在 上操作的 SaaS 消費者 AWS - AWS 方案指引
AWS PrivateLinkAmazon VPC LatticeVPC 對等互連AWS Transit Gateway

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 上操作的 SaaS 消費者 AWS

如果您和您的消費者都在 中操作,本節會討論連線選項 AWS 雲端。此案例提供最大的彈性,因為許多 AWS 服務 原生整合 和 ,因為雙方都可以存取整個 AWS 服務 產品組合。

下列聯網值映射摘要說明每個評估指標的這些選項分數。如需評估指標的詳細資訊,請參閱本指南中的評估指標。在地圖中,5 代表最佳分數,例如最低 TCO、最佳網路隔離或最低修復時間。如需如何讀取此雷達圖的詳細資訊,請參閱本指南網路值映射中的 。

顯示每個評估指標分數的雷達圖。

雷達圖顯示下列值。

評估指標 AWS PrivateLink Amazon VPC Lattice VPC 對等互連 AWS Transit Gateway
易於整合 5 5 4 3
TCO 5 5 3 4
可擴展性 5 4 1 4
適應性 4 5 2 3
網路隔離 5 5 2 3
可觀測性 4 5 4 4
修復時間 5 5 5 4

AWS PrivateLink 是整合 SaaS 產品最雲端原生的方式。SaaS 供應商可以在 Network Load Balancer 後方託管其應用程式。Network Load Balancer 會直接與 Application Load BalancerAmazon Elastic Container Service (Amazon ECS)Amazon Elastic Kubernetes Service (Amazon EKS)Auto Scaling 群組整合。您也可以將流量從 Network Load Balancer 路由到 SaaS 供應商帳戶中的 VPC 端點。這可協助您使用 API 來連接應用程式,例如透過 Amazon API GatewayAWS AppSync。如果您的應用程式需要存取客戶環境中未平衡負載的資源,例如資料庫,您可以使用資源 VPC 端點

AWS PrivateLink 支援每個可用區域高達 100 Gbps 的頻寬。下圖顯示具有一些可能整合的基本組態。它透過 將兩個消費者帳戶連接到 SaaS 提供者帳戶 AWS PrivateLink。消費者帳戶中有服務端點,SaaS 供應商帳戶中有 Network Load Balancer。

AWS PrivateLink 具有選用整合的 基本組態。

以下是此方法的優點:

  • 易於整合:不需要變更路由表

  • 易於整合:您可以透過 提供端點服務 AWS Marketplace

  • 易於整合:VPC 端點支援易記的 DNS 名稱

  • 可擴展性:它可以擴展到數千個 SaaS 消費者

  • 適應性:支援重疊 CIDR 範圍

  • 適應性:支援 IPv6

  • 適應性:跨區域支援

  • TCO: AWS PrivateLink 是全受管服務,因此需要的營運工作較少

  • 網路隔離:SaaS 消費者的安全優勢,因為流量無法從 SaaS 供應商啟動

  • 網路隔離:SaaS 供應商的安全優勢,因為它們不會暴露整個子網路或 VPC

以下是此方法的缺點:

  • 適應性:SaaS 供應商必須使用與消費者相同的可用區域

  • 適應性:僅支援用戶端起始的連線,服務起始的通訊需要資源 VPC 端點

  • 適應性:Network Load Balancer 是 的唯一直接整合 AWS PrivateLink

共用 Amazon VPC Lattice 服務

若要使用 Amazon VPC Lattice 做為 SaaS 應用程式的連線選項,您必須先建立一或多個代表 SaaS 應用程式元件的 VPC Lattice 服務。您可以設定接聽程式和路由規則,將流量導向後端目標,例如 Amazon EC2 執行個體、容器或 AWS Lambda 函數。如需詳細資訊,請參閱在 VPC Lattice 服務網路中連接 Saas 服務 (AWS 部落格文章)。就概念而言,這幾乎與設定 Application Load Balancer 相同。然後,您可以使用 AWS Resource Access Manager (AWS RAM) 指定他們擁有的許可,安全地與客戶 AWS 帳戶 或組織共用 SaaS 服務。客戶接受資源共享後,可以將 SaaS 服務與其現有或新建立的 VPC Lattice 服務網路建立關聯,以啟用service-to-service通訊。

每個 VPC Lattice 服務每秒每個可用區域最多可支援 10 Gbps 和 10,000 個請求。透過實作身分驗證政策,您的客戶可以精細控制哪些 服務和資源可以存取 SaaS 應用程式。您可以使用資源閘道來存取需要 TCP 連線的資源。例如,這可能是您管理的 Amazon EKS 叢集,也可能是應用程式需要存取的客戶受管資源。如需針對 SaaS 產品使用資源閘道的詳細資訊,請參閱AWS 帳戶 使用 VPC 資源 AWS PrivateLink 支援將 SaaS 功能延伸到 (AWS 部落格文章)。

下圖顯示具有一些範例整合的高階 VPC Lattice 組態。它使用客戶管理的服務網路來存取 SaaS 應用程式。

具有選用整合的 Amazon VPC Lattice 基本組態。

以下是此方法的優點:

  • 易於整合:不需要變更路由表

  • 易於整合:開箱即用的 服務探索

  • 可擴展性:它可以擴展到數千個 SaaS 消費者

  • 適應性:支援重疊 CIDR 範圍

  • 適應性:支援 IPv6

  • 適應性:整合任何 AWS 運算服務做為 VPC Lattice 服務

  • TCO:VPC Lattice 是全受管服務,因此需要的營運工作較少

  • TCO:具有進階流量路由的內建負載平衡

  • 網路隔離:具有身分驗證政策的精細授權

  • 網路隔離:SaaS 消費者的安全優勢,因為流量無法從 SaaS 供應商啟動

  • 網路隔離:SaaS 供應商的安全優勢,因為您未公開整個子網路或 VPC

以下是此方法的缺點:

  • 適應性:僅支援用戶端起始的連線,服務起始的通訊需要資源閘道

  • 適應性:無跨區域支援

建立 VPC 對等互連

當您使用 VPC 對等互連將 SaaS 提供者的 VPC 連接到消費者的 VPC 時,雙方都可以啟動連線。這需要兩個帳戶中安全群組、防火牆和網路存取控制清單 (NACLs的適當組態。否則,不需要的流量可能會透過對等連線進入網路。您可以使用安全群組來參考對等 VPCs的安全群組。這可協助您控制對應用程式的存取,因為相較於允許列出 IP 地址,允許列出安全群組可提供更明確且精細的存取控制。

使用 VPC 對等互連,可透過 VPC 中部署的服務或資源來存取 SaaS 產品。大多數 SaaS 應用程式都位於 Application Load Balancer 或 Network Load Balancer 後方。AWS AppSync 私有 APIsAmazon API Gateway 私有 APIs 是 SaaS 應用程式的其他常見進入點,因為它們可以透過介面 VPC 端點透過對等連線成為目標。

建立對等連線後,您必須更新兩個帳戶中 VPCs的路由表,將對等連線定義為個別 CIDR 範圍的下一個躍點。此解決方案建議僅適用於擁有幾個消費者的 SaaS 提供者,因為管理多個互連連線很快就會變得太複雜。

下圖顯示具有一些可能整合的基本組態。兩個消費者帳戶中VPCs 與 SaaS 提供者帳戶中的 VPC 具有對等連線。

多個帳戶之間 VPC 對等互連的基本組態。

以下是此方法的優點:

  • 修復時間:沒有單一通訊失敗點

  • 可擴展性:VPC 對等互連沒有頻寬限制

  • TCO:對等連線或相同可用區域內對等連線的流量不收取費用

  • TCO:無需管理基礎設施

  • 適應性:支援 IPv6

  • 適應性:支援區域間對等互連

以下是此方法的缺點:

  • 適應性:不支援暫時性路由

  • 適應性:不支援重疊的 CIDR 範圍

  • 可擴展性:可擴展性有限 (每個 VPC 最多 125 個互連連線)

  • TCO:透過每個額外的互連連線,複雜性呈指數增長

  • TCO:管理路由表、對等連線本身、安全群組規則和流量檢查的開銷

  • 網路隔離:由於雙方的整個 VPCs 都公開,因此需要嚴格的安全控制

使用 VPCs AWS Transit Gateway

當您透過 連接 VPCs 時AWS Transit Gateway,它會建立 VPC 連接,並在每個可用區域的子網路中部署網路介面,該子網路應路由往返 VPC 的流量。建議在 VPC 連接的每個可用區域中都有專用/28子網路。如需詳細資訊,請參閱 Amazon VPC Transit Gateways 設計最佳實務。VPCs 需要更新的路由表,才能透過部署的網路界面傳送流量,且 Transit Gateway 路由表需要相應地更新。在多租戶組態中,您希望 SaaS 提供者的 VPC 路由到所有消費者的 VPCs。消費者的 VPCs 應該只有通往 SaaS 提供者 VPC 的路由。

Transit Gateway 透過設計提供高可用性。它支援使用 VPC 流量日誌進行監控,傳輸閘道連接的最大頻寬為每個可用區域 100 Gbps。如同 VPC 對等互連,此方法可啟用跨 VPC 安全群組參考,簡化環境之間的存取控制。

使用 Transit Gateway 將消費者連線至您的 SaaS 產品有兩個主要選項。

選項 1:使用 RAM

在第一個選項中,服務提供者會使用 () 與消費者共用 Transit GatewayAWS Resource Access ManagerAWS RAM這可讓消費者在自己的帳戶中部署 VPC 連接。下圖顯示此選項的高層級。

消費者將傳輸閘道附件部署到其 VPCs。

選項 2:對等傳輸閘道

第二個選項是將傳輸閘道與消費者帳戶中的傳輸閘道對等。這可讓消費者更具彈性,因為他們現在可以完全控制其傳輸閘道內的路由表。例如,他們可以在服務與其工作負載之間設定集中式檢查。此選項的缺點是僅支援傳輸閘道之間的靜態路由。下圖顯示此選項的高層級。

消費者和 SaaS 提供者會建立對等傳輸閘道。

以下是此方法的優點:

  • 可擴展性:支援最多 5,000 個附件

  • 可擴展性:管理和監控所有連線 VPCs單一位置

  • 適應性:傳輸閘道也可以連接到 VPNs、 Direct Connect 閘道和第三方 SD-WAN 設備

  • 適應性:彈性架構,例如新增檢查 VPC

  • 適應性:支援可轉移路由

  • 適應性:可以對等區域內和區域間傳輸閘道

  • 適應性:支援 IPv6

  • TCO: AWS Transit Gateway 是全受管服務,因此需要的營運工作較少

  • TCO:隨著每個額外的傳輸閘道連接,TCO 會線性成長

以下是此方法的缺點:

  • 易於整合:路由組態需要進階聯網知識

  • 適應性:不支援重疊的 CIDR 範圍

  • TCO:管理路由表項目、安全群組規則和流量檢查的額外負荷

  • 安全性:由於雙方的整個 VPCs 都公開,因此需要嚴格的安全控制