本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SaaS 產品 AWS 聯網服務概觀
本節討論本指南中參考的 AWS 聯網服務。它也會比較其功能,並說明每個服務的安全考量。
AWS 聯網服務
以下是本指南中一致討論 AWS 服務 的 。
AWS PrivateLink
AWS PrivateLink 是一項雲端原生服務,可在您的客戶已在 中操作時提供存取您的 SaaS 產品 AWS 雲端。您的客戶會透過介面 VPC 端點連線至 SaaS 產品。這是在客戶 的一或多個子網路中佈建的端點網路介面 AWS 帳戶。在本指南的案例中,流量會通過界面 VPC 端點,並到達您帳戶中的 Network Load Balancer。Network Load Balancer 會將流量轉送至您已註冊為端點服務的 SaaS 應用程式。透過資源 VPC 端點, AWS PrivateLink 也可以協助您存取其他資源,例如資料庫。
Amazon VPC Lattice
Amazon VPC Lattice 是一種應用程式聯網服務,可協助 SaaS 供應商安全且有效率地將其服務提供給跨多個 VPCs 和 操作的客戶 AWS 帳戶。客戶透過 VPC Lattice 存取您的 SaaS 產品,可提供一致的網路連線、強大的存取控制和進階流量管理。在這些情況下,流量會透過 VPC Lattice 流向已註冊的應用程式服務。無論您使用哪種運算服務,它都能提供可擴展且安全的通訊。
VPC 對等互連
VPC 對等互連是兩個虛擬私有雲端 (VPCs) 之間的網路連線,透過使用私有 IPv4 地址或 IPv6 地址路由它們之間的流量。VPC 對等互連通常會在信任的實體之間使用,例如同一組織內的實體。您的客戶會建立對等請求給其中一個 VPCs。當您接受它時,流量可以在兩個 VPCs之間雙向流動。這種連線方法因其唯一性而突出,因為它涉及兩個 VPCs之間的直接通訊,而不需要管理任何中介服務或基礎設施。
AWS Transit Gateway
AWS Transit Gateway 是集中式網路傳輸中樞,可連接 VPCs、虛擬私有網路 (VPN) 連線、AWS Direct Connect 閘道、VPC 中的第三方虛擬設備,以及其他傳輸閘道。每個附件的傳輸閘道可以有不同的路由表。這可提供最大的路由彈性,並可協助您隔離網路。它通常用於將許多 VPCs連接在一起或進行集中式檢查。
AWS Site-to-Site VPN
AWS Site-to-Site VPN 可以使用網際網路通訊協定安全 (IPsec) 技術,在內部部署網路、遠端辦公室、工廠、其他雲端供應商和 AWS 全球網路之間建立連線。連線是從 中 VPC 中的虛擬私有閘道或傳輸閘道 AWS 雲端 建立到實體或軟體型客戶閘道,該閘道可以位於 AWS 雲端、內部部署或其他 CSP 雲端。連線可以透過網際網路或實體 AWS Direct Connect 連線。也可以使用 進行加速Site-to-Site連接 AWS Global Accelerator。加速連線會將流量路由到 AWS 節點,並降低延遲並改善效能。
AWS Direct Connect
AWS Direct Connect 在內部部署資料中心和 之間建立高速的私有連線 AWS 雲端。透過繞過公有網際網路, Direct Connect 提供更可靠、安全和一致的低延遲連線給 AWS 雲端。客戶連線到其中一個Direct Connect 位置
比較服務功能
下表概述本指南中 AWS 服務 討論的 支援的功能。以下是此資料表中包含的功能說明:
-
重疊 CIDR 範圍 – 可以連接具有相同或重疊 CIDR 範圍的兩個或多個網路
-
雙向通訊 – 可支援雙向通訊管道,讓 SaaS 取用者可以向 SaaS 供應商公開內部資源,例如資料庫
-
IPv6 – 可支援 IPv6,無論是單一或雙堆疊
-
巨型訊框 – 可支援巨型訊框,訊框大小上限為 8,500 個 位元組
-
混合雲端 – 可支援與內部部署網路的連線
-
多雲端 – 可支援不同雲端服務供應商上網路之間的連線
服務或方法 |
重疊 CIDR 範圍 |
雙向通訊 |
IPv6 |
巨型訊框 |
混合雲端 |
多雲端 |
|---|---|---|---|---|---|---|
VPC 對等互連 |
||||||
AWS PrivateLink |
||||||
Amazon VPC Lattice |
||||||
AWS Transit Gateway |
||||||
AWS Site-to-Site VPN |
||||||
AWS Direct Connect |
||||||
公有網際網路存取4 |
不適用 |
-
使用 Amazon VPC Lattice 中的 VPC 資源
-
僅適用於私有和傳輸虛擬介面
-
使用Site-to-Site或 AWS Direct Connect 附件
-
做為讓應用程式可公開存取之 AWS 資源的一般術語,例如 Application Load Balancer
-
僅適用於一個 內的對等連線 AWS 區域
-
可透過環境之間預先存在的第 3 層連線來實現
安全功能和考量事項
下表概述本指南中 AWS 服務 討論的 安全功能。
-
身分驗證方法 – 如何確保只有客戶可以連線到您的服務。傳入請求的另一層級身分驗證通常是必要的,尤其是在共用租用戶環境中。
-
傳輸中加密 – 描述是否預設提供傳輸中加密。原生加密描述為 VPCs、跨 VPCs 或跨資料中心內的所有流量 AWS 提供的加密。補充加密說明您控制且可由個別 服務停止的加密。
服務或方法 |
身分驗證的方法 |
傳輸中加密 |
|---|---|---|
VPC 對等互連 |
您對客戶的 AWS 帳戶 和 VPC 起始對等請求,或接受他們起始的請求。請參閱接受或拒絕 VPC 對等互連。 |
僅限原生加密 |
AWS PrivateLink |
您可以選擇 AWS 帳戶 允許哪些 為您的服務建立端點。這些帳戶稱為允許的主體。請參閱接受或拒絕連線請求。 |
僅限原生加密 |
Amazon VPC Lattice |
您與客戶的 共用 VPC Lattice 服務或服務網路 AWS 帳戶。請參閱共用 VPC Lattice 實體。 |
原生加密和補充 TLS 加密 |
AWS Transit Gateway |
您的客戶從他們的 建立對等連接請求 AWS 帳戶,或者您啟動請求。請參閱 Amazon VPC Transit Gateways 中的傳輸閘道對等互連附件。 |
使用 VPN 連接進行原生加密和補充 IPsec 加密 |
AWS Site-to-Site VPN |
您可以在客戶的裝置上使用 IPsec 預先共用金鑰或私有憑證。請參閱AWS Site-to-Site VPN 通道身分驗證選項。 |
補充 IPsec 加密 |
AWS Direct Connect |
您的客戶從 建立虛擬介面請求 AWS 帳戶。請參閱Direct Connect 虛擬介面和託管虛擬介面。 |
可在所選站點進行補充第 2 層加密。請參閱Direct Connect 位置 |
公有網際網路存取1 |
需要自訂身分驗證。 |
可能的補充 TLS 加密 |
-
做為讓應用程式可公開存取之 AWS 資源的一般術語,例如 Application Load Balancer
