[新产品/新功能] AWS Transit Gateway 推出灵活成本分配功能

**发布时间:** 2025-11-21 **厂商:** AWS **类型:** BLOG **原始链接:** https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-flexible-cost-allocation-for-aws-transit-gateway/ ---  [新产品/新功能] AWS Transit Gateway 推出灵活成本分配功能   # 产品功能分析 ## 新功能/新产品概述 **灵活成本分配 (Flexible Cost Allocation, FCA)** 是 **AWS Transit Gateway** 的一项新功能，旨在为企业提供对 **Transit Gateway** 数据处理成本进行精细化分配与管理的能力。它解决了在多账户、集中式网络环境中，默认的“发送方付费”模型无法满足企业内部成本分摊（Chargeback/Showback）需求的痛点。通过在 **Transit Gateway** 上配置 **计量策略 (Metering Policy)**，用户可以定义一系列规则，将数据处理费用灵活地归属到流量的源附件所有者、目标附件所有者或 **Transit Gateway** 自身的所有者账户。该功能的核心是其基于优先级的规则引擎，它会按数字顺序评估规则并采用“首次匹配”原则，从而实现对成本分配的精确控制。该功能主要面向拥有复杂云网络拓扑、采用中心辐射型（Hub-and-Spoke）架构、并需要实现精细化云财务管理（FinOps）的大型企业客户。它旨在提升云成本的透明度，使技术架构与财务责任模型保持一致，避免因成本归属不清而选择更复杂的网络架构（如VPC Peering）。 ## 关键客户价值 - **实现精确的成本归属与分摊** - **业务价值**: 根本性地改变了过去由中心IT部门承担所有网络中转费用的模式。现在可以将成本直接、自动地分配给实际消耗资源的业务部门（如市场部、财务部的VPC），实现了“谁使用，谁付费”，显著提升了成本透明度和各业务单元的成本意识。 - **差异化优势**: 无需再依赖 **Transit Gateway Flow Logs** 和 **AWS Data Exports** 进行复杂的离线数据分析和手动账单重分配。FCA是原生、自动化的解决方案，直接在AWS计费引擎层面生效，极大地减少了运营开销和潜在的计算错误。 - **优化混合云架构的财务模型** - **业务价值**: 在典型的混合云场景中，来自本地数据中心的流量通过中心IT团队管理的 **Direct Connect** 进入AWS。FCA可以将这部分流量的 **Transit Gateway** 处理费用直接计入最终消费数据的云上应用VPC账户。这使得中心IT团队的预算能更专注于基础设施的建设和维护，而非为不可控的业务流量买单。 - **实现机制**: 通过创建规则，将源附件为 **Direct Connect Gateway** 的流量费用分配给“目标附件所有者”，从而轻松实现“接收方付费”模型。 - **简化集中式安全检测的成本管理** - **业务价值**: 安全团队可以部署集中式的流量检测VPC（例如使用 **AWS Network Firewall** 或第三方安全设备），而不必承担所有流经该VPC的检查流量成本。成本会被“透明地”归属到原始的通信发起方或接收方，实现了安全架构与成本分摊的解耦。 - **差异化优势**: 提供了专门的“**Middlebox**”附件类型配置。将安全VPC的附件标记为 **Middlebox** 后，FCA的计费逻辑会自动忽略此中间环节，根据其他策略规则将费用分配给真正的业务端点，这是针对该特定场景的高度优化。 - **明确合作伙伴与服务提供商的成本边界** - **业务价值**: 当独立软件供应商（ISV）或合作伙伴将其VPC连接到客户的 **Transit Gateway** 时，客户可以通过策略将来自合作伙伴附件的流量成本归属到自己的 **Transit Gateway** 所有者账户。这为服务提供商提供了可预测的成本模型，也让客户对集成方案的总体拥有成本（TCO）有更清晰的认识。 - **实现机制**: 客户在自己的 **Transit Gateway** 上配置规则，指定当源附件为合作伙伴的VPC附件ID时，将费用计入“**Transit Gateway** 所有者”账户。 ## 关键技术洞察 - **基于“首次匹配”原则的有序规则引擎** - **技术独特性**: FCA的核心是一个 _基于优先级的规则评估引擎_。管理员为每条规则分配一个唯一的数字编号，引擎严格按照从小到大的顺序进行匹配。这种设计允许用户通过控制规则编号来精确地定义例外和默认行为，例如，用一个低编号规则（如90）处理一个非常具体的流量，再用一个高编号规则（如200）处理一类更通用的流量。 - **影响**: 这种机制提供了极高的灵活性和控制力，能够以声明式的方式实现复杂的企业计费策略，而无需编写任何代码或脚本。 - **多维度的流量匹配能力** - **技术独特性**: 策略规则的定义超越了简单的源/目归属，提供了三个层级的控制粒度： - **Transit Gateway 级别**: 为所有未匹配到任何规则的流量设置全局默认的计费策略。 - **附件级别**: 可根据附件类型（如 **VPC**、**Direct Connect Gateway**、**VPN**）或具体的附件ID进行匹配。 - **流级别**: 支持基于网络流量 **五元组**（源/目的IP CIDR、源/目的端口范围、协议）的最精细化匹配。 - **影响**: 这种分层匹配能力使得成本策略可以从非常宏观（例如，所有VPN流量）到极其微观（例如，从某个特定IP到特定数据库端口的TCP流量）进行定义，满足不同粒度的财务管理需求。 - **原生集成与无性能影响的设计** - **技术独特性**: FCA是 **Transit Gateway** 的一项原生功能，其计费逻辑在AWS的计费与计量后台系统中处理，与数据平面的流量转发完全分离。 - **影响**: 这意味着启用和配置FCA对网络流量的延迟、吞吐量或可用性 _没有任何影响_。用户可以获得精细的成本控制，而无需担心会对生产网络性能造成任何损害。同时，该功能本身不产生额外费用，进一步降低了企业采纳的门槛。   # AWS Transit Gateway 推出灵活成本分配功能 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-flexible-cost-allocation-for-aws-transit-gateway/](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-flexible-cost-allocation-for-aws-transit-gateway/) **发布时间:** 2025-11-21 **厂商:** AWS **类型:** BLOG --- 今天，AWS 宣布为 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) 推出灵活成本分配 (Flexible Cost Allocation, FCA) 功能，该功能让您可以精细地控制 [Transit Gateway 数据处理成本](https://aws.amazon.com/transit-gateway/pricing/) 在各个 AWS 账户之间的分配，包括 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 内的成员账户。通过 FCA，您可以为 Transit Gateway 配置计量策略 (metering policies)，从而根据您定义的规则，灵活地将费用分配给源连接 (attachment) 的拥有者、目标连接的拥有者或 Transit Gateway 的拥有者。在本文中，我们将探讨为何需要 Transit Gateway 的灵活成本分配功能、FCA 的特性、一些关键用例，以及如何利用 FCA 将费用与您环境中的相应 AWS 账户对齐。 ## **灵活成本分配的工作原理** Transit Gateway 默认的发送方付费模型 (sender-pay model) 并不总能与组织的预算和成本分摊策略 (chargeback policies) 保持一致。常见的挑战包括：管理 Direct Connect 入口流量的中央 IT 团队发现费用累积在他们的基础设施账户中，尽管是业务部门的 VPC 在消费这些数据；提供集中式检测服务的安全团队承担了流量穿越其 VPC 连接的成本；以及服务提供商连接到客户拥有的 Transit Gateway 时，会为他们不控制的基础设施产生费用。以前，组织采用一些变通方法，例如根据 [Transit Gateway 流日志](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html) 和 [AWS 数据导出](https://docs.aws.amazon.com/cur/latest/userguide/what-is-data-exports.html) 手动重新分配费用，或使用基于百分比的近似估算，而其他组织则将这些成本作为管理开销来承担。这些方法虽然可行，但并不理想，在某些组织中甚至导致架构决策转向实施更复杂的 VPC 对等连接拓扑，以避免成本分配的复杂性。 FCA 能够自动分配所有 Transit Gateway 数据处理费用，包括 Transit Gateway 处理、[AWS Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/) 数据传出、[AWS Direct Connect](https://aws.amazon.com/directconnect/) 数据传出以及数据传输对等连接的费用。一旦配置完成，计量策略规则将根据您的策略自动处理费用分配。FCA 通过直接在您的 Transit Gateway 上配置的计量策略来运作。该策略会按照升序的数字顺序对每个数据流进行规则评估，并在找到第一个匹配项时停止，以确定哪个账户承担费用。这种首次匹配评估模型提供了精确的控制：为特定例外情况分配较低的规则编号，为更广泛的策略分配较高的编号，并使用默认规则来捕获所有剩余流量。 FCA 提供三个策略控制级别： - **Transit Gateway 级别**：为所有流量设置默认分配规则。 - **连接级别**：按连接类型 (VPC、[Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)、VPN、TGW 对等连接、[TGW 网络功能](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-nf-fw.html) 或 [TGW VPN 集中器连接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-concentrator-attachments.html)) 或特定连接 ID 定义规则。 - **流级别**：使用 5 元组属性 (源/目标 IP CIDR、端口范围、协议) 匹配单个流。这种多层次的方法使您能够实施接收方付费模型 (receiver-pay models)，以解决诸如 Direct Connect 入口流量之类的用例，将安全检测费用分配给应用团队，将合作伙伴连接成本分配给 Transit Gateway 拥有者，并为内部通信应用发送方付费的默认规则——所有这些都通过一个策略完成。对于每个流量，您可以将成本分配给以下三类账户拥有者之一： - **源连接账户拥有者** – 传统的发送方付费模型。 - **目标连接账户拥有者** – 接收方为传入数据付费。 - **Transit Gateway 账户拥有者** – 中央基础设施团队承担成本。 FCA 不会产生额外费用，也不会影响流量。您可以在无需自定义工具、日志分析基础设施或手动计算的情况下，实现精确的成本归属。 ## **用例** ### **Direct Connect 入口流量成本分摊** 在混合云架构中，企业组织通过 Direct Connect 和 Transit Gateway 服务将数据从本地数据中心路由到 AWS，这些资源通常由中央 IT 团队拥有和管理，而应用团队 (例如市场、财务部门) 则拥有接收数据的目标 VPC 工作负载。灵活成本分配 (FCA) 通过自动将 Transit Gateway 数据处理费用分配给消费数据的 VPC 拥有者，从而实现了接收方付费模型：当流量流向市场团队的 VPC 时，由市场团队付费；当流量流向财务团队时，由财务团队付费，从而消除了手动计算，同时使成本与实际使用模式保持一致。这种基于消费的模型使中央 IT 能够将预算集中在基础设施的可用性上，而应用团队则负责其工作负载产生的网络成本，从而提供了对云总体拥有成本 (Total Cost of Ownership, TCO) 的完全可见性，并实现了规模化混合云经济学所必需的成本透明度。 ### **具有透明成本归属的集中式安全检测** 对于采用 Transit Gateway (轴辐式 (hub-and-spoke)) 集中式流量检测架构，并使用 [AWS Network Firewall](https://aws.amazon.com/network-firewall/) 或通过 [Gateway Load Balancer (GWLB)](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/introduction.html) 的第三方安全设备的组织，FCA 为检测场景提供了专门的支持。通过将特定的 Transit Gateway 连接 ID 指定为中间设备连接 (middlebox attachments)，FCA 能够智能地将成本分配给实际的源或目标拥有者，而不是中间的检测连接，从而使检测层对成本分配透明。这使得安全团队能够将集中式威胁检测和策略执行作为真正的共享基础设施来提供，而成本则根据您的成本分摊策略 (无论是发送方付费、接收方付费还是由 Transit Gateway 账户拥有者承担) 归属于应用团队。应用团队可以完全了解其流量产生的网络成本，包括安全控制，从而使组织能够在满足强制性检测要求的同时，保持与技术架构一致的预算责任制。 ### **合作伙伴与服务提供商连接** 企业客户和独立软件供应商 (Independent Software Vendors, ISV) 在通过将其 AWS VPC 与合作伙伴或客户拥有的 Transit Gateway 集成来提供服务时，传统上会在那些客户拥有的 TGW 连接上承担所有数据处理费用，尽管他们并不拥有该基础设施。FCA 通过允许客户在其 Transit Gateway 上配置计量策略来解决此问题，这些策略将提供商连接的成本分配给他们自己的 Transit Gateway 拥有者账户，从而从一开始就建立了透明的成本归属。服务提供商可以从专注于应用价值的可预测定价模型中受益，而不受客户 Transit Gateway 费用的影响，而客户则可以完全了解其基础设施成本，以进行准确的 TCO 计算。通过在集成文档中包含 FCA 配置指南，提供商消除了与客户控制的基础设施相关的成本不可预测性，并建立了清晰的财务界限，这些界限可以扩展到数十个乃至数百个合作伙伴和客户环境中。 ## **场景设置** FCA 计量策略通过基于规则的评估，支持同时使用多种成本分配模型。考虑一个使用 AWS Transit Gateway 作为网络中心来处理合作伙伴连接、Direct Connect 入口流量和东西向 (VPC 到 VPC) 流量的集中式架构。 ![图 1: 使用 AWS Transit Gateway 作为网络中心处理合作伙伴连接、Direct Connect 入口流量和东西向 (VPC 到 VPC) 流量的集中式架构。](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/20/TGW-FCA-Blog-scaled.jpeg) 图 1: 使用 AWS Transit Gateway 作为网络中心处理合作伙伴连接、Direct Connect 入口流量和东西向 (VPC 到 VPC) 流量的集中式架构。您可以从一个类似这样的 FCA 计量策略开始： - **规则 100**：将目标连接拥有者设置为连接类型为 Direct Connect Gateway 的计费账户 (将 Transit Gateway 数据处理费用分配给像 VPC-Finance 这样的目标 VPC 拥有者)。 - **规则 200**：将 Transit Gateway 拥有者账户设置为合作伙伴 VPC 连接 ID 的计费账户 (将来自合作伙伴 VPC 的流量的 Transit Gateway 数据处理费用分配给 Transit Gateway 拥有者账户)。 - **默认规则**：对所有其他流量使用标准的发送方付费策略 (向像 VPC-Marketing 这样的源连接拥有者收费)。现在，如果合作伙伴 VPC 开始与我们本地网络中的资源通信，并且我们决定在 VPC-Marketing 和 VPC-Finance 之间添加 VPC-Middlebox 用于流量路由，我们可能需要更新我们的计量策略。 - **规则 90**：将 Transit Gateway 拥有者账户设置为连接类型为 Direct Connect Gateway 且目标连接 ID 为 VPC-Partner-A 的计费账户 (在规则 100 之前匹配，将 Transit Gateway 数据处理费用分配给 Transit Gateway 拥有者账户)。 - 请注意，根据规则 200，Transit Gateway 拥有者账户已经是 Direct Connect DTO 的计费账户，因此对于 VPC-Partner-A 到本地网络的流量流，无需更新。 - 将 VPC-Middlebox 连接添加为中间设备连接 (将通过 VPC-Middlebox 路由的费用根据规则分配给原始的源或目标，在我们的示例中，这将是默认规则，即源连接拥有者)。每个流都会根据策略规则按优先级顺序进行一次评估，匹配到第一个适用的规则，然后费用会自动路由到指定的计费账户拥有者。这种基于规则的方法使组织能够实施精细的成本分配策略，以反映不同的业务关系和消费模式，所有这些都由 AWS 原生处理，无需手动干预或自定义工具。 ## **快速入门** 实施 FCA 包括使用 AWS CLI、SDK 或管理控制台 (Management Console) 的三个步骤： ### **步骤 1: 创建您的计量策略** 在 AWS 管理控制台中，导航到 **VPC** – **计量策略**，然后选择 **创建计量策略**。 ![创建 Transit Gateway 计量策略](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/20/CreatePolicy.jpg) 为您的计量策略命名，从下拉列表中选择您的 Transit Gateway，然后单击 **创建 Transit Gateway 计量策略**。 ### **步骤 2: 添加计量策略条目** 选中您的计量策略旁边的单选按钮，然后单击 **创建计量策略条目**。 ![向计量策略添加条目](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/20/CreateEntries.jpg) 将 Direct Connect 入口流量费用分配给目标 VPC 拥有者： ![添加条目 100](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/20/Entry100.jpg) 在 **策略规则编号** 框中输入 100，从 **计费账户** 下拉列表中选择“目标连接拥有者”，从 **源连接类型或 ID** 下拉列表中选择“Direct Connect Gateway”，然后单击 **创建计量策略条目**。 **重复此过程，将 VPC-Partner-A 连接 ID 的计费账户分配给 Transit Gateway 拥有者账户。** ![添加条目 200](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/20/Entry200.jpg) 在 **策略规则编号** 框中输入 200，从 **计费账户** 下拉列表中选择“Transit Gateway 拥有者”，从 **源连接类型或 ID** 下拉列表中选择 VPC-Partner-A 的 Transit Gateway 连接 ID，然后单击 **创建计量策略条目**。 **重复此过程，将 Direct Connect Gateway 到 VPC-Partner-A 的计费账户分配给 Transit Gateway 拥有者账户。** ![添加条目 90](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/20/Entry90.png) 在 **策略规则编号** 框中输入 90，从 **计费账户** 下拉列表中选择“Transit Gateway 拥有者”，从 **源连接类型或 ID** 下拉列表中选择“Direct Connect Gateway”，从 **目标连接类型或 ID** 下拉列表中选择 VPC-Partner-A 的 Transit Gateway 连接 ID，然后单击 **创建计量策略条目**。 ### **步骤 3: 配置中间设备支持** 单击 **中间设备连接** 选项卡，然后选择 **添加**。 ![添加中间设备](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/20/AddMiddlebox.jpg) 在 **添加中间设备连接** 弹出窗口中，从下拉列表中选择 VPC-Middlebox 连接，然后单击 **添加中间设备连接**。 ![选择中间设备连接](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/21/SelectMiddleboxAttachment-1.jpg) 此操作指示 FCA 根据您的策略规则，将费用绕过检测连接，路由到原始的源或目标。 ## **最佳实践** - **从宽泛开始，逐步细化**：首先使用基于连接类型的规则编号，然后为例外情况添加特定的连接 ID 规则。 - **规则编号留有间隙**：初始规则编号以 100 为增量 (100, 200, 300)，以便将来轻松插入新规则，而无需重新编号整个策略。 - **先在非生产环境中测试**：在应用于生产环境之前，先在开发环境中验证您的计量策略逻辑。 - **记录您的策略逻辑**：为每个规则背后的业务逻辑做记录，以供未来的管理员参考。 - **监控成本分配变化**：使用 [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) 验证费用是否按预期路由 (通常在 24 小时内生效)。 ## **结论** 灵活成本分配功能现已在所有运营 Transit Gateway 的 AWS 商业区域提供，无需额外费用。您只需支付现有的 Transit Gateway 数据处理费用，费用将根据您配置的策略进行分配。请访问 [AWS Transit Gateway 灵活成本分配文档](https://docs.aws.amazon.com/vpc/latest/tgw/metering-policy.html) 获取完整的 API 参考、包括 5 元组流匹配在内的其他配置示例以及详细的实施指南。在 [文档](https://aws.amazon.com/transit-gateway) 中了解更多关于 Transit Gateway 架构模式的信息，并加入 [AWS 网络与内容交付社区](https://repost.aws/topics/TAgOdRefu6ShempO3dWPEofg/networking-content-delivery) 参与讨论。 ## 关于作者 ![Thaddeus Worsnop](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2021/04/21/ThaddeusWorsnopHeadshot.jpg) ### Thaddeus Worsnop Thaddeus 是 AWS 的一名解决方案架构师。他拥有超过 20 年的信息技术工作经验。在 AWS，Thaddeus 专注于帮助大型企业组织开发、采用和优化云服务与战略。Thaddeus 对所有技术领域都充满热情，但他的重点领域是网络和人工智能。 ![Alin Scurtu](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/20/AlinScurtuHeadshot_125x125.png) ### Alin Scurtu Alin 是 AWS 的一名高级网络解决方案架构师，他对网络技术和创新驱动的问题解决充满热情。他专注于构建解决方案并提供技术指导，以帮助客户和合作伙伴实现其技术和业务目标。工作之余，他喜欢山地自行车、徒步旅行和探索偏远地区。