灵活的成本分配 - Amazon VPC
计量策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

灵活的成本分配

默认情况下,Transit Gateway 使用基于发件人的成本分配模型,其中数据处理费用分配给拥有源附件的账户。您可以创建自定义计量策略,根据流量属性(例如附件类型、特定附件 IDs或网络地址)来定义应向哪些账户收费。

计量策略由有序的规则组成,这些规则按从最低到最高的规则编号进行评估。当流量与规则匹配时,将根据规则的配置向指定账户收费。您可以通过以下选项指定用于分配成本的账户所有者:

  • 来源附件所有者-费用分配给拥有源附件的账户(默认行为)

  • 目标附件所有者-费用将分配给拥有目标附件的账户

  • Transit Gateway 所有者-费用将分配给拥有公交网关的账户

灵活的成本分配可为使用集中式网络架构的组织提供更好的成本管理,无论网络拓扑结构如何,都可以将成本分配给相应的业务部门或应用程序所有者。

注意

灵活的成本分配允许您灵活地分配计量使用量,进而将费用分配给您选择的账户所有者。但是, AWS 账户的税收影响可能因地理位置、使用模式和其他因素而有很大差异。在启用此功能之前,请查看贵 AWS 组织中账户的账单、税收和成本管理影响。参考:什么是 B AWS illing and Cost Management?

计量策略

计量策略允许您为交通网关配置成本分配规则,以根据流量属性控制向哪些账户收取数据处理和传输费用。此功能可为使用集中式网络架构的组织提供更好的成本管理和按存储容量使用计费功能。

计量策略由以下内容组成:

  • 计量策略-包含计量策略规则的整体配置容器。创建后,它包含一个默认的计量策略条目,该条目配置为向源附件所有者收取所有流量。每个传输网关只能有一个计量策略。

  • 计量策略条目-计量策略中的单个规则,用于定义特定的匹配标准和用于计量使用情况的帐户。每个条目都包括评估顺序、流量匹配条件(例如源和目标连接类型、附件、CIDR 块 IDs、端口和协议)的规则编号,以及应向哪个账户所有者收取匹配流量费用。一个策略最多可以包含 50 个条目,按从最低到最高的规则编号顺序进行评估。

    您可以将计量使用量分配给以下任何一个:

    • 来源附件所有者:将计量使用量分配给拥有流量来源附件的账户(默认行为)

    • 目标附件所有者:将计量使用量分配给拥有流量终止的附件的账户,以及

    • 公交网关所有者:将计量使用量分配给拥有公交网关的账户。

  • Middlebox 附件-(可选)指定的传输网关附件,用于通过网络设备路由流量,以实现安全检查、负载平衡或其他网络功能。通过中间框附件的流量使用量按计量策略中指定的账户所有者计量。您最多可以指定 10 个中间框附件。支持的中间盒附件类型包括网络功能(Network Fire AWS wall)、VPC 和 VPN 附件。

计量策略的工作原理

默认情况下,Transit Gateway 使用基于发件人的成本分配模型,其中数据处理费用按拥有源附件的账户计量。借助计量策略,您可以创建自定义规则,根据以下流量属性灵活地计量使用情况:

  • 源和目标连接类型(VPC、VPN、Direct Connect 网关、对等连接、网络功能和 VPN 集中器)

  • 源和目标附件 IDs

  • 源和目标 IP 地址、端口范围和协议

计量策略由有序的规则组成,这些规则按从最低到最高的规则编号进行评估。当流量与规则匹配时,将根据该规则的计费账户设置向指定账户收费。计量策略解决了几种常见的组织场景:

  • 混合环境成本分配:将通过 Direct Connect Gateway AWS 从本地输入数据的成本分配给目标 VPC 账户所有者,而不是中央 IT 管理员账户所有者。

  • 集中式检查架构:将成本分配给个人应用程序或 VPC 账户所有者,而不是将通过检查穿越流量的成本分配给中央安全团队。 VPCs

  • 基于应用程序的计费:无论流量方向如何,都将工作负载的所有数据使用成本分配给 VPC 所有者。

  • 客户成本分配:当客户账户为您的公交网关创建附件时,将数据成本分配给他们。

中间箱附件

传输网关计量策略支持 Middlebox 附件,允许您灵活地为通过中间盒设备(例如网络防火墙和负载均衡器)路由的网络流量分配数据处理费用。中间框附件的示例有 Network Fire AWS wall 的网络功能附件或将流量路由到 VPC 中的第三方安全设备的 VPC 附件。对于典型的安全检查用例,源和目标传输网关附件之间的流量通过这些中间箱附件进行传输。您可以定义计量策略,灵活地将中间框附件的数据处理使用量分配给原始源附件、最终目标附件或公交网关账户所有者。对于网络功能附件,Network Fire AWS wall 数据处理费用也分配给按流量计费的帐户。

灵活的成本分配-计量使用类型

通过计量策略灵活分配成本适用于以下数据使用类型:

  • VPC、VPN、VPN 集中器和 Direct Connect 附件上的传输网关数据处理使用情况

  • Site-to-site VPN 连接上的 VPN 数据传出使用情况

  • 在 Direct Connect 附件上使用直接连接数据传出。

  • TGW 对等连接附件的数据传输使用情况

  • Transit gateway 网络功能附件的数据处理使用情况

  • AWS 网络功能附件上的网络防火墙 (NFW) 数据处理使用情况。

灵活的成本分配不适用于附件每小时使用量和多播数据处理用量。对于 Transit Gateway Connect 附件,可以为底层传输 VPC 或 Direct Connect 附件定义计量策略。对于私有 IP VPN 附件,可以为底层传输 Direct Connect 附件定义计量策略。

注意事项和限制

在为公交网关实施计量策略时,请考虑以下几点。

Permissions

  • 只有传输网关所有者才能创建、修改或删除计量策略。

  • 成本分配设置适用于公交网关级别。

  • 附件所有者无法覆盖公交网关所有者配置的成本分配设置。

Transit Gateway 对

当流量穿过公交网关对等连接时:

  • 每个公交网关都独立应用自己的计量策略。

  • 数据费用由每个中转网关根据其本地政策单独分配。

  • 流量可以看作是两个独立的流:对等连接的源连接和对等到目标连接的对等。

云广域网集成

将传输网关连接到 Cloud WAN 核心网络时:

  • 对等连接的中转网关数据传输费用根据传输网关计量策略进行分配。

  • Cloud WAN 核心网络不支持计量策略。

性能影响

  • 计量策略不会引入任何额外的数据路径延迟。

  • 计量策略对每个连接的最大带宽没有影响。

  • 公交网关资源共享功能没有变化。

账单集成

  • 成本分配标签继续与计量策略配合使用,用于按业务部门组织成本。

  • 计量策略定义了哪些账户会产生成本,而成本分配标签则有助于对这些成本进行分类。

  • 对计量政策的更改将在下一个计费时间结束时生效。

IPv6 支持

IPv4 和 IPv6 流量都支持计量策略。策略条目中的 CIDR 块匹配适用于两个地址系列。

支持中间盒附件

  • Middlebox 计量策略假设原始源和目标附件之间的流量通过指定的中间框附件(例如东西向流量检查)进行头发固定。 VPC-to-VPC因此,流入和流出中间框附件的网络 5 元组(source/destination IPs, source/destination端口和协议)必须匹配。中间框附件(例如检查 VPC 中的 NAT 转换)上有 5 元组不匹配的流被视为常规的源-目标连接流(而不是中间框连接流)。

  • 中间盒连接上的所有仅限出口的流量(例如,在检查 VPC 中通过 IGW 到互联网的南北流量)都被视为常规的源-目标流(而不是中间框连接流)。

  • 对于网络防火墙丢弃数据包时的 AWS 网络功能附件,无论计量策略配置如何,所有数据处理使用量都将退还给发送者帐户。

主题