本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# SaaS 消费者在以下平台上进行操作 AWS
本节讨论如果您和您的消费者都在中操作时的连接选项 AWS Cloud。这种情况提供了最大的灵活性,因为许多方案都是 AWS 服务 本地集成的,而且双方都可以访问整个 AWS 服务 产品组合。
**Topics**
+ [与集成 AWS PrivateLink](#options-aws-privatelink)
+ [共享 Amazon VPC 莱迪思服务](#options-amazon-vpc-lattice)
+ [创建 VPC 对等连接](#options-aws-vpc-peering)
+ [VPCs 与... 连接 AWS Transit Gateway](#options-aws-transit-gateway)
以下网络价值图汇总了每个评估指标中每个选项的得分情况。有关评估指标的更多信息,请参阅本指南中的[评估指标](evaluating.md#evaluating-metrics)。在地图中,五表示最高分数,例如最低的 TCO、最佳的网络隔离或最低的修复时间。有关如何阅读此雷达图的更多信息,请参阅本指南[网络价值地图](evaluating.md#evaluating-map)中的。
雷达图显示以下值。
| 评估指标 | AWS PrivateLink | Amazon VPC Lattice | VPC 对等连接 | AWS Transit Gateway |
| --- | --- | --- | --- | --- |
| 易于集成 | 5 | 5 | 4 | 3 |
| TCO | 5 | 5 | 3 | 4 |
| 可扩展性 | 5 | 4 | 1 | 4 |
| 适应性 | 4 | 5 | 2 | 3 |
| 网络隔离 | 5 | 5 | 2 | 3 |
| 可观察性 | 4 | 5 | 4 | 4 |
| 是时候修理了 | 5 | 5 | 5 | 4 |
## 与集成 AWS PrivateLink
[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)是集成 SaaS 产品的最云原生方式。SaaS 提供商可以将其应用程序托管在 [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) 后面。[网络负载均衡器直接与[应用程序负载均衡器、亚马逊弹性容器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)[服务 (Amazon ECS)、亚马逊](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/Welcome.html) Elastic [Kubernetes Service (Amazon EKS) 和 Auto Scalin](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) g 组集成。](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-groups.html)也可以将流量从 Network Load Balancer 路由到 SaaS 提供商账户中的接口 VPC 终端节点。这可以帮助您使用 API 访问应用程序,例如通过 [Amazon API Gateway](https://repost.aws/knowledge-center/invoke-private-api-gateway) 或[AWS AppSync](https://docs.aws.amazon.com/appsync/latest/devguide/what-is-appsync.html)。如果您的应用程序需要访问客户环境中未进行负载平衡的资源(例如数据库),则可以使用[资源 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/use-resource-endpoint.html)。
AWS PrivateLink 每个可用区支持高达 100 Gbps 的带宽。下图显示了基本配置,其中包含一些可能的集成。它通过将两个消费者帐户连接到SaaS提供商帐户 AWS PrivateLink。消费者账户中有服务端点,SaaS 提供商账户中有一个 Network Load Balancer。
这种方法的优点如下:
+ 易于集成:无需更改路由表
+ 易于集成:您可以[通过以下方式提供端点服务 AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/userguide/privatelink.html)
+ 易于集成:VPC 终端节点支持[友好的 DNS 名称](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html)
+ 可扩展性:它可以扩展到成千上万的 SaaS 用户
+ 适应性:Support 支持重叠的 CIDR 范围
+ 适应性:Support for IPv6
+ 适应性:跨区域支持
+ TCO: AWS PrivateLink 是一项完全托管的服务,因此所需的运营工作量更少
+ 网络隔离:由于无法从 SaaS 提供商启动流量,因此可为 SaaS 消费者带来安全优势
+ 网络隔离:SaaS 提供商可以获得安全优势,因为他们不会暴露整个子网或 VPC
以下是这种方法的缺点:
+ 适应性:SaaS 提供商必须使用与消费者相同的可用区
+ 适应性:仅支持客户端启动的连接,服务启动的通信需要资源 VPC 端点
+ 适应性:Network Load Balancer 是唯一的直接集成 AWS PrivateLink
## 共享 Amazon VPC 莱迪思服务
要使用 [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html) 作为 SaaS 应用程序的连接选项,您需要先创建一个或多个 VPC 莱迪思服务来代表您的 SaaS 应用程序组件。您可以配置侦听器和路由规则,将流量引导至您的后端目标,例如 Amazon EC2 实例、容器或 AWS Lambda 函数。有关更多信息,请参阅在 [VPC莱迪思服务网络中连接Saas服务](https://aws.amazon.com/blogs/networking-and-content-delivery/connecting-saas-services-within-a-vpc-lattice-service-network/)(AWS 博客文章)。从概念上讲,这与配置 Application Load Balancer 几乎相同。然后,您可以使用 [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 与客户 AWS 账户 或组织安全地共享您的 SaaS 服务,指定他们拥有的权限。客户接受资源共享后,他们可以将您的SaaS服务与其现有或新创建的VPC Lattice服务网络关联以实现 service-to-service通信。
每个 VPC 莱迪思服务可支持高达 10 Gbps 的速度和每个可用区每秒 10,000 个请求。通过实施身份验证策略,您的客户可以精细控制哪些服务和资源可以访问 SaaS 应用程序。您可以使用[资源网关](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html)来访问需要 TCP 连接的资源。例如,这可能是您管理的 Amazon EKS 集群,也可能是您的应用程序需要访问的客户管理的资源。有关为 SaaS 产品使用资源网关的更多信息,请参阅[AWS 账户 使用对 VPC 资源的 AWS PrivateLink 支持将 SaaS 功能扩展到各](https://aws.amazon.com/blogs/networking-and-content-delivery/extend-saas-capabilities-across-aws-accounts-using-aws-privatelink-support-for-vpc-resources/)处(AWS 博客文章)。
下图显示了VPC Lattice的高级配置以及一些示例集成。它使用客户管理的服务网络来访问SaaS应用程序。
这种方法的优点如下:
+ 易于集成:无需更改路由表
+ 易于集成:开箱即用的服务发现
+ 可扩展性:它可以扩展到成千上万的 SaaS 用户
+ 适应性:Support 支持重叠的 CIDR 范围
+ 适应性:Support for IPv6
+ 适应性:作为VPC莱迪 AWS 思服务与任何计算服务集成
+ 总拥有成本:VPC Lattice 是一项完全托管的服务,因此所需的运营工作量更少
+ TCO:内置负载均衡和高级流量路由
+ 网络隔离:使用身份验证策略进行细粒度授权
+ 网络隔离:由于无法从 SaaS 提供商启动流量,因此可为 SaaS 消费者带来安全优势
+ 网络隔离:SaaS 提供商的安全优势,因为您不会暴露整个子网或 VPC
以下是这种方法的缺点:
+ 适应性:仅支持客户端启动的连接,服务启动的通信需要资源网关
+ 适应性:不支持跨区域
## 创建 VPC 对等连接
当您使用 [VPC 对](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)等连接将 SaaS 提供商的 VPC 与使用者的 VPC 连接时,双方都可以启动连接。这需要在两个账户中正确配置安全组、防火墙和网络访问控制列表 (NACLs)。否则,有害流量可能会通过对等连接进入网络。您可以使用安全组从对等设备引用安全组。 VPCs这可以帮助您控制对应用程序的访问权限,因为与允许名单 IP 地址相比,允许名单安全组提供了更明确、更精细的访问控制。
通过 VPC 对等互连,可以通过部署在 VPC 中的服务或资源访问 SaaS 产品。大多数 SaaS 应用程序都位于应用程序负载均衡器或网络负载均衡器之后。 [AWS AppSync 私](https://docs.aws.amazon.com/appsync/latest/devguide/using-private-apis.html)有 APIs或 [Amazon API Gateway 私 APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html)有版是 SaaS 应用程序的其他常见入口点,因为它们可以通过接口 VPC 终端节点通过对等连接成为目标。
建立对等连接后,必须更新两个账户 VPCs 中的路由表,将对等连接定义为相应 CIDR 范围的下一跳。由于管理多个对等连接很快就会变得过于复杂,因此仅推荐使用者较少的 SaaS 提供商使用此解决方案。
下图显示了基本配置,其中包含一些可能的集成。 VPCs 有两个消费者账户与 SaaS 提供商账户中的 VPC 建立了对等连接。
这种方法的优点如下:
+ 修复时间:通信没有单点故障
+ 可扩展性:VPC 对等互连没有带宽限制
+ TCO:在同一可用区内,对等连接或通过对等连接的流量不收取任何费用
+ TCO:无需管理基础架构
+ 适应性:Support for IPv6
+ 适应性:支持区域间对等互连
以下是这种方法的缺点:
+ 适应性:不支持传递路由
+ 适应性:不支持重叠的 CIDR 范围
+ 可扩展性:可扩展性有限(每个 VPC 最多 125 个对等连接)
+ TCO:每增加一个对等连接,复杂性就会呈指数级增长
+ TCO:管理路由表、对等连接本身、安全组规则和流量检查产生的开销
+ 网络隔离:由于双方都处于暴露状态 VPCs ,因此需要严格的安全控制
## VPCs 与... 连接 AWS Transit Gateway
当您 VPCs 通过连接时 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html),它会创建 VPC 附件,并在每个可用区的子网中部署网络接口,用于路由进出该 VPC 的流量。建议在每个可用区中为 VPC 连接设置一个专用`/28`子网。有关更多信息,请参阅 [Amazon VPC 传输网关设计最佳实践](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-best-design-practices.html)。 VPCs 需要更新路由表才能通过部署的网络接口发送流量,并需要相应地更新 Transit Gateway 路由表。在多租户配置中,您希望 SaaS 提供商的 VPC 具有通往所有消费 VPCs者的路由。消费者 VPCs应该只拥有通往 SaaS 提供商的 VPC 的路由。
Transit Gateway 的设计高度可用。它支持使用 [VPC 流日志](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-vpc-flow-logs-for-aws-transit-gateway/)进行监控,Transit Gateway 连接的最大带宽为每个可用区 100 Gbps。与 VPC 对等连接一样,这种方法支持跨VPC安全组引用,从而简化了环境之间的访问控制。
使用 Transit Gateway 将消费者与你的 SaaS 产品联系起来,主要有两种选择。
**选项 1:使用内存**
在第一个选项中,服务提供商使用 [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 与消费者[共享 Transit Gat](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-share.html) eway。这允许使用者在自己的账户中部署 VPC 附件。下图从较高的层面上显示了此选项。
**选项 2:对等传输网关**
第二种选择是将您的公交网关与消费者账户中的公交网关对等。这为消费者提供了更大的灵活性,因为他们现在可以完全控制公交网关内的路由表。例如,他们可以在服务与其工作负载之间设置集中检查。此选项的一个缺点是仅支持传输网关之间的静态路由。下图从较高的层面上显示了此选项。
这种方法的优点如下:
+ 可扩展性:支持多达 5,000 个附件
+ 可扩展性:一站式管理和监控所有联网设备 VPCs
+ 适应性:Transit Gateway 还可以连接到 VPNs Direct Connect 网关和第三方 SD-WAN 设备
+ 适应性:灵活的架构,例如[添加检查 VPC](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
+ 适应性:Support 支持传递路由
+ 适应性:能否对等区域内和区域间中转网关
+ 适应性:Support for IPv6
+ TCO: AWS Transit Gateway 是一项完全托管的服务,因此所需的运营工作量更少
+ TCO:每增加一个公交网关连接,总拥有成本就会呈线性增长
以下是这种方法的缺点:
+ 易于集成:路由配置需要高级网络知识
+ 适应性:不支持重叠的 CIDR 范围
+ TCO:管理路由表条目、安全组规则和流量检查产生的开销
+ 安全:由于双方都处于危险之中 VPCs ,因此需要严格的安全控制