Consumatori di servizi che operano in sede - AWS Guida prescrittiva
AWS Site-to-Site VPNAWS Direct ConnectArchitettura Transit VPCInternet pubblico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consumatori di servizi che operano in sede

Questa sezione illustra le opzioni di connettività tra i carichi di lavoro SaaS nei data center locali Cloud AWS e quelli locali. Molti consumatori con requisiti locali, in particolare a livello aziendale, vedono il cloud come un'estensione della loro rete fisica e vogliono rifletterli nella loro architettura. Ciò significa connettività privata all'offerta SaaS nel cloud, tramite tunnel logici o anche tramite una connessione fisica privata. Altri consumatori accetteranno la connettività tramite la rete Internet pubblica, argomento trattato anche in questa sezione.

La seguente mappa dei valori di rete riassume il punteggio di ciascuna di queste opzioni per ogni metrica di valutazione. Per ulteriori informazioni sulle metriche di valutazione, consulta Metriche di valutazione in questa guida. Nella mappa, un cinque rappresenta il punteggio migliore, ad esempio il TCO più basso, il miglior isolamento di rete o il minor tempo di riparazione. Per ulteriori informazioni su come leggere questo grafico radar, Mappa dei valori della rete consulta questa guida.

Nota

L'opzione VPC di transito gestito dal provider è esclusa perché i punteggi dipendono in larga misura dai servizi gestiti.

Grafico radar che mostra i punteggi per ogni metrica di valutazione.

Il grafico radar mostra i seguenti valori.

Metrica di valutazione

AWS Site-to-Site VPN

AWS Direct Connect

VPC di transito gestito dai consumatori

Accesso pubblico a Internet

Facilità di integrazione

3

1

4

5

TCO

2

1

5

4

Scalabilità

3

1

5

5

Adattabilità

3

2

4

5

Isolamento della rete

3

4

5

1

Osservabilità

3

4

5

5

È ora di riparare

3

2

5

5

Connettersi con AWS Site-to-Site VPN

AWS Site-to-Site VPNle connessioni possono terminare su un gateway privato virtuale o su un gateway di transito. Un gateway privato virtuale è l'endpoint VPN sul AWS lato della connessione Site-to-Site VPN che può essere collegato a un singolo VPC. Un gateway di transito è un hub di transito che può essere utilizzato per interconnettere più reti locali VPCs . Può essere utilizzato anche come endpoint VPN per il AWS lato della Site-to-Site connessione VPN. Questa sezione illustra entrambe le opzioni.

Connessione tramite un gateway privato virtuale

Dopo aver creato un gateway privato virtuale, lo colleghi al VPC che contiene la tua offerta SaaS. Quindi, abiliti la propagazione delle rotte per propagare le rotte VPN alla tabella delle rotte VPC. Questi percorsi possono essere statici o dinamici pubblicizzati da BGP.

Per garantire un'elevata disponibilità, una connessione Site-to-Site VPN dispone di due tunnel VPN che terminano lateralmente in due zone di disponibilità. AWS Se uno diventa non disponibile, il secondo tunnel può prendere il sopravvento. Un singolo tunnel consente una larghezza di banda massima di 1,25 Gbps. Poiché i gateway privati virtuali non supportano il routing multipercorso (ECMP) a costo uguale, è possibile utilizzare solo un tunnel alla volta.

Per aumentare la tolleranza agli errori, è possibile configurare una seconda connessione VPN a un secondo gateway fisico per il cliente. Una volta stabilita la connessione, il consumatore può accedere alle risorse nel VPC del provider SaaS.

Il diagramma seguente mostra questa architettura.

Connessioni dai data center locali Cloud AWS tramite un gateway virtuale.

I vantaggi di questo approccio sono i seguenti:

  • Tempo di riparazione: failover gestito sul tunnel VPN secondario

  • Osservabilità: integrazione per il monitoraggio attivo gestito utilizzando Network Synthetic Monitor

  • Facilità di integrazione: supporto per il routing dinamico tramite BGP

  • Adattabilità: compatibilità con la maggior parte delle apparecchiature di rete locali

  • Adattabilità: supporto IPv6

  • TCO: AWS Site-to-Site VPN è un servizio completamente gestito, quindi richiede meno sforzi operativi

  • TCO: nessun costo per i gateway virtuali, sebbene siano previsti costi per i due indirizzi pubblici IPv4 su ciascuno

  • Isolamento della rete: consente comunicazioni private sicure tramite Internet

Di seguito sono riportati gli svantaggi di questo approccio:

  • Facilità di integrazione: il consumatore deve configurare il proprio gateway per il cliente

  • Scalabilità: la mancanza del supporto ECMP limita la larghezza di banda a 1,25 Gbps per gateway virtuale

  • Scalabilità: scalabilità limitata dovuta alla maggiore complessità della rete e al sovraccarico operativo

  • Adattabilità: IPv6 supporto solo per gli indirizzi IP interni dei tunnel VPN

  • Adattabilità: nessun routing transitivo

  • TCO: sovraccarico operativo per mantenere, gestire e configurare numerose connessioni VPN per il provider SaaS

Connessione tramite un gateway di transito

Le connessioni tramite gateway di transito sono simili ai gateway virtuali. Tuttavia, ci sono alcune differenze da tenere a mente.

Innanzitutto, le route per l'allegato VPN possono essere propagate automaticamente all'interno della tabella delle rotte del gateway di transito, ma è necessario aggiungere manualmente le rotte all'allegato VPCs.

Rispetto a un gateway virtuale, Transit Gateway supporta ECMP. Se il gateway del cliente supporta ECMP, può utilizzare entrambi i tunnel per raggiungere un throughput massimo totale di 2,5 Gbps. È possibile stabilire più connessioni tra la stessa rete locale e il gateway di transito. Utilizzando questo approccio, è possibile aumentare la larghezza di banda massima fino a 2,5 Gbps per connessione.

Il diagramma seguente mostra questa architettura.

Connessioni dai data center locali ai gateway di Cloud AWS transito.

I vantaggi di questo approccio sono i seguenti:

  • Tempo di riparazione: failover gestito sul tunnel VPN secondario

  • Osservabilità: integrazione per il monitoraggio attivo gestito utilizzando Network Synthetic Monitor

  • Facilità di integrazione: supporto per il routing dinamico tramite BGP

  • Scalabilità: il supporto ECMP consente di scalare il throughput VPN per soddisfare requisiti di ampia larghezza di banda

  • Scalabilità: gran numero di connessioni VPN supportate da un unico gateway di transito (fino a quasi 5.000)

  • Scalabilità: un unico posto per gestire e monitorare tutte le connessioni VPN

  • Adattabilità: compatibilità con la maggior parte delle apparecchiature di rete locali

  • Adattabilità: supporto IPv6

  • Adattabilità: eredita la flessibilità di AWS Transit Gateway

  • TCO: AWS Transit Gateway è un servizio completamente gestito, quindi richiede meno sforzi operativi

  • TCO: nessun costo per i gateway virtuali, sebbene siano previsti costi per i due indirizzi pubblici IPv4 su ciascuno

  • Isolamento della rete: consente comunicazioni private sicure tramite Internet

Di seguito sono riportati gli svantaggi di questo approccio:

  • Facilità di integrazione: il consumatore deve configurare il proprio gateway per il cliente

  • Scalabilità: scalabilità limitata dovuta alla maggiore complessità della rete e al sovraccarico operativo

  • Adattabilità: IPv6 supporto solo per gli indirizzi IP interni dei tunnel VPN

  • TCO: sovraccarico operativo per mantenere, gestire e configurare numerose connessioni VPN per il provider SaaS

  • TCO: costi aggiuntivi per l'utilizzo di AWS Transit Gateway

  • TCO: ulteriore complessità nella gestione delle tabelle di routing dei gateway di transito

Connessione con AWS Direct Connect

AWS Direct Connectcollega la rete interna a una Direct Connect posizione tramite un cavo Ethernet standard in fibra ottica. A differenza delle altre opzioni di architettura, non è possibile stabilire una connessione dedicata in pochi minuti. Al contrario, questo processo può richiedere fino a diversi giorni se tutti i requisiti sono soddisfatti. In caso contrario, potrebbe volerci più tempo. Pertanto, ti suggeriamo di contattare il team del tuo AWS account o di Supporto AWS chiedere aiuto in merito a questo approccio. Facoltativamente, puoi scegliere una connessione ospitata fornita da un AWS partner e condivisa con altri clienti. L'architettura è la stessa a prescindere. Puoi scegliere Direct Connect perché riduce la latenza, migliora la larghezza di banda o è conforme ai requisiti normativi.

Per utilizzare la Direct Connect connessione, i consumatori devono creare un'interfaccia virtuale pubblica, privata o di transito. Sono disponibili diverse opzioni di architettura. La più flessibile a cui connettere più sedi locali Cloud AWS è un'interfaccia virtuale di transito connessa a un Direct Connect gateway. Un Direct Connect gateway è un componente logico globale che consente al fornitore di servizi di collegare fino a sei gateway di transito ad esso. Inoltre, è possibile connettere fino a 30 interfacce virtuali al gateway. Per motivi di scalabilità, puoi creare Direct Connect gateway aggiuntivi. Nell'account del provider SaaS, i gateway di transito si collegano quindi a VPCs, come descritto in precedenza.

I consumatori possono connettersi utilizzando da una a quattro Direct Connect connessioni da un totale di una o due Direct Connect postazioni, a seconda del livello di resilienza desiderato. Per ulteriori informazioni, consulta Configurazione Direct Connect per la massima resilienza. Una AWS Site-to-Site VPN connessione via Internet può anche fungere da percorso di backup a basso costo per una connessione. Direct Connect Le connessioni Direct Connect dedicate supportate possono essere utilizzate MACsecper crittografare il collegamento sul livello 2 tra la Direct Connect posizione e il data center. È comune disporre di una connessione Site-to-Site VPN per una maggiore riservatezza dei dati. La connessione Site-to-Site VPN può terminare sul gateway di transito utilizzando un normale allegato VPN. Il diagramma seguente mostra questa architettura.

Connessioni dai data center locali alla rete esterna. Cloud AWS AWS Direct Connect

I vantaggi di questo approccio sono i seguenti:

  • Osservabilità: integrazione per il monitoraggio attivo gestito utilizzando Network Synthetic Monitor

  • Scalabilità: Supporto per una maggiore velocità di trasmissione della larghezza di banda

  • Adattabilità: supporto IPv6

  • TCO: possibilità di ridurre il trasferimento dei dati

  • TCO: esperienza di rete coerente

  • Isolamento della rete: connettività privata in grado di soddisfare i requisiti normativi

Di seguito sono riportati gli svantaggi di questo approccio:

  • Facilità di integrazione: tempo e impegno manuale per la configurazione

  • Scalabilità: scalabilità limitata oltre le decine di Direct Connect connessioni perché ci sono più quote da tracciare

  • Adattabilità: le opzioni di configurazione dipendono dalle posizioni disponibili Direct Connect

  • TCO: la Direct Connect manutenzione programmata può causare tempi di inattività che richiedono un intervento

Connessione con un'architettura VPC di transito

Transit VPC è un'opzione di architettura che offre flessibilità ai consumatori su come connettersi e consente ai AWS provider SaaS di trarre vantaggio dall'accesso unificato al proprio servizio tramite. AWS PrivateLink Il consumatore si connette dall'ambiente locale a un VPC di transito che contiene solo un punto di ingresso (come un gateway privato virtuale) e un endpoint VPC di interfaccia, che è una risorsa. AWS PrivateLink Il transito VPCs dovrebbe essere di proprietà del provider SaaS o dei consumatori. Questa sezione illustra entrambe le opzioni.

È possibile creare il VPC di transito e le sottoreti con intervalli CIDR compatibili con il data center locale. Se richiedono una connettività privata, i consumatori possono connettersi a quel VPC tramite AWS Direct Connect o. AWS Site-to-Site VPN Puoi anche configurare l'accesso all'account di transito dalla rete Internet pubblica utilizzando un Application Load Balancer o un Network Load Balancer che punti all'endpoint VPC.

VPC di transito gestito dai consumatori

In questo approccio, il provider SaaS lascia la gestione del VPCs transito ai consumatori. Da un punto di vista tecnico, l'architettura del provider SaaS è la stessa di quando si connette ai consumatori in modalità through. Cloud AWS AWS PrivateLink Dal punto di vista delle vendite e del prodotto, si tratta di uno sforzo aggiuntivo, perché alcuni consumatori non lo hanno Account AWS ancora fatto. Potrebbero essere riluttanti ad aprire e gestire un account. Il provider SaaS dovrebbe fornire indicazioni ai propri consumatori su come creare Account AWS e connettere il proprio data center locale. Il diagramma seguente mostra una combinazione di accesso pubblico e privato, in cui il transito è di proprietà dei consumatori. VPCs

Il consumatore gestisce un VPC di transito in. Cloud AWS

I vantaggi di questo approccio sono i seguenti:

  • Tempo di riparazione: il sovraccarico operativo viene in gran parte trasferito ai consumatori SaaS

  • Adattabilità: i consumatori SaaS possono scegliere tra diverse opzioni di accesso

  • Adattabilità: nessun conflitto nell'intervallo CIDR, anche quando si utilizza VPN o Site-to-Site Direct Connect

  • Tutte le metriche: il fornitore di servizi eredita i vantaggi AWS PrivateLink

Di seguito sono riportati gli svantaggi di questo approccio:

  • Facilità di integrazione: i consumatori SaaS ne richiedono almeno uno Account AWS

  • TCO: un VPC di transito è un'architettura, non un servizio completamente gestito, quindi richiede un maggiore impegno operativo

VPC di transito gestito dal provider

Questo approccio utilizza le stesse tecnologie, ma i confini e le responsabilità degli account cambiano. Qui, il provider SaaS è proprietario del transito VPCs, preferibilmente in un account separato dall'offerta SaaS. Questo disaccoppiamento riduce i costi, riduce i rischi e consente all'account di transito di scalare in modo indipendente. Per gli ambienti che richiedono un elevato grado di isolamento, è possibile creare una separazione aggiuntiva tra i tenant utilizzando una sottorete o creando un VPC di transito separato per ogni consumatore. I consumatori possono quindi scegliere come connettersi al VPC di transito. Questo approccio offre più opzioni per espandere il mercato indirizzabile totale, ma ha un TCO più elevato per il provider SaaS a causa della necessità di gestire e monitorare componenti architettonici aggiuntivi.

Il provider SaaS gestisce uno o più transiti VPCs in. Cloud AWS

I vantaggi di questo approccio sono i seguenti:

  • Adattabilità: i consumatori SaaS possono scegliere tra diverse opzioni di accesso

  • Adattabilità: i consumatori SaaS non hanno bisogno di avere un Account AWS

  • Adattabilità: nessun conflitto nell'intervallo CIDR, anche quando si utilizza VPN o Site-to-Site Direct Connect

Di seguito sono riportati gli svantaggi di questo approccio:

  • TCO: un VPC di transito è un'architettura, non un servizio completamente gestito, quindi richiede un maggiore impegno operativo

  • TCO: il provider SaaS deve gestire e monitorare componenti architettonici aggiuntivi

Connessione tramite Internet pubblico

L'accesso pubblico a Internet è anche un'opzione valida per fornire l'accesso a un'offerta SaaS, sebbene non offra connettività privata nel senso tradizionale. Alcuni consumatori potrebbero comunque preferire un approccio ad accesso pubblico perché non richiede un'infrastruttura di rete aggiuntiva tra loro e il provider SaaS. Riduce la complessità, i costi e i tempi di integrazione in cambio di una maggiore superficie di attacco. Potenti meccanismi di autenticazione e autorizzazione possono aiutare a mitigare l'aumento del livello di minaccia e dovresti sempre crittografare il traffico. Si consiglia comunque di disporre di un ulteriore livello di sicurezza in questo scenario, ad esempio utilizzando. AWS WAF

L'architettura in questo scenario è semplice. Il consumatore si connette a un host pubblico (il provider SaaS) tramite Internet. L'applicazione può essere ospitata direttamente su un'istanza pubblica di Amazon Elastic Compute Cloud (Amazon EC2) con un indirizzo IP elastico. L'opzione preferita è ospitarlo dietro un Application Load Balancer o un servizio simile. Per prestazioni migliori e memorizzazione nella cache delle risorse statiche, puoi utilizzare una rete di distribuzione di contenuti, come Amazon CloudFront. Per servire un'applicazione con una latenza minima su due indirizzi IP Anycast statici globali, puoi posizionarla davanti AWS Global Acceleratora un'istanza Amazon EC2, Network Load Balancer o Application Load Balancer. Inoltre CloudFront, Application Load Balancer e Amazon API Gateway si integrano tutti con. AWS AppSync AWS WAF Il diagramma seguente fornisce una panoramica delle opzioni di connettività per l'accesso pubblico a Internet.

Connettività a un'offerta SaaS tramite la rete Internet pubblica.

La tabella seguente descrive i protocolli e le integrazioni supportati per questo scenario.

Servizio o risorsa

IPv6

AWS WAF integration

Può essere un endpoint di Global Accelerator

Amazon CloudFront

Supportata

Supportata

Non supportata

Gateway Amazon API

Supportata

Supportata

Non supportata

AWS AppSync

Supportato parzialmente

Supportata

Non supportata

Amazon EC2 con un indirizzo IP elastico

Supportata

Non supportata

Supportata

Application Load Balancer

Supportata

Supportato

Supportata

Network Load Balancer

Supportata

Non supportata

Supportata

I vantaggi di questo approccio sono i seguenti:

  • Facilità di integrazione: semplicità e accessibilità

  • Scalabilità: scalabilità illimitata

  • Adattabilità: non sono possibili conflitti di intervallo CIDR

  • Adattabilità: supporto CloudFront

Di seguito sono riportati gli svantaggi di questo approccio:

  • Isolamento della rete: nessuna connettività privata

  • Isolamento della rete: sono necessarie forti misure di sicurezza

Si applicano altri vantaggi e svantaggi, a seconda dei servizi scelti.