本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在场所运营的服务消费者 本节讨论本地数据中心内的 SaaS 工作负载之间的连接选项。 AWS Cloud 许多有本地需求的消费者,尤其是企业层面的消费者,将云视为其物理网络的延伸,他们希望将其反映在架构中。这意味着通过逻辑隧道甚至通过私有物理连接与云端SaaS产品的私有连接。其他消费者将接受通过公共互联网进行连接,本节也将对此进行讨论。 **Topics** + [与... 连接 AWS Site-to-Site VPN](#options-onprem-site-to-site) + [与... 连接 AWS Direct Connect](#options-onprem-direct-connect) + [连接传输 VPC 架构](#options-onprem-transit-vpc) + [通过公共互联网连接](#options-onprem-internet) 以下网络价值图汇总了每个评估指标中每个选项的得分情况。有关评估指标的更多信息,请参阅本指南中的[评估指标](evaluating.md#evaluating-metrics)。在地图中,五表示最高分数,例如最低的 TCO、最佳的网络隔离或最低的修复时间。有关如何阅读此雷达图的更多信息,请参阅本指南[网络价值地图](evaluating.md#evaluating-map)中的。 **注意** 不包括提供商管理的公交 VPC 选项,因为分数在很大程度上取决于正在运营的服务。 ![显示每个评估指标分数的雷达图。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/radar-chart-onprem.png) 雷达图显示以下值。 | | | **评估指标** | **AWS Site-to-Site VPN** | **AWS Direct Connect** | **消费者管理的传输 VPC** | **公共互联网访问** | | --- |--- |--- |--- |--- | | **易于集成** | 3 | 1 | 4 | 5 | | **TCO** | 2 | 1 | 5 | 4 | | **可扩展性** | 3 | 1 | 5 | 5 | | **适应性** | 3 | 2 | 4 | 5 | | **网络隔离** | 3 | 4 | 5 | 1 | | **可观察性** | 3 | 4 | 5 | 5 | | **是时候修理了** | 3 | 2 | 5 | 5 | ## 与... 连接 AWS Site-to-Site VPN [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)连接可以在虚拟专用网关或传输网关上终止。*虚拟专用网关*是 VPN 连接 AWS 侧的 Site-to-Site VPN 终端节点,可以连接到单个 VPC。*传输网关*是一个交通枢纽,可用于互连多个 VPCs 本地网络。它也可以用作 VPN 连接 AWS 侧的 Site-to-Site VPN 端点。本节讨论这两个选项。 ### 通过虚拟专用网关进行连接 创建虚拟私有网关后,将其连接到包含您的 SaaS 产品的 VPC。然后,您可以启用路由传播,将 VPN 路由传播到 VPC 路由表。这些路由可以是静态路由,也可以是 BGP 通告的动态路由。 为了实现高可用性, Site-to-SiteVPN 连接有两个 VPN 隧道,这些隧道终止在 AWS 侧面的两个可用区中。如果一条隧道不可用,则第二条隧道可以接管。单个隧道允许的最大带宽为 1.25 Gbps。由于虚拟专用网关不支持等价多路径路由 (ECMP),因此您一次只能使用一条隧道。 要提高容错能力,您可以设置与第二个物理客户网关的第二个 VPN 连接。建立连接后,使用者可以访问 SaaS 提供商的 VPC 中的资源。 下图显示了这种架构。 ![AWS Cloud 通过虚拟网关从本地数据中心到的连接。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/consumer-onprem-site-to-site-vpn-through-virtual-gateway.png) 这种方法的优点如下: + 修复时间:托管故障转移到辅助 VPN 隧道 + 可观察性:使用[网络合成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/what-is-network-monitor.html)监视器集成托管主动监控 + 易于集成:通过 BGP 支持动态路由 + 适应性:与大多数本地网络设备兼容 + 适应性:支持 IPv6 + TCO: AWS Site-to-Site VPN 是一项完全托管的服务,因此所需的运营工作量更少 + TCO:虚拟网关不收费,但每个网关上的两个公有 IPv4 地址都要收费 + 网络隔离:支持通过互联网进行安全的私人通信 以下是这种方法的缺点: + 易于集成:消费者必须配置其客户网关 + 可扩展性:缺乏 ECMP 支持将每个虚拟网关的带宽限制为 1.25 Gbps + 可扩展性:由于网络复杂性和运营开销增加,扩展受限 + 适应性:仅[IPv6 支持](https://docs.aws.amazon.com/vpn/latest/s2svpn/ipv4-ipv6.html) VPN 隧道的内部 IP 地址 + 适应性:没有传递路由 + TCO:为 SaaS 提供商维护、管理和配置大量 VPN 连接所需的运营开销 ### 通过中转网关进行连接 通过中转网关进行的连接类似于虚拟网关。但是,有一些区别需要记住。 首先,可以在传输网关路由表中自动传播 VPN 连接的路由,但您必须手动将路由添加到连接 VPCs的路由中。 与虚拟网关相比,Transit Gateway 支持 ECMP。如果客户网关支持 ECMP,则它可以使用两条隧道来实现 2.5 Gbps 的最大总吞吐量。您可以在同一个本地网络与传输网关之间建立多个连接。使用这种方法,您最多可以将每个连接的最大带宽增加 2.5 Gbps。 下图显示了这种架构。 ![从本地数据中心到 AWS Cloud 直通传输网关的连接。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/consumer-onprem-site-to-site-vpn-through-transit-gateway.png) 这种方法的优点如下: + 修复时间:托管故障转移到辅助 VPN 隧道 + 可观察性:使用[网络合成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/what-is-network-monitor.html)监视器集成托管主动监控 + 易于集成:通过 BGP 支持动态路由 + 可扩展性:ECMP 支持允许[扩展 VPN 吞吐量](https://aws.amazon.com/blogs/networking-and-content-delivery/scaling-vpn-throughput-using-aws-transit-gateway/)以满足较大的带宽需求 + 可扩展性:单个传输网关支持大量 VPN 连接(最多可达 5,000 个) + 可扩展性:一站式管理和监控所有 VPN 连接 + 适应性:与大多数本地网络设备兼容 + 适应性:支持 IPv6 + 适应性:继承灵活性 AWS Transit Gateway + TCO: AWS Transit Gateway 是一项完全托管的服务,因此所需的运营工作量更少 + TCO:虚拟网关不收费,但每个网关上的两个公有 IPv4 地址都要收费 + 网络隔离:支持通过互联网进行安全的私人通信 以下是这种方法的缺点: + 易于集成:消费者必须配置其客户网关 + 可扩展性:由于网络复杂性和运营开销增加,扩展受限 + 适应性:仅[IPv6 支持](https://docs.aws.amazon.com/vpn/latest/s2svpn/ipv4-ipv6.html) VPN 隧道的内部 IP 地址 + TCO:为 SaaS 提供商维护、管理和配置大量 VPN 连接所需的运营开销 + TCO:使用时需额外收费 AWS Transit Gateway + TCO:管理公交网关路由表更加复杂 ## 与... 连接 AWS Direct Connect [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)通过标准的以太网光纤电缆将您的内部网络链接到某个 Direct Connect 位置。与其他架构选项不同,无法在几分钟内建立[专用连接](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html)。相反,如果满足所有要求,则此过程最多可能需要几天的时间。否则,可能需要更长的时间。因此,我们建议您联系您的 AWS 客户团队或寻求 AWS 支持 有关此方法的帮助。或者,您可以选择[由 AWS 合作伙伴提供并与其他客户共享的托管连接](https://docs.aws.amazon.com/directconnect/latest/UserGuide/hosted_connection.html)。无论如何,架构都是一样的。您 Direct Connect 之所以选择,是因为它可以减少延迟、提高带宽或符合监管要求。 要使用该 Direct Connect 连接,消费者必须创建公共、私有或传输虚拟接口。有不同的[架构选项可供选择](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html)。将多个本地位置连接到的最灵活的方法 AWS Cloud 是连接到[Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)的传输虚拟接口。 Direct Connect 网关是一个全球性的逻辑组件,允许服务提供商将多达六个传输网关连接到网关。此外,您最多可以将 30 个虚拟接口连接到网关。为了实现扩展,您可以创建其他 Direct Connect 网关。如前所述,在 SaaS 提供商账户中 VPCs,传输网关随后会附加到。 消费者可以使用一到四个 Direct Connect 连接从总共一两个[Direct Connect 位置](https://aws.amazon.com/directconnect/locations/)进行连接,具体取决于所需的弹性级别。有关更多信息,请参阅[配置 Direct Connect 以实现最大弹性。](https://docs.aws.amazon.com/directconnect/latest/UserGuide/max-resiliency-set-up.html)通过 Internet 建立的 AWS Site-to-Site VPN 连接也可以作为低成本的 Direct Connect 连接备用路径。支持的 Direct Connect 专用连接可用于[MACsec](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html)加密第 2 层上该 Direct Connect 位置和数据中心之间的链路。为了提高数据的机密性,通常会有 Site-to-Site VPN 连接。使用普通的 Site-to-Site VPN 连接,可以在传输网关上终止 VPN 连接。下图显示了这种架构。 ![从本地数据中心到 AWS Cloud 直通的连接 AWS Direct Connect。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/consumer-onprem-direct-connect.png) 这种方法的优点如下: + 可观察性:使用[网络合成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/what-is-network-monitor.html)监视器集成托管主动监控 + 可扩展性:Support 支持更高的带宽吞吐量 + 适应性:支持 IPv6 + TCO:有可能减少数据传输 + 总拥有成本:一致的网络体验 + 网络隔离:可满足监管要求的私有连接 以下是这种方法的缺点: + 易于集成:设置所需的时间和手动操作 + 可扩展性:由于有多个[配额](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html)需要跟踪,因此可扩展性有限,超过数十个 Direct Connect 连接 + 适应性:配置选项取决于可用位置 Direct Connect + TCO:定期 Direct Connect 维护可能会导致停机,需要采取措施 ## 连接传输 VPC 架构 Transit VPC 是一种架构选项,它为消费者提供了连接方式的灵活性 AWS,它允许 SaaS 提供商通过统一访问其服务而受益 AWS PrivateLink。使用者从内部连接到仅包含入口点(例如虚拟私有网关)和接口 VPC 终端节点(一种 AWS PrivateLink 资源)的中转 VPC 终端节点。公交 VPCs 应归SaaS提供商或消费者所有。本节讨论这两个选项。 您可以创建与本地数据中心兼容的 CIDR 范围的传输 VPC 和子网。如果用户需要私有连接,则可以通过 AWS Direct Connect 或连接到该 VPC AWS Site-to-Site VPN。您还可以使用指向 VPC 终端节点的 Application Load Balancer 或 Network Load Balancer 配置从公共互联网访问传输账户。 ### 消费者管理的传输 VPC 在这种方法中,SaaS提供商将公交的管理留给 VPCs 了消费者。从技术角度来看,SaaS提供商的架构与 AWS Cloud 通过连接消费者时的架构相同 AWS PrivateLink。从销售和产品的角度来看,这需要付出额外的努力,因为有些消费者 AWS 账户 还没有。他们可能对开设和操作账户犹豫不决。SaaS 提供商应就如何创建 AWS 账户 和连接其本地数据中心向其消费者提供指导。下图显示了公共和私人接入的组合,其中消费者拥有公交系统 VPCs。 ![使用者管理中的传输 VPC AWS Cloud。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/consumer-onprem-transit-vpc-customer-managed.png) 这种方法的优点如下: + 该修复了:运营开销在很大程度上转移给了 SaaS 消费者 + 适应性:SaaS 消费者可以从不同的访问选项中进行选择 + 适应性:即使在使用 Site-to-Site VPN 时也没有 CIDR 范围冲突 Direct Connect + 所有指标:服务提供商继承权益 AWS PrivateLink 以下是这种方法的缺点: + 易于集成:SaaS 消费者至少需要一个 AWS 账户 + TCO:传输 VPC 是一种架构,而不是完全托管的服务,因此需要更多的运营工作 ### 提供商管理的传输 VPC 这种方法使用相同的技术,但账户界限和职责会发生变化。在这里,SaaS提供商拥有公交 VPCs,最好与SaaS产品分开存放。这种脱钩降低了成本,降低了风险,并允许公交账户独立扩展。对于需要高度隔离的环境,您可以使用子网或为每个使用者创建单独的中转 VPC,从而在租户之间建立额外的隔离。然后,使用者可以选择如何连接到传输 VPC。这种方法为扩大整个潜在市场提供了更多选择,但由于需要操作和监控额外的架构组件,它对SaaS提供商来说具有更高的总体拥有成本。 ![SaaS 提供商管理一个或多个 VPCs 中转 AWS Cloud。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/consumer-onprem-transit-vpc-provider-managed.png) 这种方法的优点如下: + 适应性:SaaS 消费者可以从不同的访问选项中进行选择 + 适应性:SaaS 消费者不必拥有 AWS 账户 + 适应性:即使在使用 Site-to-Site VPN 时也没有 CIDR 范围冲突 Direct Connect 以下是这种方法的缺点: + TCO:传输 VPC 是一种架构,而不是完全托管的服务,因此需要更多的运营工作 + 总拥有成本:SaaS 提供商需要操作和监控其他架构组件 ## 通过公共互联网连接 公共互联网接入也是提供SaaS产品访问权限的有效选择,尽管它不提供传统意义上的私有连接。一些消费者可能仍然更喜欢公共访问方法,因为它不需要在他们和SaaS提供商之间建立额外的网络基础架构。它降低了复杂性、成本和集成时间,以换取更大的攻击面。强大的身份验证和授权机制可以帮助缓解更高的威胁级别,并且您应始终对流量进行加密。在这种情况下,仍然建议您增加一层安全保护,例如使用[AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)。 这种场景中的架构很简单。消费者通过互联网连接到公共主机(SaaS 提供商)。[该应用程序可以直接托管在具有弹性 IP 地址的公共亚马逊弹性计算云 (Amazon EC2) 实例上。](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html)首选选项是将其托管在 Application Load Balancer 或类似服务后面。为了提高性能和缓存静态资产,您可以使用内容分发网络,例如 [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html)。要在两个全球静态 Anycast IP 地址上以最小的延迟为应用程序提供服务,您可以放置[AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)在 Amazon EC2 实例、Network Load Balancer 或 Application Load Balancast 或 Application Load Balancer 的前面。此外 CloudFront,应用程序负载均衡器和 Amazon API Gateway 都与 AWS WAF集成。 AWS AppSync下图概述了公共互联网接入连接选项。 ![通过公共互联网连接到 SaaS 产品。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/consumer-onprem-public.png) 下表描述了此场景支持的协议和集成。 | | | **服务或资源** | **IPv6** | **AWS WAF 整合** | **可以是全球加速器端点** | | --- |--- |--- |--- | | **Amazon CloudFront** | 支持 | 支持 | 不支持 | | **Amazon API Gateway** | 支持 | 支持 | 不支持 | | **AWS AppSync** | 部分支持 | 支持 | 不支持 | | **具有弹性 IP 地址的 Amazon EC2** | 支持 | 不支持 | 支持 | | **应用程序负载均衡器** | 支持 | 支持 | 支持 | | **网络负载均衡器** | 支持 | 不支持 | 支持 | 这种方法的优点如下: + 易于集成:简单性和可访问性 + 可扩展性:无限扩展 + 适应性:不可能发生 CIDR 范围冲突 + 适应性:支持 CloudFront 以下是这种方法的缺点: + 网络隔离:没有私有连接 + 网络隔离:需要采取强有力的安全措施 其他优点和缺点也适用,具体取决于您选择的服务。