Описание изображения

Много Страшные истории с биллингом AWS начать с предоставленных ресурсов, которые не были прекращены или забыты. Ассортимент продуктов AWS огромен, поэтому способ выставления счетов часто может быть сложным. Это не исключение для AWS VPN, в котором есть более 5 переменных, которые влияют на ваш ежемесячный счет.

Команда в Пожарная зона часто помогает компаниям в принятии бюджетных решений относительно их удаленного доступа. Мы написали эту статью, чтобы поделиться знаниями. Ниже мы разбиваем стоимость на несколько распространенных сценариев и предоставляем простой калькулятор чтобы помочь спроецировать и визуально проиллюстрировать основных вкладчиков в ваш ежемесячный счет. Надеюсь, это полезно!



Что такое AWS VPN?

Поскольку нарушения безопасности становятся обычным явлением, правильное управление удаленным доступом к вашему VPC становится важнее, чем когда-либо. AWS VPN позволяет настроить зашифрованные соединения между вашей сетью или устройством и вашими ресурсами AWS. AWS VPN состоит из двух продуктов: Site-to-site VPN и Client VPN.

AWS site-to-site VPN позволяет создать безопасное соединение между AWS и вашими локальными серверами, центрами обработки данных и другими удаленными площадками.

Если вы искали способ безопасного доступа к вашим облачным ресурсам в AWS по схеме «точка-сеть», скорее всего, вы обратили внимание на AWS Client VPN. AWS Client VPN — это управляемое решение, которое обеспечивает безопасный доступ к вашим ресурсам в AWS. Он использует протокол OpenVPN и поддерживает большинство функций, которые вы найдете в VPN (SSO, MFA).



Несколько примеров сценариев

Примеры сценариев — это основной раздел, отсутствующий в документации AWS. Для тех, кому нужен приблизительный бюджет того, сколько AWS VPN будет стоить каждый месяц, вот несколько примеров. Чтобы создать свой собственный, используйте наш калькулятор цен (сделать копию).

Сценарий 1 — Небольшая команда или личный проект (1 VPC, 1 подсеть, 3 пользователя)

Стоимость: 96 долларов в месяц (1152 доллара в год)

Описание изображения

Вероятно, это самый простой вариант использования AWS VPN. Это подчеркивает высокую фиксированную стоимость целевых сетевых ассоциаций, которая для небольших команд будет составлять большую часть ваших ежемесячных затрат.

С такой небольшой группой пользователей хост-бастион или что-то самоуправляемое, например WireGuard, может быть хорошим недорогим вариантом. Теоретически, если ваши запросы VPN нечасты, вы можете удалить любые ассоциации с целевой сетью, когда вы не используете VPN.

Сценарий 2 — Команда среднего размера (2 VPC, 3 подсети, 10 пользователей, разделенный туннель)

Стоимость: 368 долларов в месяц (4416 долларов в год)

Описание изображения

Это более вероятный сценарий для команды или небольшой компании. Если вы создаете программное обеспечение, ваши ресурсы будут разделены на рабочую среду, тестовую среду и среду разработки. Сами AWS рекомендуют разделение вашей среды на несколько учетных записей по мере того, как ваши рабочие нагрузки становятся более сложными.

Разделение ваших сред отлично подходит для ваших процессов разработки и безопасности, но это увеличит ваши расходы с AWS VPN. Для каждой учетной записи требуется отдельная конечная точка VPN-клиента AWS, а для каждой подсети требуется собственная целевая сетевая ассоциация. В этом примере мы будем использовать 4 для представления разработки, тестирования и производства, разделенных на 2 зоны доступности.

Сценарий 3 — Крупная компания (50 пользователей, 1 локальная среда, 4 подсети, полный туннель)

Стоимость: 850 долларов в месяц (10 200 долларов в год)

Описание изображения

Затраты на исходящие данные сильно различаются в зависимости от компании. В этом примере мы предполагаем 10 ГБ на пользователя. Это около 12 звонков в Zoom — может быть, немного консервативно для современного удаленного рабочего места.



Разбивка стоимости (долл. США)

Связь с целевой сетью клиентской VPN — от 0,10 до 0,15 долл. США в час.Я спросил своего представителя AWS, можно ли отключить его, если он не используется для экономии средств, поскольку он является наиболее значительным источником фиксированных затрат для небольших команд. Я не получил прямого ответа, но дайте мне знать, если вы пробовали это раньше.

Время клиентского VPN-подключения — $0,05 в часВремя подключения — это совокупное время, в течение которого ваши пользователи VPN подключались к VPN (округленное до ближайшего часа).

Время соединения сайт-сайт — 0,05$ в часПлата взимается за каждый час, в течение которого ваше VPN-подключение подготовлено и доступно. Распространенным вариантом использования является создание соединения между вашим центром обработки данных или локальной сетью с AWS VPC.

Исходящий трафик — от 0,05 до 0,09 долл. США за ГБ для большего количества регионов Северной Америки и Европы.Выход данных обычно не является значительным источником затрат (по крайней мере, для VPN), если вы не включите «полный туннельный» трафик для клиентов. Для калькулятора я проигнорировал внутрирегиональные переводы. Они стоят 0,01 доллара за ГБ. Вот полезный ресурс от AWS по различным типам затрат на передачу данных.

Надбавки за глобальное ускорение между сайтами: 0,05 доллара США в час + 0,015–0,091 доллара США за ГБЭта функция, выпущенная в 2019 году, повышает производительность VPN за счет маршрутизации VPN-трафика через сеть AWS, а не через общедоступный Интернет. Это может быть полезно при запуске приложений или рабочих нагрузок, чувствительных к задержкам.



Советы по сокращению расходов

Раздельное туннелирование

При настройке конечной точки VPN-клиента по умолчанию используется полный туннель (разделенное туннелирование отключено). Это означает, что весь трафик от ваших конечных пользователей будет направляться через конечную точку, даже трафик, предназначенный для общедоступного Интернета. Ingress бесплатен, но из-за того, что зум-вызовы (до 3,8 Мбит/с) являются обычным явлением, затраты могут быстро возрасти.

Завершить неиспользуемые конечные точки и ассоциацииСвязи с целевыми сетями — это основная фиксированная стоимость AWS VPN. *Если вы используете его нечасто, вы можете отключить целевые сети до тех пор, пока маршрут снова не понадобится. Поскольку AWS предоставляет CLI-команда и конечная точка API *для настройки целевых сетей можно даже настроить скрипт для «отключения» VPN, когда он не нужен.

Настройте биллинговый будильникИспользуя CloudWatch, вы можете создать оповещение, которое срабатывает, когда текущие расходы превышают установленный порог. Взгляните на Документы AWS о том, как это настроить.



Стоит ли использовать AWS VPN?

Это зависит. Как минимум, вы, вероятно, должны спросить себя:

  • Каков мой бюджет? Использовать калькулятор цен чтобы выяснить, что ваш счет, вероятно, будет каждый месяц. Существует множество других VPN на выбор, хотя развертывание и управление некоторыми из них может занять больше времени.
  • Где мои личные ресурсы? Имеет смысл использовать AWS VPN, если большая часть ваших ресурсов находится на AWS. Для многооблачных сред вы можете рассмотреть решение, не зависящее от поставщика.
  • Какие функции мне нужны? Документы AWS сделать довольно хорошую работу, отвечая на этот вопрос.

Даже с учетом потенциальных затрат AWS VPN — отличный продукт. Он полностью управляем, обладает высокой доступностью и легко привязывается к AWS IAM (интегрируется с выбранным вами поставщиком удостоверений). Как выбрать правильное решение для удаленного доступа — это широкая тема, и она заслуживает отдельного поста. Мы пока оставим это читателю.

Пожарная зона является Открытый исходный код альтернатива устаревшим корпоративным VPN. Firezone работает на вашей инфраструктуре. Его легко развернуть, он прост в управлении и построен на основе WireGuard®, чтобы работать в 4-6 раз быстрее, чем OpenVPN. Мы написали этот пост, потому что часто помогаем нашим пользователям понять влияние различных продуктов удаленного доступа на их ИТ-бюджет. AWS всегда особенно сложно прогнозировать.