SaaS 产品的 AWS 网络服务概述 - AWS 规范性指导
AWS 服务功能安全功能

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SaaS 产品的 AWS 网络服务概述

本节讨论本指南中提及的 AWS 网络服务。它还比较了它们的功能并描述了每项服务的安全注意事项。

AWS 网络服务

以下是本 AWS 服务 指南中一致讨论的内容。

AWS PrivateLink是一项云原生服务,如果您的客户已经在 SaaS 中运营,则可以访问您的 SaaS 产品。 AWS Cloud您的客户通过接口 VPC 终端节点连接到 SaaS 产品。这是在客户的一个或多个子网中配置的端点网络接口。 AWS 账户在本指南的场景中,流量通过接口 VPC 终端节点,到达您账户中的 Network Load Bal ancer。Network Load Balancer 将流量转发到您已注册为终端节点服务的 SaaS 应用程序。通过资源 VPC 终端节点, AWS PrivateLink 还可以帮助您访问其他资源,例如数据库。

Amazon VPC Lattice

Amazon VPC Lattice 是一项应用程序联网服务,可帮助 SaaS 提供商安全、高效地向跨多个 VPCs 和 AWS 账户运营的客户提供服务。客户通过VPC Lattice访问您的SaaS产品,该产品可提供一致的网络连接、强大的访问控制和高级流量管理。在这些场景中,流量通过 VPC Lattice 流向您注册的应用程序服务。无论您使用哪种计算服务,它都能提供可扩展且安全的通信。

VPC 对等连接

VPC 对等互连是两个虚拟私有云 (VPCs) 之间的网络连接,它使用私有 IPv4 地址或 IPv6地址在它们之间路由流量。VPC 对等连接通常在可信实体之间使用,例如同一组织内的实体。您的客户向您的客户创建了对等互连请求。 VPCs当您接受它时,流量可以在两个 VPCs 方向之间流动。这种连接方法因其独特性而引人注目,因为它涉及两者之间的直接通信, VPCs 无需管理任何中介服务或基础架构。

AWS Transit Gateway

AWS Transit Gateway是一个集中式网络传输中心,可以连接 VPCs、虚拟专用网 (VPN) 连接、AWS Direct Connect 网关、VPC 中的第三方虚拟设备以及其他传输网关。传输网关的每个连接可以有不同的路由表。这为路由提供了最大的灵活性,还可以帮助您隔离网络。它通常用于将多个连接在 VPCs 一起或用于集中检查。

AWS Site-to-Site VPN

AWS Site-to-Site VPN可以使用 Internet 协议安全 (IPsec) 技术在本地网络、远程办公室、工厂、其他云提供商和 AWS 全球网络之间建立连接。连接是从 VPC 中的虚拟私有网关或传输网关与物理或基于软件的客户网关建立的,后者可以位于本地或其他 CSP 的云中。 AWS Cloud AWS Cloud可以通过互联网或物理 AWS Direct Connect 连接进行连接。也可以使用加速 Site-to-Site VPN 连接 AWS Global Accelerator。加速连接可将流量路由到 AWS 边缘位置,从而减少延迟并提高性能。

AWS Direct Connect

AWS Direct Connect在本地数据中心和之间建立高速私有连接 AWS Cloud。通过绕过公共互联网, Direct Connect 提供更可靠、更安全、更稳定的低延迟连接。 AWS Cloud客户连接到其中一个Direct Connect 地点,然后选择托管或专用连接 AWS。尽管对于SaaS产品来说,这是一种不常见的架构选择,但它可能非常适合那些只有很少但大型企业消费者的SaaS提供商。

比较服务能力

下表概述了本指南中讨论的支持的功能。 AWS 服务 以下是此表中包含的功能的描述:

  • 重叠 CIDR 范围-可以连接两个或多个 CIDR 范围相同或重叠的网络

  • 双向通信 可以支持双向通信渠道,这样 SaaS 使用者就可以向 SaaS 提供商公开内部资源,例如数据库

  • IPv6 可以支持单 IPv6堆栈或双堆栈

  • 巨型帧 可以支持帧大小不超过 8,500 字节的巨型帧

  • 混合云 可以支持与本地网络的连接

  • 多云 — 可以支持不同云服务提供商的网络之间的连接

服务或方法

重叠的 CIDR 范围

双向通信

IPv6

巨型画面

混合云

多云

VPC 对等连接

没有

是的 5

没有

没有

AWS PrivateLink

1

No 6

No 6

Amazon VPC Lattice

1

No 6

No 6

AWS Transit Gateway

没有

是的 3

是的 3

AWS Site-to-Site VPN

没有

没有

AWS Direct Connect

没有

2

公共互联网接入 4

不适用

没有

  1. 在 Amazon VPC 中使用 VPC 资源莱迪思

  2. 仅适用于私有和传输虚拟接口

  3. 使用 Site-to-Site VPN 或 AWS Direct Connect 附件

  4. 作为使应用程序可公开访问的 AWS 资源的统称,例如 Application Load Balancer

  5. 仅适用于同一个内部的对等连接 AWS 区域

  6. 可通过环境之间预先存在的第 3 层连接实现

安全功能和注意事项

下表概述了本指南 AWS 服务 中讨论的安全功能。

  • 身份验证方式 — 如何确保只有您的客户才能连接到您的服务。通常仍需要对传入的请求进行另一级别的身份验证,尤其是在共享租户环境中。

  • 传输中的加密-描述默认情况下是否提供传输中的加密。本机加密描述了为数据中心内 VPCs VPCs、跨数据中心或跨数据中心的所有流量 AWS 提供加密功能。补充加密描述的是您可以控制的加密,并且可以由相应的服务停止这些加密。

服务或方法

身份验证方式

传输中加密

VPC 对等连接

您可以向客户的 AWS 账户 和 VPC 发起对等互连请求或接受他们发起的请求。请参阅接受或拒绝 VPC 对等连接

仅限本机加密

AWS PrivateLink

您可以选择允许 AWS 账户 哪些服务创建终端节点。这些账户被称为允许的委托人。请参阅接受或拒绝连接请求

仅限本机加密

Amazon VPC Lattice

您与客户 AWS 账户共享VPC莱迪思服务或服务网络。请参阅共享您的 VPC 莱迪思实体

本机加密和补充 TLS 加密

AWS Transit Gateway

您的客户向其创建对等连接请求 AWS 账户,或者您发起请求。请参阅 Amazon VPC 传输网关中的公交网关对等连接附件

本机加密和带有 VPN 附件的补充 IPsec 加密

AWS Site-to-Site VPN

您可以在客户的设备上使用 IPsec 预共享密钥或私有证书。请参阅AWS Site-to-Site VPN 隧道身份验证选项

补充 IPsec 加密

AWS Direct Connect

您的客户从他们那里创建了一个虚拟接口请求 AWS 账户。请参阅Direct Connect 虚拟接口和托管虚拟接口

在选定站点可以进行第 2 层补充加密。参见Direct Connect 地点

公共互联网接入 1

需要自定义身份验证。

可以进行补充 TLS 加密

  1. 作为使应用程序可公开访问的 AWS 资源的统称,例如 Application Load Balancer