本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# SaaS 产品的 AWS 网络服务概述
<a name="services"></a>

本节讨论本指南中提及的 AWS 网络服务。它还比较了它们的功能并描述了每项服务的安全注意事项。

**Topics**
+ [AWS 网络服务](#services-aws)
+ [比较服务能力](#services-capabilities)
+ [安全功能和注意事项](#services-security-features)

## AWS 网络服务
<a name="services-aws"></a>

以下是本 AWS 服务 指南中一致讨论的内容。

### AWS PrivateLink
<a name="privatelink"></a>

[AWS PrivateLink****](https://docs.aws.amazon.com/de_de/vpc/latest/privatelink/what-is-privatelink.html)是一项云原生服务，如果您的客户已经在 SaaS 中运营，则可以访问您的 SaaS 产品。 AWS Cloud您的客户通过接[口 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)连接到 SaaS 产品。这是在客户的一个或多个子网中配置的端点网络接口。 AWS 账户在本指南的场景中，流量通过接口 VPC 终端节点，到达您账户中的 [Network Load Bal](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) ancer。Network Load Balancer 将流量转发到您已注册为*终端节点服务*的 SaaS 应用程序。通过[资源 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/use-resource-endpoint.html)， AWS PrivateLink 还可以帮助您访问其他资源，例如数据库。

### Amazon VPC Lattice
<a name="vpc-lattice"></a>

[Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html) 是一项应用程序联网服务，可帮助 SaaS 提供商安全、高效地向跨多个 VPCs 和 AWS 账户运营的客户提供服务。客户通过VPC Lattice访问您的SaaS产品，该产品可提供一致的网络连接、强大的访问控制和高级流量管理。在这些场景中，流量通过 VPC Lattice 流向您注册的应用程序服务。无论您使用哪种计算服务，它都能提供可扩展且安全的通信。

### VPC 对等连接
<a name="vpc-peering"></a>

[VPC 对](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)等互连是两个虚拟私有云 (VPCs) 之间的网络连接，它使用私有 IPv4 地址或 IPv6地址在它们之间路由流量。VPC 对等连接通常在可信实体之间使用，例如同一组织内的实体。您的客户向您的客户创建了对等互连请求。 VPCs当您接受它时，流量可以在两个 VPCs 方向之间流动。这种连接方法因其独特性而引人注目，因为它涉及两者之间的直接通信， VPCs 无需管理任何中介服务或基础架构。

### AWS Transit Gateway
<a name="transit-gateway"></a>

[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)是一个集中式网络传输中心，可以连接 VPCs、虚拟专用网 (VPN) 连接、[AWS Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)、VPC 中的第三方虚拟设备以及其他传输网关。传输网关的每个连接可以有不同的路由表。这为路由提供了最大的灵活性，还可以帮助您隔离网络。它通常用于将多个连接在 VPCs 一起或用于集中检查。

### AWS Site-to-Site VPN
<a name="site-to-site-vpn"></a>

[AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)可以使用 Internet 协议安全 (IPsec) 技术在本地网络、远程办公室、工厂、其他云提供商和 AWS 全球网络之间建立连接。连接是从 VPC 中的虚拟私有网关或传输网关与物理或基于软件的客户网关建立的，后者可以位于本地或其他 CSP 的云中。 AWS Cloud AWS Cloud可以通过互联网或物理 AWS Direct Connect 连接进行连接。也可以使用[加速 Site-to-Site VPN 连接](https://docs.aws.amazon.com/vpn/latest/s2svpn/accelerated-vpn.html) AWS Global Accelerator。加速连接可将流量路由到 AWS 边缘位置，从而减少延迟并提高性能。

### AWS Direct Connect
<a name="direct-connect"></a>

[AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)在本地数据中心和之间建立高速私有连接 AWS Cloud。通过绕过公共互联网， Direct Connect 提供更可靠、更安全、更稳定的低延迟连接。 AWS Cloud客户连接到其中一个[Direct Connect 地点](https://aws.amazon.com/directconnect/locations/)，然后选择托管或专用连接 AWS。尽管对于SaaS产品来说，这是一种不常见的架构选择，但它可能非常适合那些只有很少但大型企业消费者的SaaS提供商。

## 比较服务能力
<a name="services-capabilities"></a>

下表概述了本指南中讨论的支持的功能。 AWS 服务 以下是此表中包含的功能的描述：
+ **重叠 CIDR 范围**-可以连接两个或多个 CIDR 范围相同或重叠的网络
+ **双向通信** —**** 可以支持双向通信渠道，这样 SaaS 使用者就可以向 SaaS 提供商公开内部资源，例如数据库
+ **IPv6**—**** 可以支持单 IPv6堆栈或双堆栈
+ **巨型帧** —**** 可以支持帧大小不超过 8,500 字节的巨型帧
+ **混合云** —**** 可以支持与本地网络的连接
+ **多云** — 可以支持不同云服务提供商的网络之间的连接


| 
| 
| **服务或方法** | **重叠的 CIDR 范围** | **双向通信** | **IPv6** | **巨型画面** | **混合云** | **多云** | 
| --- |--- |--- |--- |--- |--- |--- |
| **VPC 对等连接** | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)没有 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png)是的 5 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)没有 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)没有 | 
| **AWS PrivateLink** | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是1 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)No 6 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)No 6 | 
| **Amazon VPC Lattice** | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是1 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)No 6 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)No 6 | 
| **AWS Transit Gateway** | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)没有 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png)是的 3 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png)是的 3 | 
| **AWS Site-to-Site VPN** | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)没有 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)没有 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | 
| **AWS Direct Connect** | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)没有 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是2 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | 
| **公共互联网接入** 4 | 不适用 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png)没有 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | 

1. 在 Amazon [VPC 中使用 VPC 资源](https://docs.aws.amazon.com/vpc-lattice/latest/ug/vpc-resources.html)莱迪思

1. 仅适用于私有和传输虚拟接口

1. 使用 Site-to-Site VPN 或 AWS Direct Connect 附件

1. 作为使应用程序可公开访问的 AWS 资源的统称，例如 Application Load Balancer

1. 仅适用于同一个内部的对等连接 AWS 区域

1. 可通过环境之间预先存在的第 3 层连接实现

## 安全功能和注意事项
<a name="services-security-features"></a>

下表概述了本指南 AWS 服务 中讨论的安全功能。
+ **身份验证**方式 — 如何确保只有您的客户才能连接到您的服务。通常仍需要对传入的请求进行另一级别的身份验证，尤其是在共享租户环境中。
+ **传输中的加密**-描述默认情况下是否提供传输中的加密。*本机加密*描述了为数据中心内 VPCs VPCs、跨数据中心或跨数据中心的所有流量 AWS 提供加密功能。*补充加密*描述的是您可以控制的加密，并且可以由相应的服务停止这些加密。


| 
| 
| **服务或方法** | **身份验证方式** | **传输中加密** | 
| --- |--- |--- |
| **VPC 对等连接** | 您可以向客户的 AWS 账户 和 VPC 发起对等互连请求或接受他们发起的请求。请参阅[接受或拒绝 VPC 对等连接](https://docs.aws.amazon.com/vpc/latest/peering/accept-vpc-peering-connection.html)。 | 仅限本机加密 | 
| **AWS PrivateLink** | 您可以选择允许 AWS 账户 哪些服务创建终端节点。这些账户被称为*允许的委托人。*请参阅[接受或拒绝连接请求](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests)。 | 仅限本机加密 | 
| **Amazon VPC Lattice** | 您与客户 AWS 账户共享VPC莱迪思服务或服务网络。请参阅[共享您的 VPC 莱迪思实体](https://docs.aws.amazon.com/vpc-lattice/latest/ug/sharing.html)。 | 本机加密和补充 TLS 加密 | 
| **AWS Transit Gateway** | 您的客户向其创建对等连接请求 AWS 账户，或者您发起请求。请参阅 [Amazon VPC 传输网关中的公交网关对等连接附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-peering.html)。 | 本机加密和带有 VPN 附件的补充 IPsec 加密 | 
| **AWS Site-to-Site VPN** | 您可以在客户的设备上使用 IPsec 预共享密钥或私有证书。请参阅[AWS Site-to-Site VPN 隧道身份验证选项](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-tunnel-authentication-options.html)。 | 补充 IPsec 加密 | 
| **AWS Direct Connect** | 您的客户从他们那里创建了一个虚拟接口请求 AWS 账户。请参阅[Direct Connect 虚拟接口和托管虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)。 | 在选定站点可以进行第 2 层补充加密。参见[Direct Connect 地点](https://aws.amazon.com/directconnect/locations/)。 | 
| **公共互联网接入** 1 | 需要自定义身份验证。 | 可以进行补充 TLS 加密 | 

1. 作为使应用程序可公开访问的 AWS 资源的统称，例如 Application Load Balancer