기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에서 작동하는 SaaS 소비자 AWS
이 섹션에서는 사용자와 소비자가 모두에서 작동하는 경우의 연결 옵션에 대해 설명합니다 AWS 클라우드. 이 시나리오는 많은가 AWS 서비스 기본적으로 통합되고 양 당사자가 전체 AWS 서비스 포트폴리오에 액세스할 수 있기 때문에 가장 큰 유연성을 제공합니다.
이 섹션에서는 다음 네트워크 액세스 접근 방식에 대해 설명합니다.
다음 네트워킹 값 맵은 각 평가 지표에 대해 이러한 각 옵션의 점수를 요약합니다. 평가 지표에 대한 자세한 내용은이 가이드의 평가 지표를 참조하세요. 맵에서 5는 최저 TCO, 최상의 네트워크 격리 또는 최저 복구 시간과 같은 최고 점수를 나타냅니다. 이 레이더 차트를 읽는 방법에 대한 자세한 내용은이 가이드네트워킹 값 맵의 섹션을 참조하세요.
레이더 차트에는 다음 값이 표시됩니다.
| 평가 지표 | AWS PrivateLink | Amazon VPC Lattice | VPC 피어링 | AWS Transit Gateway |
|---|---|---|---|---|
| 통합 용이성 | 5 | 5 | 4 | 3 |
| TCO | 5 | 5 | 3 | 4 |
| 확장성 | 5 | 4 | 1 | 4 |
| 적응성 | 4 | 5 | 2 | 3 |
| 네트워크 격리 | 5 | 5 | 2 | 3 |
| Observability | 4 | 5 | 4 | 4 |
| 복구 시간 | 5 | 5 | 5 | 4 |
과 AWS PrivateLink통합
AWS PrivateLink는 SaaS 제품을 통합하는 가장 클라우드 네이티브 방법입니다. SaaS 공급자는 Network Load Balancer 뒤에서 애플리케이션을 호스팅할 수 있습니다. Network Load Balancer는 Application Load Balancer, Amazon Elastic Container Service(Amazon ECS), Amazon Elastic Kubernetes Service(Amazon EKS) 및 Auto Scaling 그룹과 직접 통합됩니다. Network Load Balancer에서 SaaS 공급자 계정의 인터페이스 VPC 엔드포인트로 트래픽을 라우팅할 수도 있습니다. 이를 통해 API를 사용하여 Amazon API Gateway
AWS PrivateLink 는 가용 영역당 최대 100Gbps의 대역폭을 지원합니다. 다음 다이어그램은 몇 가지 가능한 통합이 포함된 기본 구성을 보여줍니다. 이를 통해 두 개의 소비자 계정을 SaaS 공급자 계정에 연결합니다 AWS PrivateLink. 소비자 계정에는 서비스 엔드포인트가 있고 SaaS 공급자 계정에는 Network Load Balancer가 있습니다.
이 접근 방식은 다음과 같은 이점이 있습니다.
-
통합 용이성: 라우팅 테이블 변경 필요 없음
-
통합 용이성:를 통해 엔드포인트 서비스를 제공할 AWS Marketplace 수 있습니다.
-
통합 용이성: VPC 엔드포인트가 친숙한 DNS 이름 지원
-
확장성: 수천 명의 SaaS 소비자로 확장할 수 있습니다.
-
적응성: 중복 CIDR 범위 지원
-
적응성: IPv6 지원
-
적응성: 교차 리전 지원
-
TCO: AWS PrivateLink 는 완전 관리형 서비스이므로 운영 작업이 덜 필요합니다.
-
네트워크 격리: SaaS 공급자로부터 트래픽을 시작할 수 없으므로 SaaS 소비자의 보안 이점
-
네트워크 격리: SaaS 공급자가 전체 서브넷 또는 VPC를 노출하지 않기 때문에 SaaS 공급자의 보안 이점
다음은이 접근 방식의 단점입니다.
-
적응성: SaaS 공급자는 소비자와 동일한 가용 영역을 사용해야 합니다.
-
적응성: 서비스 시작 통신에는 클라이언트 시작 연결 및 리소스 VPC 엔드포인트에 대한 지원만 필요합니다.
-
적응성: Network Load Balancer는에 대한 유일한 직접 통합입니다. AWS PrivateLink
Amazon VPC Lattice 서비스 공유
Amazon VPC Lattice를 SaaS 애플리케이션의 연결 옵션으로 사용하려면 먼저 SaaS 애플리케이션 구성 요소를 나타내는 VPC Lattice 서비스를 하나 이상 생성합니다. Amazon EC2 인스턴스, 컨테이너 또는 AWS Lambda 함수와 같은 백엔드 대상으로 트래픽을 전달하도록 리스너 및 라우팅 규칙을 구성합니다. 자세한 내용은 VPC Lattice 서비스 네트워크 내에서 Saas 서비스 연결
각 VPC Lattice 서비스는 가용 영역당 초당 최대 10Gbps 및 10,000개의 요청을 지원할 수 있습니다. 인증 정책을 구현하면 고객은 SaaS 애플리케이션에 액세스할 수 있는 서비스와 리소스를 세밀하게 제어할 수 있습니다. 리소스 게이트웨이를 사용하여 TCP 연결이 필요한 리소스에 액세스할 수 있습니다. 예를 들어 관리하는 Amazon EKS 클러스터이거나 애플리케이션이 액세스해야 하는 고객 관리형 리소스일 수 있습니다. SaaS 제품에 리소스 게이트웨이를 사용하는 방법에 대한 자세한 내용은 VPC 리소스에 대한 AWS PrivateLink 지원을 AWS 계정 사용하여에 SaaS 기능 확장
다음 다이어그램은 일부 예제 통합이 포함된 상위 수준 VPC Lattice 구성을 보여줍니다. 고객 관리형 서비스 네트워크를 사용하여 SaaS 애플리케이션에 액세스합니다.
이 접근 방식은 다음과 같은 이점이 있습니다.
-
통합 용이성: 라우팅 테이블 변경 필요 없음
-
통합 용이성: 즉시 서비스 검색
-
확장성: 수천 명의 SaaS 소비자로 확장할 수 있습니다.
-
적응성: 중복 CIDR 범위 지원
-
적응성: IPv6 지원
-
적응성: VPC Lattice 서비스로 모든 AWS 컴퓨팅 서비스와 통합
-
TCO: VPC Lattice는 완전 관리형 서비스이므로 운영 작업이 덜 필요합니다.
-
TCO: 고급 트래픽 라우팅을 통한 기본 제공 로드 밸런싱
-
네트워크 격리: 인증 정책을 사용한 세분화된 권한 부여
-
네트워크 격리: SaaS 공급자로부터 트래픽을 시작할 수 없으므로 SaaS 소비자의 보안 이점
-
네트워크 격리: 전체 서브넷 또는 VPC를 노출하지 않기 때문에 SaaS 공급자의 보안 이점
다음은이 접근 방식의 단점입니다.
-
적응성: 서비스 시작 통신에는 클라이언트 시작 연결 및 리소스 게이트웨이에 대한 지원만 필요합니다.
-
적응성: 교차 리전 지원 없음
VPC 피어링 연결 생성
VPC 피어링을 사용하여 SaaS 공급자의 VPC를 소비자의 VPC와 연결하면 두 당사자 모두 연결을 시작할 수 있습니다. 이렇게 하려면 두 계정 모두에서 보안 그룹, 방화벽 및 네트워크 액세스 제어 목록(NACLs)을 적절하게 구성해야 합니다. 그렇지 않으면 원치 않는 트래픽이 피어링 연결을 통해 네트워크에 들어갈 수 있습니다. 보안 그룹을 사용하여 피어링된 VPCs. 이렇게 하면 허용 목록 보안 그룹이 허용 목록 IP 주소에 비해 더 명시적이고 세분화된 액세스 제어를 제공하므로 애플리케이션에 대한 액세스를 제어하는 데 도움이 될 수 있습니다.
VPC 피어링을 사용하면 VPC에 배포된 서비스 또는 리소스를 통해 SaaS 제품에 도달할 수 있습니다. 대부분의 SaaS 애플리케이션은 Application Load Balancer 또는 Network Load Balancer 뒤에 있습니다. AWS AppSync 프라이빗 APIs 또는 Amazon API Gateway 프라이빗 APIs는 인터페이스 VPC 엔드포인트를 통한 피어링 연결을 통해 대상이 될 수 있으므로 SaaS 애플리케이션에 대한 다른 일반적인 진입점입니다.
피어링 연결을 설정한 후에는 두 계정의 VPCs에 대한 라우팅 테이블을 업데이트하여 피어링 연결을 각 CIDR 범위의 다음 홉으로 정의해야 합니다. 이 솔루션은 여러 피어링 연결을 빠르게 관리하는 것이 너무 복잡해지기 때문에 소비자가 몇 명 있는 SaaS 공급자에게만 권장됩니다.
다음 다이어그램은 몇 가지 가능한 통합이 포함된 기본 구성을 보여줍니다. 두 소비자 계정VPCs는 SaaS 공급자 계정의 VPC와 피어링 연결이 있습니다.
이 접근 방식은 다음과 같은 이점이 있습니다.
-
복구 시간: 통신을 위한 단일 장애 지점 없음
-
확장성: VPC 피어링에 대한 대역폭 제한 없음
-
TCO: 동일한 가용 영역 내에서 피어링 연결 또는 피어링 연결을 통한 트래픽에 대한 비용 없음
-
TCO: 관리할 인프라 없음
-
적응성: IPv6 지원
-
적응성: 리전 간 피어링 지원
다음은이 접근 방식의 단점입니다.
-
적응성: 전이적 라우팅을 지원하지 않음
-
적응성: 중복 CIDR 범위를 지원하지 않음
-
확장성: 제한된 확장성(VPC당 최대 125개의 피어링 연결)
-
TCO: 추가 피어링 연결마다 복잡성이 기하급수적으로 증가합니다.
-
TCO: 라우팅 테이블 관리, 피어링 연결 자체, 보안 그룹 규칙 및 트래픽 검사의 오버헤드
-
네트워크 격리: 양 당사자의 전체 VPCs가 노출되므로 엄격한 보안 제어가 필요합니다.
VPCs 연결 AWS Transit Gateway
를 통해 VPCs 연결하면 VPC 연결이 AWS Transit Gateway생성되고 VPC에서 트래픽을 라우팅해야 하는 각 가용 영역의 서브넷에 네트워크 인터페이스가 배포됩니다. VPC 연결의 모든 가용 영역에 전용 /28 서브넷을 두는 것이 좋습니다. 자세한 내용은 Amazon VPC Transit Gateways 설계 모범 사례를 참조하세요. 배포된 네트워크 인터페이스를 통해 트래픽을 전송하려면 VPCs에 업데이트된 라우팅 테이블이 필요하며, 그에 따라 Transit Gateway 라우팅 테이블을 업데이트해야 합니다. 다중 테넌트 구성에서는 SaaS 공급자의 VPC가 모든 소비자의 VPCs. 소비자의 VPCs에는 SaaS 공급자의 VPC에 대한 경로만 있어야 합니다.
Transit Gateway는 설계상 가용성이 높습니다. VPC 흐름 로그
Transit Gateway를 사용하여 SaaS 제품에 소비자를 연결하는 두 가지 주요 옵션이 있습니다.
옵션 1: RAM 사용
첫 번째 옵션에서 서비스 공급자는 AWS Resource Access Manager (AWS RAM)를 사용하여 Transit Gateway를 소비자와 공유합니다. 이를 통해 소비자는 자신의 계정에 VPC 연결을 배포할 수 있습니다. 다음 다이어그램은이 옵션을 높은 수준으로 보여줍니다.
옵션 2: 피어링된 전송 게이트웨이
두 번째 옵션은 전송 게이트웨이를 소비자 계정의 전송 게이트웨이와 피어링하는 것입니다. 이렇게 하면 이제 소비자가 전송 게이트웨이 내의 라우팅 테이블을 완전히 제어할 수 있으므로 유연성이 향상됩니다. 예를 들어 서비스와 워크로드 간에 중앙 집중식 검사를 설정할 수 있습니다. 이 옵션의 단점은 전송 게이트웨이 간의 정적 라우팅만 지원된다는 것입니다. 다음 다이어그램은이 옵션을 높은 수준으로 보여줍니다.
이 접근 방식은 다음과 같은 이점이 있습니다.
-
확장성: 최대 5,000개의 첨부 파일 지원
-
확장성: 연결된 모든 VPCs 한 곳
-
적응성: Transit GatewayVPNs, Direct Connect 게이트웨이 및 타사 SD-WAN 어플라이언스에도 연결할 수 있습니다.
-
적응성: 검사 VPC 추가
와 같은 유연한 아키텍처 -
적응성: 전이적 라우팅 지원
-
적응성: 리전 내 및 리전 간 전송 게이트웨이 피어링 가능
-
적응성: IPv6 지원
-
TCO: AWS Transit Gateway 는 완전 관리형 서비스이므로 운영 작업이 덜 필요합니다.
-
TCO: TCO는 각 추가 전송 게이트웨이 연결에 따라 선형적으로 증가합니다.
다음은이 접근 방식의 단점입니다.
-
통합 용이성: 라우팅 구성에는 고급 네트워킹 지식이 필요합니다.
-
적응성: 중복 CIDR 범위를 지원하지 않음
-
TCO: 라우팅 테이블 항목, 보안 그룹 규칙 및 트래픽 검사 관리의 오버헤드
-
보안: 양 당사자의 전체 VPCs가 노출되므로 엄격한 보안 제어가 필요합니다.
