SaaS 消费者在以下平台上进行操作 AWS - AWS 规范性指导
AWS PrivateLinkAmazon VPC LatticeVPC 对等连接AWS Transit Gateway

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SaaS 消费者在以下平台上进行操作 AWS

本节讨论如果您和您的消费者都在中操作时的连接选项 AWS Cloud。这种情况提供了最大的灵活性,因为许多方案都是 AWS 服务 本地集成的,而且双方都可以访问整个 AWS 服务 产品组合。

以下网络价值图汇总了每个评估指标中每个选项的得分情况。有关评估指标的更多信息,请参阅本指南中的评估指标。在地图中,五表示最高分数,例如最低的 TCO、最佳的网络隔离或最低的修复时间。有关如何阅读此雷达图的更多信息,请参阅本指南网络价值地图中的。

显示每个评估指标分数的雷达图。

雷达图显示以下值。

评估指标 AWS PrivateLink Amazon VPC Lattice VPC 对等连接 AWS Transit Gateway
易于集成 5 5 4 3
TCO 5 5 3 4
可扩展性 5 4 1 4
适应性 4 5 2 3
网络隔离 5 5 2 3
可观察性 4 5 4 4
是时候修理了 5 5 5 4

AWS PrivateLink是集成 SaaS 产品的最云原生方式。SaaS 提供商可以将其应用程序托管在 Network Load Balancer 后面。网络负载均衡器直接与应用程序负载均衡器、亚马逊弹性容器服务 (Amazon ECS)、亚马逊 Elastic Kubernetes Service (Amazon EKS) 和 Auto Scalin g 组集成。也可以将流量从 Network Load Balancer 路由到 SaaS 提供商账户中的接口 VPC 终端节点。这可以帮助您使用 API 访问应用程序,例如通过 Amazon API GatewayAWS AppSync。如果您的应用程序需要访问客户环境中未进行负载平衡的资源(例如数据库),则可以使用资源 VPC 终端节点

AWS PrivateLink 每个可用区支持高达 100 Gbps 的带宽。下图显示了基本配置,其中包含一些可能的集成。它通过将两个消费者帐户连接到SaaS提供商帐户 AWS PrivateLink。消费者账户中有服务端点,SaaS 提供商账户中有一个 Network Load Balancer。

AWS PrivateLink 带有可选集成的基本配置。

这种方法的优点如下:

  • 易于集成:无需更改路由表

  • 易于集成:您可以通过以下方式提供端点服务 AWS Marketplace

  • 易于集成:VPC 终端节点支持友好的 DNS 名称

  • 可扩展性:它可以扩展到成千上万的 SaaS 用户

  • 适应性:Support 支持重叠的 CIDR 范围

  • 适应性:Support for IPv6

  • 适应性:跨区域支持

  • TCO: AWS PrivateLink 是一项完全托管的服务,因此所需的运营工作量更少

  • 网络隔离:由于无法从 SaaS 提供商启动流量,因此可为 SaaS 消费者带来安全优势

  • 网络隔离:SaaS 提供商可以获得安全优势,因为他们不会暴露整个子网或 VPC

以下是这种方法的缺点:

  • 适应性:SaaS 提供商必须使用与消费者相同的可用区

  • 适应性:仅支持客户端启动的连接,服务启动的通信需要资源 VPC 端点

  • 适应性:Network Load Balancer 是唯一的直接集成 AWS PrivateLink

共享 Amazon VPC 莱迪思服务

要使用 Amazon VPC Lattice 作为 SaaS 应用程序的连接选项,您需要先创建一个或多个 VPC 莱迪思服务来代表您的 SaaS 应用程序组件。您可以配置侦听器和路由规则,将流量引导至您的后端目标,例如 Amazon EC2 实例、容器或 AWS Lambda 函数。有关更多信息,请参阅在 VPC莱迪思服务网络中连接Saas服务(AWS 博客文章)。从概念上讲,这与配置 Application Load Balancer 几乎相同。然后,您可以使用 AWS Resource Access Manager (AWS RAM) 与客户 AWS 账户 或组织安全地共享您的 SaaS 服务,指定他们拥有的权限。客户接受资源共享后,他们可以将您的SaaS服务与其现有或新创建的VPC Lattice服务网络关联以实现 service-to-service通信。

每个 VPC 莱迪思服务可支持高达 10 Gbps 的速度和每个可用区每秒 10,000 个请求。通过实施身份验证策略,您的客户可以精细控制哪些服务和资源可以访问 SaaS 应用程序。您可以使用资源网关来访问需要 TCP 连接的资源。例如,这可能是您管理的 Amazon EKS 集群,也可能是您的应用程序需要访问的客户管理的资源。有关为 SaaS 产品使用资源网关的更多信息,请参阅AWS 账户 使用对 VPC 资源的 AWS PrivateLink 支持将 SaaS 功能扩展到各处(AWS 博客文章)。

下图显示了VPC Lattice的高级配置以及一些示例集成。它使用客户管理的服务网络来访问SaaS应用程序。

Amazon VPC Lattice 的基本配置以及可选集成。

这种方法的优点如下:

  • 易于集成:无需更改路由表

  • 易于集成:开箱即用的服务发现

  • 可扩展性:它可以扩展到成千上万的 SaaS 用户

  • 适应性:Support 支持重叠的 CIDR 范围

  • 适应性:Support for IPv6

  • 适应性:作为VPC莱迪 AWS 思服务与任何计算服务集成

  • 总拥有成本:VPC Lattice 是一项完全托管的服务,因此所需的运营工作量更少

  • TCO:内置负载均衡和高级流量路由

  • 网络隔离:使用身份验证策略进行细粒度授权

  • 网络隔离:由于无法从 SaaS 提供商启动流量,因此可为 SaaS 消费者带来安全优势

  • 网络隔离:SaaS 提供商的安全优势,因为您不会暴露整个子网或 VPC

以下是这种方法的缺点:

  • 适应性:仅支持客户端启动的连接,服务启动的通信需要资源网关

  • 适应性:不支持跨区域

创建 VPC 对等连接

当您使用 VPC 对等连接将 SaaS 提供商的 VPC 与使用者的 VPC 连接时,双方都可以启动连接。这需要在两个账户中正确配置安全组、防火墙和网络访问控制列表 (NACLs)。否则,有害流量可能会通过对等连接进入网络。您可以使用安全组从对等设备引用安全组。 VPCs这可以帮助您控制对应用程序的访问权限,因为与允许名单 IP 地址相比,允许名单安全组提供了更明确、更精细的访问控制。

通过 VPC 对等互连,可以通过部署在 VPC 中的服务或资源访问 SaaS 产品。大多数 SaaS 应用程序都位于应用程序负载均衡器或网络负载均衡器之后。 AWS AppSync 私有 APIs或 Amazon API Gateway 私 APIs有版是 SaaS 应用程序的其他常见入口点,因为它们可以通过接口 VPC 终端节点通过对等连接成为目标。

建立对等连接后,必须更新两个账户 VPCs 中的路由表,将对等连接定义为相应 CIDR 范围的下一跳。由于管理多个对等连接很快就会变得过于复杂,因此仅推荐使用者较少的 SaaS 提供商使用此解决方案。

下图显示了基本配置,其中包含一些可能的集成。 VPCs 有两个消费者账户与 SaaS 提供商账户中的 VPC 建立了对等连接。

多个账户之间 VPC 对等连接的基本配置。

这种方法的优点如下:

  • 修复时间:通信没有单点故障

  • 可扩展性:VPC 对等互连没有带宽限制

  • TCO:在同一可用区内,对等连接或通过对等连接的流量不收取任何费用

  • TCO:无需管理基础架构

  • 适应性:Support for IPv6

  • 适应性:支持区域间对等互连

以下是这种方法的缺点:

  • 适应性:不支持传递路由

  • 适应性:不支持重叠的 CIDR 范围

  • 可扩展性:可扩展性有限(每个 VPC 最多 125 个对等连接)

  • TCO:每增加一个对等连接,复杂性就会呈指数级增长

  • TCO:管理路由表、对等连接本身、安全组规则和流量检查产生的开销

  • 网络隔离:由于双方都处于暴露状态 VPCs ,因此需要严格的安全控制

VPCs 与... 连接 AWS Transit Gateway

当您 VPCs 通过连接时 AWS Transit Gateway,它会创建 VPC 附件,并在每个可用区的子网中部署网络接口,用于路由进出该 VPC 的流量。建议在每个可用区中为 VPC 连接设置一个专用/28子网。有关更多信息,请参阅 Amazon VPC 传输网关设计最佳实践。 VPCs 需要更新路由表才能通过部署的网络接口发送流量,并需要相应地更新 Transit Gateway 路由表。在多租户配置中,您希望 SaaS 提供商的 VPC 具有通往所有消费 VPCs者的路由。消费者 VPCs应该只拥有通往 SaaS 提供商的 VPC 的路由。

Transit Gateway 的设计高度可用。它支持使用 VPC 流日志进行监控,Transit Gateway 连接的最大带宽为每个可用区 100 Gbps。与 VPC 对等连接一样,这种方法支持跨VPC安全组引用,从而简化了环境之间的访问控制。

使用 Transit Gateway 将消费者与你的 SaaS 产品联系起来,主要有两种选择。

选项 1:使用内存

在第一个选项中,服务提供商使用 AWS Resource Access Manager (AWS RAM) 与消费者共享 Transit Gat eway。这允许使用者在自己的账户中部署 VPC 附件。下图从较高的层面上显示了此选项。

消费者将公交网关附件部署到他们 VPCs的.

选项 2:对等传输网关

第二种选择是将您的公交网关与消费者账户中的公交网关对等。这为消费者提供了更大的灵活性,因为他们现在可以完全控制公交网关内的路由表。例如,他们可以在服务与其工作负载之间设置集中检查。此选项的一个缺点是仅支持传输网关之间的静态路由。下图从较高的层面上显示了此选项。

消费者和 SaaS 提供商创建对等传输网关。

这种方法的优点如下:

  • 可扩展性:支持多达 5,000 个附件

  • 可扩展性:一站式管理和监控所有联网设备 VPCs

  • 适应性:Transit Gateway 还可以连接到 VPNs Direct Connect 网关和第三方 SD-WAN 设备

  • 适应性:灵活的架构,例如添加检查 VPC

  • 适应性:Support 支持传递路由

  • 适应性:能否对等区域内和区域间中转网关

  • 适应性:Support for IPv6

  • TCO: AWS Transit Gateway 是一项完全托管的服务,因此所需的运营工作量更少

  • TCO:每增加一个公交网关连接,总拥有成本就会呈线性增长

以下是这种方法的缺点:

  • 易于集成:路由配置需要高级网络知识

  • 适应性:不支持重叠的 CIDR 范围

  • TCO:管理路由表条目、安全组规则和流量检查产生的开销

  • 安全:由于双方都处于危险之中 VPCs ,因此需要严格的安全控制