Consumidores de SaaS que operam em AWS - AWS Orientação prescritiva
AWS PrivateLinkAmazon VPC Latticeemparelhamento da VPCAWS Transit Gateway

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Consumidores de SaaS que operam em AWS

Esta seção discute as opções de conectividade se você e seus consumidores estiverem operando no Nuvem AWS. Esse cenário oferece a maior flexibilidade porque muitos se integram de Serviços da AWS forma nativa e porque ambas as partes têm acesso a todo o AWS service (Serviço da AWS) portfólio.

O mapa de valores de rede a seguir resume a pontuação de cada uma dessas opções em cada métrica de avaliação. Para obter mais informações sobre as métricas de avaliação, consulte Métricas de avaliação neste guia. No mapa, cinco representa a melhor pontuação, como o menor TCO, o melhor isolamento de rede ou o menor tempo de reparo. Para obter mais informações sobre como ler esse gráfico de radar, consulte Mapa de valores de rede este guia.

Gráfico de radar que mostra as pontuações de cada métrica de avaliação.

O gráfico do radar mostra os seguintes valores.

Métrica de avaliação AWS PrivateLink Amazon VPC Lattice emparelhamento da VPC AWS Transit Gateway
Facilidade de integração 5 5 4 3
TCO 5 5 3 4
Escalabilidade 5 4 1 4
Adaptabilidade 4 5 2 3
Isolamento de rede 5 5 2 3
Observabilidade 4 5 4 4
Hora de reparar 5 5 5 4

AWS PrivateLinké a forma mais nativa da nuvem de integrar uma oferta de SaaS. Os provedores de SaaS podem hospedar seus aplicativos por trás de um Network Load Balancer. O Network Load Balancer se integra diretamente a um Application Load Balancer, Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service(Amazon EKS) e grupos Auto Scaling. Também é possível rotear o tráfego do Network Load Balancer para os endpoints VPC de interface na conta do provedor de SaaS. Isso ajuda você a usar uma API para acessar aplicativos, como por meio do Amazon API Gateway ou AWS AppSync. Se seu aplicativo exigir acesso a recursos no ambiente do cliente que não têm carga balanceada, como um banco de dados, você pode usar endpoints de VPC de recursos.

AWS PrivateLink suporta uma largura de banda de até 100 Gbps por zona de disponibilidade. O diagrama a seguir mostra uma configuração básica com algumas integrações possíveis. Ele conecta duas contas de consumidor à conta do provedor de SaaS por meio de. AWS PrivateLink Há endpoints de serviço nas contas dos consumidores e um Network Load Balancer na conta do provedor de SaaS.

Configuração básica AWS PrivateLink com integrações opcionais.

Estes são os benefícios desta abordagem:

  • Facilidade de integração: Nenhuma alteração na tabela de rotas é necessária

  • Facilidade de integração: você pode oferecer serviços de endpoint por meio de AWS Marketplace

  • Facilidade de integração: os endpoints VPC oferecem suporte a nomes DNS amigáveis

  • Escalabilidade: pode ser escalado para milhares de consumidores de SaaS

  • Adaptabilidade: Support para intervalos CIDR sobrepostos

  • Adaptabilidade: Support for IPv6

  • Adaptabilidade: suporte entre regiões

  • TCO: AWS PrivateLink é um serviço totalmente gerenciado, portanto, requer menos esforço operacional

  • Isolamento de rede: benefício de segurança para o consumidor de SaaS porque o tráfego não pode ser iniciado pelo provedor de SaaS

  • Isolamento de rede: benefício de segurança para o provedor de SaaS porque ele não está expondo uma sub-rede ou VPC inteira

A seguir estão as desvantagens dessa abordagem:

  • Adaptabilidade: o provedor de SaaS deve usar as mesmas zonas de disponibilidade que o consumidor

  • Adaptabilidade: Support somente para conexões iniciadas pelo cliente, e endpoints VPC de recursos são necessários para a comunicação iniciada pelo serviço

  • Adaptabilidade: o Network Load Balancer é a única integração direta para AWS PrivateLink

Compartilhando um serviço Amazon VPC Lattice

Para usar o Amazon VPC Lattice como uma opção de conectividade para seu aplicativo SaaS, primeiro você cria um ou mais serviços VPC Lattice que representam os componentes do seu aplicativo SaaS. Você configura ouvintes e regras de roteamento para direcionar o tráfego para seus destinos de back-end, como instâncias, contêineres ou funções do Amazon EC2. AWS Lambda Para obter mais informações, consulte Conectando serviços Saas em uma rede de serviços VPC LatticeAWS (postagem no blog). Em termos de conceito, isso é quase o mesmo que configurar um Application Load Balancer. Em seguida, você compartilha seu serviço SaaS de forma segura com clientes Contas da AWS ou organizações usando AWS Resource Access Manager (AWS RAM), especificando quais permissões eles têm. Depois que os clientes aceitarem o compartilhamento de recursos, eles poderão associar seu serviço SaaS às redes de serviços VPC Lattice existentes ou recém-criadas para permitir a comunicação. service-to-service

Cada serviço VPC Lattice pode suportar até 10 Gbps e 10.000 solicitações por segundo por zona de disponibilidade. Ao implementar políticas de autenticação, seus clientes podem ter um controle refinado sobre quais serviços e recursos podem acessar o aplicativo SaaS. Você pode usar gateways de recursos para acessar recursos que exigem uma conexão TCP. Por exemplo, pode ser um cluster do Amazon EKS que você gerencia ou pode ser um recurso gerenciado pelo cliente que seu aplicativo precisa acessar. Para obter mais informações sobre o uso de gateways de recursos para ofertas de SaaS, consulte Estender os recursos de SaaS Contas da AWS usando o AWS PrivateLink suporte para recursos de VPC (postagem no blog).AWS

O diagrama a seguir mostra uma configuração de alto nível do VPC Lattice com alguns exemplos de integrações. Ele usa redes de serviços gerenciadas pelo cliente para acessar o aplicativo SaaS.

Configuração básica para Amazon VPC Lattice com integrações opcionais.

Estes são os benefícios desta abordagem:

  • Facilidade de integração: Nenhuma alteração na tabela de rotas é necessária

  • Facilidade de integração: descoberta de serviços pronta para uso

  • Escalabilidade: pode ser escalado para milhares de consumidores de SaaS

  • Adaptabilidade: Support para intervalos CIDR sobrepostos

  • Adaptabilidade: Support for IPv6

  • Adaptabilidade: integra-se a qualquer serviço de AWS computação como um serviço VPC Lattice

  • TCO: O VPC Lattice é um serviço totalmente gerenciado, portanto, exige menos esforço operacional

  • TCO: balanceamento de carga integrado com roteamento de tráfego avançado

  • Isolamento de rede: autorização refinada com políticas de autenticação

  • Isolamento de rede: benefício de segurança para o consumidor de SaaS porque o tráfego não pode ser iniciado pelo provedor de SaaS

  • Isolamento de rede: benefício de segurança para o provedor de SaaS porque você não está expondo uma sub-rede ou VPC inteira

A seguir estão as desvantagens dessa abordagem:

  • Adaptabilidade: Support somente para conexões iniciadas pelo cliente, e gateways de recursos são necessários para a comunicação iniciada pelo serviço

  • Adaptabilidade: sem suporte entre regiões

Criação de conexões de emparelhamento de VPC

Quando você usa o emparelhamento de VPC para conectar a VPC do provedor de SaaS à VPC do consumidor, ambas as partes podem iniciar conexões. Isso requer a configuração adequada de grupos de segurança, firewalls e listas de controle de acesso à rede (NACLs) em ambas as contas. Caso contrário, o tráfego indesejado poderá entrar na rede por meio da conexão de peering. Você pode usar grupos de segurança para referenciar grupos de segurança a partir do peering VPCs. Isso pode ajudar você a controlar o acesso ao seu aplicativo porque os grupos de segurança da lista de permissões fornecem um controle de acesso mais explícito e granular em comparação com os endereços IP da lista de permissões.

Com o emparelhamento de VPC, a oferta de SaaS pode ser alcançada por meio de um serviço ou recurso implantado na VPC. A maioria dos aplicativos SaaS está por trás de um Application Load Balancer ou Network Load Balancer. AWS AppSync private APIs ou Amazon API Gateway private APIs são outros pontos de entrada comuns para aplicativos SaaS porque podem ser um alvo em uma conexão de peering por meio de endpoints de interface VPC.

Depois de estabelecer uma conexão de emparelhamento, você deve atualizar as tabelas de rotas VPCs em ambas as contas para definir a conexão de emparelhamento como o próximo salto para o respectivo intervalo CIDR. Essa solução é recomendada somente para provedores de SaaS que têm poucos consumidores, pois gerenciar várias conexões de peering rapidamente se torna muito complexo.

O diagrama a seguir mostra uma configuração básica com algumas integrações possíveis. VPCs em duas contas de consumidores, tenha uma conexão de emparelhamento com uma VPC na conta do provedor de SaaS.

Configuração básica de conexões de emparelhamento de VPC entre várias contas.

Estes são os benefícios desta abordagem:

  • Hora de reparar: nenhum ponto único de falha na comunicação

  • Escalabilidade: sem limitações de largura de banda em relação ao peering de VPC

  • TCO: Sem custo de conexão de emparelhamento ou tráfego pela conexão de emparelhamento dentro da mesma zona de disponibilidade

  • TCO: Sem infraestrutura para gerenciar

  • Adaptabilidade: Support for IPv6

  • Adaptabilidade: suporte para emparelhamento entre regiões

A seguir estão as desvantagens dessa abordagem:

  • Adaptabilidade: Não há suporte para roteamento transitivo

  • Adaptabilidade: Não há suporte para intervalos CIDR sobrepostos

  • Escalabilidade: escalabilidade limitada (máximo de 125 conexões emparelhadas por VPC)

  • TCO: a complexidade cresce exponencialmente com cada conexão de peering adicional

  • TCO: despesas gerais de gerenciamento de tabelas de rotas, conexões de emparelhamento em si, regras de grupos de segurança e inspeção de tráfego

  • Isolamento de rede: controles de segurança rígidos são necessários VPCs porque ambas as partes estão expostas

Conectando-se VPCs com AWS Transit Gateway

Quando você se conecta VPCs AWS Transit Gateway, ele cria anexos de VPC e implanta interfaces de rede nas sub-redes de cada zona de disponibilidade que devem rotear o tráfego de e para a VPC. É recomendável ter uma /28 sub-rede dedicada em cada zona de disponibilidade para o anexo VPC. Para obter mais informações, consulte as melhores práticas de design do Amazon VPC Transit Gateways. Eles VPCs precisam de uma tabela de rotas atualizada para enviar tráfego pela interface de rede implantada, e as tabelas de rotas do Transit Gateway precisam ser atualizadas adequadamente. Em uma configuração multilocatária, você deseja que a VPC do provedor de SaaS tenha uma rota para a de todos os consumidores. VPCs O consumidor VPCs deve ter uma rota somente para a VPC do provedor de SaaS.

O Transit Gateway está altamente disponível por design. Ele oferece suporte ao monitoramento com VPC Flow Logs, e a largura de banda máxima para um anexo do Transit Gateway é de 100 Gbps por zona de disponibilidade. Assim como o peering de VPC, essa abordagem permite a referência de grupos de segurança entre VPCs, o que simplifica o controle de acesso entre os ambientes.

Há duas opções principais para conectar os consumidores à sua oferta de SaaS com o Transit Gateway.

Opção 1: usando RAM

Na primeira opção, o provedor de serviços compartilha o Transit Gateway com os consumidores usando AWS Resource Access Manager (AWS RAM). Isso permite que os consumidores implantem os anexos da VPC em suas próprias contas. O diagrama a seguir mostra essa opção em um alto nível.

Os consumidores implantam anexos de gateway de trânsito em seus. VPCs

Opção 2: Gateways de trânsito pareados

A segunda opção é emparelhar seu gateway de trânsito com um gateway de trânsito nas contas dos consumidores. Isso proporciona aos consumidores mais flexibilidade, pois agora eles podem controlar totalmente as tabelas de rotas em seu gateway de trânsito. Por exemplo, eles poderiam configurar uma inspeção centralizada entre o serviço e suas cargas de trabalho. Uma desvantagem dessa opção é que somente o roteamento estático entre gateways de trânsito é suportado. O diagrama a seguir mostra essa opção em um alto nível.

Os consumidores e o provedor de SaaS criam gateways de trânsito emparelhados.

Estes são os benefícios desta abordagem:

  • Escalabilidade: Support para até 5.000 anexos

  • Escalabilidade: um lugar para gerenciar e monitorar todos os conectados VPCs

  • Adaptabilidade: o Transit Gateway também pode se conectar a VPNs Direct Connect gateways e dispositivos SD-WAN de terceiros

  • Adaptabilidade: arquitetura flexível, como adicionar uma VPC de inspeção

  • Adaptabilidade: Support para roteamento transitivo

  • Adaptabilidade: pode emparelhar gateways de trânsito intra-regionais e inter-regionais

  • Adaptabilidade: Support for IPv6

  • TCO: AWS Transit Gateway é um serviço totalmente gerenciado, portanto, requer menos esforço operacional

  • TCO: o TCO cresce linearmente com cada conexão adicional de gateway de trânsito

A seguir estão as desvantagens dessa abordagem:

  • Facilidade de integração: a configuração de roteamento requer conhecimento avançado de rede

  • Adaptabilidade: Não há suporte para intervalos CIDR sobrepostos

  • TCO: despesas gerais de gerenciamento de entradas de tabelas de rotas, regras de grupos de segurança e inspeção de tráfego

  • Segurança: controles de segurança rígidos são necessários porque ambas as VPCs partes estão expostas