanaan dan aksesibilitas

  • Skalabilitas: Skala tidak terbatas

  • Kemampuan beradaptasi: Tidak ada konflik rentang CIDR yang mungkin

  • Kemampuan beradaptasi: dukungan CloudFront

Berikut ini adalah kelemahan dari pendekatan ini:

  • Isolasi jaringan: Tidak ada konektivitas pribadi

  • Isolasi jaringan: Diperlukan langkah-langkah keamanan yang kuat

Manfaat dan kerugian lain berlaku, tergantung pada layanan yang Anda pilih.