许多AWS 计费恐怖故事都是从未终止或遗忘的预置资源开始的。 AWS 的产品种类繁多,因此您的计费方式通常很复杂。 AWS VPN 也不例外,它有 5 个以上的变量会影响您的月度账单。

Firezone的团队经常帮助公司制定有关远程访问的预算决策。我们写这篇文章是为了分享经验。下面我们在几个常见场景中分解成本,并提供一个简单计算器来帮助项目并直观地说明您每月账单的主要贡献者。希望对您有所帮助!

什么是 AWS VPN?

随着安全漏洞变得司空见惯,正确管理对 VPC 的远程访问比以往任何时候都更加重要。 AWS VPN 可让您在网络或设备与 AWS 资源之间建立加密连接。 AWS VPN 由两个产品组成:Site-to-site VPN 和 Client VPN。

AWS 站点到站点 VPN 允许您在 AWS 与您的本地服务器、数据中心和其他远程站点之间创建安全连接。

如果您正在寻找一种点到站点的方式来安全地访问 AWS 上的云资源,那么您很可能已经看过 AWS Client VPN。 AWS Client VPN 是一种托管解决方案,可让您安全地访问 AWS 上的资源。它使用 OpenVPN 协议并支持您在 VPN 中找到的大多数功能(SSO、MFA)。

几个示例场景

示例场景是 AWS 文档中缺少的主要部分。对于那些想要粗略预算 AWS VPN 每月费用的人,这里有几个例子。要创建您自己的,请使用我们的价格计算器(复制)。

场景 1- 小型团队或个人项目(1 个 VPC、1 个子网、3 个用户)

费用:每月 96 美元(每年 1,152 美元)

这可能是 AWS VPN 最简单的用例。它突出了目标网络关联的高固定成本,对于较小的团队来说,这将占您每月成本的大部分。

对于如此少的用户群,堡垒主机或像 WireGuard 这样的自我管理的东西可能是一个不错的低成本选择。理论上,如果您的 VPN 需求不频繁,您可以在不使用 VPN 时删除任何目标网络关联。

场景 2- 中型团队(2 个 VPC,3 个子网,10 个用户,拆分隧道)

费用:每月 368 美元(每年 4,416 美元)

对于团队或小公司来说,这种情况更有可能发生。如果您正在构建软件,您的资源将分散在生产、测试和开发环境中。 AWS 自己建议将您的环境拆分为多个账户随着您的工作负载变得更加复杂。

隔离您的环境对您的开发流程和安全性非常有利,但会增加您使用 AWS VPN 的成本。每个账户都需要一个单独的 AWS Client VPN 终端节点,并且每个子网都需要自己的目标网络关联。在此示例中,我们将使用 4 来表示跨 2 个可用区的 dev、test 和 prod。

场景 3- 更大的公司(50 个用户,1 个本地环境,4 个子网,全隧道)

费用:每月 850 美元(每年 10,200 美元)

数据出口成本将因公司而异。在此示例中,我们假设每个用户 10 GB。这大约是 12 次 Zoom 通话——在今天的远程工作场所可能有点保守。

分解成本(美元)

客户端 VPN 目标网络关联 - 每小时 0.10 美元到 0.15 美元我问我的 AWS 代表,如果不用于节省成本,是否可以取消关联,因为它是小型团队固定成本的最重要贡献者。我没有得到直接的答案,但如果您以前尝试过,请告诉我。

客户端 VPN 连接时间 - 每小时 0.05 美元连接时间是您的 VPN 用户连接到 VPN 的总时间(四舍五入到最接近的小时数)。

站点到站点的连接时间 - 每小时 0.05 美元您需要为您的 VPN 连接配置和可用的每小时付费。一个常见的用例是在您的数据中心或本地网络与 AWS VPC 之间创建连接。

出口流量 - 对于更多北美 + 欧洲地区,每 GB 0.05 美元到 0.09 美元数据出口通常不是成本的巨大贡献者(无论如何对于 VPN),除非您为客户端打开“全隧道”流量。对于计算器,我忽略了区域内转移。它们的价格为每 GB 0.01 美元。这是来自 AWS 的关于不同类型数据传输成本的有用资源。

站点到站点全球加速器保费 - 每小时 0.05 美元 + 每 GB 0.015 至 0.091 美元此功能于 2019 年发布,通过通过 AWS 网络而不是公共互联网路由 VPN 流量来提高 VPN 性能。这在运行对延迟敏感的应用程序或工作负载时可能会有所帮助。

降低成本的技巧

拆分隧道

设置客户端 VPN 终端节点时,默认配置选项是使用完整隧道(禁用拆分隧道)。这意味着来自最终用户的所有流量都将通过端点进行路由——即使是发往公共互联网的流量。 Ingress 是免费的,但随着缩放调用(最高 3.8 Mbps)的普及,成本会迅速增加。

终止未使用的终端节点和关联目标网络关联是 AWS VPN 的主要固定成本。 *如果您不经常使用,您可以解除目标网络的关联,直到再次需要该路由。由于 AWS 提供了CLI 命令和API 端点* 用于配置目标网络,因此您甚至可以设置脚本以在不需要时“关闭”VPN。

设置账单警报使用 CloudWatch,您可以创建警报,当当前支出超过设定阈值时触发。查看AWS 文档了解如何设置。

我应该使用 AWS VPN 吗?

这取决于。至少你应该问自己:

• 我的预算是多少? 使用价格计算器计算您每月的账单金额。还有许多其他 VPN 可供选择,但有些可能需要更多时间来部署和管理。

• 我的私有资源在哪里?如果您的大部分资源都位于 AWS 上,则使用 AWS VPN 会更有意义。对于多云环境,您可能需要考虑与供应商无关的解决方案。

• 我需要什么功能?AWS 文档在回答这个问题方面做得很好。

即使有潜在的成本,AWS VPN 也是一个很棒的产品。它是完全托管的、高度可用的,并且无缝连接到 AWS IAM(与您选择的 IdP 联合)。如何选择正确的远程访问解决方案是一个广泛的话题,值得单独发表。我们暂时把它留给读者。

Firezone是开源替代传统企业 VPN。 Firezone 在您的基础架构上运行。它部署简单,易于管理,并且基于 WireGuard® 构建,比 OpenVPN 快 4 到 6 倍。我们写这篇文章是因为我们经常帮助我们的用户了解不同的远程访问产品对其 IT 预算的影响。 AWS 总是特别难以预测。