Cena VPN od AWS je těžké pochopit, tak jsem si vytvořil kalkulačku

Ahoj všichni!

Občas spolupracuji s IT týmy na rozpočtu různých vzdálených přístupových produktů. Cena AWS VPN je vždy výzvou dat předpověď, protože existuje tolik proměnných nákladů. Například jsme zjistili, že minimální náklad na jedno rozhraní je 70 dolarů měsíčně (předpokládáme, že je zapnuté 24/7), i když se s ním vůbec nepropojujete. Většina nákladů pramení ze spojení s cílovou sítí.

Abych pomohl vizualizovat náklady, vytvořil jsem tabulku kalkulačky nákladů. Rád bych ji sdílel zde, protože může ušetřit pár dolarů na vaší měsíční faktuře. Je ve formátu Google Sheets, takže si ji prosím duplikujte pro vlastní použití.

AWS má také docela dobrou kalkulačku nákladů, ale chybí jí několik vzorových scénářů, které jsou hlavní částí jejich dokumentace.

Několik ukázkových scénářů

Odkazy vedou na pěkné grafy v tabulce.

Scénář 1 - Malý tým nebo osobní projekt (1 VPC, 1 podsíť, 3 uživatelé)

Náklady: 96 dolarů měsíčně (1 152 dolarů ročně)

Toto je pravděpodobně nejjednodušší případ použití AWS VPN. Zdůrazňuje vysoké fixní náklady na spojení s cílovou sítí, které u menších týmů tvoří většinu měsíčních nákladů.

S tak malou skupinou uživatelů může být dobrá volba bastion nebo spravovaný VPN jako WireGuard. Teoreticky, pokud vaše VPN požadavky nejsou časté, můžete odstranit spojení s cílovou sítí, když VPN nepoužíváte.

Scénář 2 - Středně velký tým (2 VPC, 3 podsítě, 10 uživatelů, split tunel)

Náklady: 368 dolarů měsíčně (4 416 dolarů ročně)

Toto je pravděpodobnější scénář pro tým nebo malou firmu. Pokud vyvíjíte software, vaše zdroje budou rozloženy mezi produkční, testovací a vývojové prostředí. AWS doporučuje rozdělení prostředí mezi více účty, protože vaše zátěž se stává složitější.

Oddělení prostředí je skvělé pro vývojové procesy a bezpečnost, ale zvýší náklady na AWS VPN. Každý účet vyžaduje samostatný AWS Client VPN endpoint a každá podsíť bude vyžadovat spojení s cílovou sítí.

Scénář 3 - Velká společnost (50 uživatelů, 1 on-premises prostředí, 4 podsítě, plný tunel)

Náklady: 850 dolarů měsíčně (10 200 dolarů ročně)

Když se scénář rozšíří, zvýší se i náklady. I přestože je to drahé, myslím, že AWS VPN je pro tento případ ideální. Je plně spravovaná, vysoce dostupná a bez problémů se integruje s AWS IAM (federovaným s vaším výběrem IdP).

Jak se tým zvětšuje, může být největším faktorem nákladů čas připojení klienta. Náklady na odchozí data se také výrazně liší podle firmy. V tomto příkladu jsme předpokládali 10 GB na uživatele.

Co ovlivňuje náklady?

• Náklady jsou v USD*

Spojení s cílovou sítí VPN ($0.10 až $0.15 za hodinu)
Zeptal jsem se svého zástupce AWS, jestli je možné odpojit spojení při nečinnosti, abych ušetřil náklady, protože to je hlavní fixní náklad menších týmů. Nedostal jsem přímou odpověď, ale dejte vědět, pokud jste to zkoušeli.

Čas připojení VPN ($0.05 za hodinu)
Čas připojení je celkový čas, kdy jsou vaši uživatelé připojeni k VPN (zaokrouhleno na nejbližší hodinu).

Čas spojení site-to-site ($0.05 za hodinu)
Za každou hodinu, kdy je vaše VPN spojení aktivní a dostupné, jste účtováni. Často se vytváří spojení mezi vaším datovým centrem nebo on-premises sítí s VPC.

Odchozí provoz ($0.05 - $0.09 za GB)
Odchozí data obvykle nepředstavují velké náklady (u VPN to tak je), pokud nezapnete “full tunnel” provoz. Při výpočtech jsem ignoroval transfery mezi regiony. Ty jsou ohodnoceny na $0.01 za GB.

Globální akcelerátor site-to-site (premium) ($0.05 za hodinu + $0.015 až $0.091 za GB)
Představen v roce 2019, tato funkce zlepšuje výkon VPN směrováním provozu přes AWS síť místo veřejného internetu.

Jak snížit náklady

Dejte vědět, pokud máte další tipy

Split Tunneling
Při nastavování vašeho Client VPN Endpoint je výchozí možnost plný tunel (split tunel je deaktivován). To znamená, že veškerý provoz uživatelů bude směřován přes endpoint.

Ukončení nevyužívaných endpointů a spojení
Spojení s cílovou sítí jsou hlavním fixním nákladem AWS VPN. Pokud je vaše využívání vzácné, můžete spojení odpojit, dokud není potřeba. AWS nabízí příkaz CLI a API pro správu spojení s cílovou sítí.

Nastavení upozornění na billing
Většina nákladů na AWS VPN je nevyhnutelná, proto si nastavte upozornění, abyste věděli, kolik utrácíte. Pomocí CloudWatch můžete vytvořit upozornění, které se spustí, když aktuální výdaje překročí stanovený limit. Podívejte se na dokumentaci AWS a zjistěte jak na to.

Díky za přečtení! Vím, že kalkulačka není dokonalá, takže dejte vědět, jak ji vylepšit, nebo mi napište, pokud byste chtěli přímo na ní pracovat.

Pracuji na open-source VPN s názvem Firezone. Je v rané fázi vývoje, ale někdy může být dobrou alternativou k AWS VPN. Doufám, že je to v pořádku zde to zmínit.

Tohle výdaje se zdají být rozumné pro někoho? Cloudové ceny mi přijdou vždy šílené. 50 uživatelů se skoro zdá být na úrovni, kde bych řekl, že dosahujete rozumné cenové škály, a přesto stále platíte 18 $/uživatel/měsíc.

Měsíčně za 880 $ to je taková, jaká je cena za dedikované 1gbit vlákno v mé oblasti. Je CPU zátěž pro zvládnutí 1giga tak náročná? Myslel jsem, že většina moderních procesorů je dostatečně výkonná na zpracování kryptografických operací potřebných pro VPN.

Je záměr vašeho produktu fire zony spustit na VPS, aby se ušetřilo na nákladech oproti AWS?

AWS VPN je pro málotické využití těžkou prodejnou kvůli velkému poplatku za připojení. Doufám, že přidají podporu SAML autentizace do mobilního VPN klienta, protože to je skvělá funkce, ale pokud potřebujete podporovat mobilní klienty, jste v háji.

To může znít nelogicky, ale používám to, protože je to integrované. Nemá všechny vymoženosti, které mají někteří jiní poskytovatelé, ale když mohu dát Terraform do stejného sdíleného dokumentu služeb spolu s ostatními zdroji, nemám s tím starosti navíc…

NE NE NE… aby se předešlo nesmírné bolesti, nainstalovali jsme Sophos Virtual XGS Firewally a platíme za to zlomek nákladů AWS.

$700 za VPN a služby SSL VPN s klíčovými funkcemi?
$35 měsíčně se Sophos Virtual Firewall

Může mi někdo říct, jak je to u Azure? Nemohu přijít na to, jak je možné, že někteří mí klienti jsou za tak drahé služby, které by měly být poměrně levná.

Myslím, že jste udělal drobnou chybu ve příkladu malého týmu. skutečně je potřeba jen jedno VPN rozhraní pro klientskou VPN. To proto, že můžete spojit VPN VPC s ostatními VPC, i přes účty.

Souhlasím, že AWS VPN je pravděpodobně předražená, ale nastavování spolehlivého VPN pomocí EC2 je také problém. Zažil jsem obojí a upřímně si myslím, že se to vyplatí, jen abych nemuseli stále hlídat VPN na EC2, která ač je produkt velké síťové společnosti, nemá žádnou kompatibilitu s cloudem, což znamenalo, že jsme strávili asi měsíc samotným implementováním základního failoveru a podobně v cloudu, a poté jsme ji museli neustále hlídat, protože nedopusťte, aby se stalo, že máme všichni poradní schůzku.

Wow, díky, že jste to udělal, ušetříte mi hodně práce! Dík, kamaráde! Nemám Reddit odměnu, ale vím, že většina z nás to ocení!

Proč používat Firezone, když můžete jednoduše spustit Netmaker v AWS za mnohem méně peněz?

Toto je skvělé, jaký úžasný zdroj. Díky, že jste to sestavil, určitě to budu sdílet. Tým enclave.io se také snaží pomoci pochopit VPN a alternativy VPN. Vypracovali jsme seznam firem Zero Trust Network Access (ZTNA) a jejich architektur na https://zerotrustnetworkaccess.info/ Může být užitečný pro ty, kdo najdou vaši kalkulačku užitečnou a zvažují možnosti privátní konektivity, které nejsou založeny na tradičních VPN serverech.

Celé zveřejnění: spoluzakladatel enclave.io

To se někomu zdá rozumné? Cloudové ceny mi přijdou vždy šílené. 50 uživatelů téměř dosahuje rozumné cenové škály, a přesto stále platíte 18$ za uživatele měsíčně.

Dá se to rozumně přijmout, když máte kompletní kontext.

AWS je a-la-carte služba na volbu bez smlouvy, můžete spustit server, používat ho hodinu a smazat ho za naprosté drobné. To je velmi atraktivní pro spoustu případů použití, zejména startupy, které nemají kapitál na drahou infrastrukturu.

Naopak, tato flexibilita znamená, že AWS musí cenu stanovovat tak, aby neztratil peníze, nabízením takové granulární flexibility. AWS investuje kapitál a převádí ho na provozní náklady, které jsou vám, zákazníkovi, účtovány za vysokou cenu, pokud se nerozhodnete pro rezervované instance apod. Můžete používat server na krátkou dobu, ale pořád je to aktivum na účetnictvím AWS po mnoho let, a to bez ohledu na to, jestli je používán nebo ne. Proto je na trhu spotových instancí.

Upravení: Přirovnal bych to k pronájmu auta, které má vysoké denní náklady, pokud to rozpočítáte denně, což je výrazně víc než vlastnictví auta na auto úvěr. Ale auto půjčovna předem investovala do vozidla a vy jej používáte na několik dní, proto platíte prémiovou cenu za dočasné užívání něčeho, do čeho někdo investoval kapitál. Proč? Protože to auto může několik dní stát nevyužité a nezískává žádný příjem, takže se musí cena zvýšit na dny, kdy je používáno.

Není CPU zátěž pro zvládnutí 1 gigabitu tak náročná?

Není, máme firewall s OpenVPN na malém PC s základním i3 a 20 VPN klienty (dávno během lockdownu), téměř to nezatěžuje CPU ani při přístupu k souborům, RDP celý den a SQL náročných aplikacích.

Firewall stojí několik stovek ročně a mini PC je jednoduchá věc s 2 síťovými rozhraními, která vydrží roky.

Amazon musí mít obrovské marže na tyto služby.