Часто задаваемые вопросы о сервисе Amazon VPC Lattice

Amazon VPC Lattice — это сервис сети приложений, дающий возможность согласованным образом подключать, защищать и контролировать обмен данными между сервисами, а также сервисами и ресурсами, при этом предварительный опыт организации сетей не требуется. С помощью VPC Lattice можно настраивать сетевой доступ, управление трафиком и мониторинг сети, чтобы обеспечить согласованный обмен данными между сервисами, а также сервисами и ресурсами в разных VPC и аккаунтах независимо от базового типа вычислений.

VPC Lattice помогает в рассмотрении следующих примеров использования:

Массовое подключение сервисов и ресурсов — подключение тысяч сервисов и ресурсов для разных VPC и аккаунтов без усложнения сети.

Применение точных разрешений доступа — повышение безопасности между сервисами, а также сервисами и ресурсами и поддержка архитектур с нулевым доверием и централизованным контролем доступа, аутентификацией и авторизацией с учетом контекста.

Внедрение передовых средств управления трафиком — применение точных средств управления трафиком, например маршрутизации на уровне запросов и взвешенных целей для развертывания без перерыва в обслуживании и развертывания пробных выпусков.

Наблюдение за взаимодействиями между сервисами и сервисами и ресурсами — мониторинг обмена данными между сервисами, а также сервисами и ресурсами, устранение неполадок с целью контроля типа запросов, объема трафика, ошибок, времени реагирования и много другого.

VPC Lattice помогает устранить разрыв между разработчиками и администраторами облаков, предоставляя функции и возможности для конкретных ролей. VPC Lattice понравится разработчикам, которые не хотят изучать и выполнять распространенные задачи для инфраструктур и сетей, необходимые для быстрого введения в работу и настройки современных приложений. Разработчики должны иметь возможность сосредоточиться на создании приложений, а не сетях. VPC Lattice понравится также администраторам облаков и сетей, которые стремятся повысить безопасность своих организаций за счет проверки подлинности, авторизации и шифрования согласованными способами в смешанных вычислительных средах (инстансах, контейнерах, бессерверных ресурсах), VPC и аккаунтах.

С помощью VPC Lattice можно создавать логические сети приложений, именуемые сервисными сетями, обеспечивающие обмен данными между сервисами, а также сервисами и ресурсами между виртуальными частными облаками (VPC) и границами аккаунтов независимо от сложности сетей. Этот сервис дает возможность подключаться по протоколам HTTP/HTTPS, gRPC и TCP через специальную плоскость данных в пределах VPC Lattice. Эта плоскость данных доступна как через локальные адреса канала, доступ к которым возможен только из вашего VPC, так и через адреса VPC типа «сервисная сеть», доступ к которым возможен как из вашего VPC, так и за его пределами.

С помощью Диспетчера доступа к ресурсам AWS (AWS RAM) администраторы могут контролировать, каким аккаунтам и VPC разрешено устанавливать связь через сеть сервисов. Когда VPC связывается с сервисной сетью, клиенты в VPC могут автоматически обнаруживать набор сервисов и ресурсов в сервисной сети и подключаться к ним. Владельцы сервисов могут использовать возможности интеграции VPC Lattice, чтобы добавить свои сервисы из Amazon Elastic Compute Cloud (Amazon EC2), Эластичного сервиса Amazon Kubernetes (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate и AWS Lambda и выбирать одну или несколько сервисных сетей для подключения. Владельцы сервисов могут также настроить расширенные правила контроля трафика, чтобы определить, как должен обрабатываться запрос для поддержки распространенных шаблонов, например развертывания синих/зеленых и пробных выпусков. Владельцы ресурсов могут предоставить общий доступ к таким ресурсам, как базы данных RDS, нескольким аккаунтами и добавлять эти ресурсы в сервисные сети. Помимо управления трафиком, владельцы сервисов и ресурсов и администраторы могут внедрять дополнительные средства контроля доступа за счет аутентификации и авторизации через политику аутентификации VPC Lattice. Администраторы могут применять ограничения на уровне сервисной сети и точные средства контроля доступа к отдельным сервисам и ресурсам. VPC Lattice работает автоматически, параллельно с существующими шаблонами архитектуры, поэтому разработчики в вашей организации смогут подключать свои сервисы и ресурсы постепенно.

VPC Lattice включает шесть основных компонентов:

Сервис — независимо развертываемый блок программного обеспечения для выполнения определенной задачи или функции. Сервис может работать в любом VPC или аккаунте, выполняемом в инстансах, контейнерах или на бессерверных вычислительных ресурсах. Сервис состоит из слушателей, правил и групп целей, как и Балансировщик нагрузки приложений AWS.

Каталог сервисов — это централизованный реестр всех сервисов, зарегистрированных в VPC Lattice, которые вы создали или которые вы предоставили для вашего аккаунта через Диспетчер доступа к ресурсам AWS (AWS RAM).

Конфигурация ресурсов — конфигурация ресурсов представляет ресурс на основе TCP, который размещается в облаке VPC или локальной среде, например базу данных RDS, целевой объект доменного имени или IP-адрес. Несколько аккаунтов могут использовать одну конфигурацию ресурса. Когда конфигурация ресурса предоставляется другому аккаунту, такой аккаунт может получить частный доступ к ресурсу.

Шлюз ресурсов — это точка входа в VPC для трафика, предназначенного для TCP-ресурсов, совместно используемых в конфигурации ресурса.

Сервисная сеть — механизм логической группировки, упрощающий возможность подключения и применения общих политик к набору сервисов и ресурсов. Сети сервисов можно совместно использовать в разных аккаунтах с AWS RAM и связывать с VPC для того, чтобы обеспечить возможность подключения к группе сервисов и ресурсов.

Политика аутентификации — политика аутентификации для ресурсов сервиса «Управление идентификацией и доступом AWS (IAM)», которую можно связать с сервисной сетью и отдельными сервисами и ресурсами, чтобы определить средства контроля доступа. Политика аутентификации использует IAM, и вы можете указать вопросы в стиле PARC (состояние ресурса для основного действия), чтобы применить авторизацию для определенного контекста к сервисам VPC Lattice. Как правило, на уровне сервисной сети организации применяют политики авторизации невысокой точности, например «разрешены только аутентифицированные запросы в пределах моего идентификатора организации», а на уровне сервиса или ресурса — более точные политики.

В настоящее время сервис VPC Lattice доступен в следующих регионах AWS: Восток США (Огайо), Восток США (Северная Вирджиния), Запад США (Орегон), Азиатско-Тихоокеанский регион (Сингапур), Азиатско-Тихоокеанский регион (Сидней), Азиатско-Тихоокеанский регион (Токио), Европа (Ирландия), Европа (Франкфурт), Европа (Лондон), Европа (Стокгольм), а также Канада (Центральная).

Поскольку сервис Lattice представляет собой функцию VPC, он не требует отдельной оценки или проверки. Функции сервисов, участвующих в программе, считаются «оцененными и покрываемыми» в соответствии с программой нормативно-правового соответствия для участвующих сервисов AWS. Если не исключено иное, общедоступные функции каждого сервиса рассматриваются в рамках программ страхования.

Дополнительная плата за использование Amazon VPC Lattice при передаче данных между зонами доступности не взимается. Стоимость передачи данных между зонами доступности входит в услуги обработки данных (см. цены на Amazon VPC Lattice).

Для мониторинга потоков трафика и уровня доступности можно использовать журналы доступа на уровне сервиса, ресурса и сервисной сети. Чтобы обеспечить полную наблюдаемость среды, также можно просматривать метрики целевых групп сервисов и VPC Lattice. Журналы уровня сервисной сети, сервиса и ресурса можно экспортировать в журналы Amazon CloudWatch, Amazon Simple Storage Service (S3) или Amazon Data Firehose. Кроме того, другие функции наблюдаемости AWS, такие как журналы потоков VPC и AWS X-Ray, можно использовать для отслеживания сетевых потоков, взаимодействия сервисов и вызовов API.

При создании сервиса VPC Lattice в общедоступной зоне хостинга Route 53, управляемой AWS, создается полное доменное имя (FQDN). Эти DNS-имена можно использовать в записях CNAME Alias в частных зонах хостинга, связанных с VPC, связанными с сервисной сетью. Вы можете указать персонализированное доменное имя, чтобы присваивать пользовательские имена сервисов. Указав персонализированное доменное имя, необходимо настроить DNS-маршрутизацию после создания сервиса, чтобы сопоставить DNS-запросы к персонализированному доменному имени с адресом VPC Lattice. Используя Route 53 в качестве DNS-сервиса, можно настроить запись CNAME Alias в публичных или частных зонах хостинга Amazon Route 53. Кроме того, для HTTPS необходимо указать сертификат SSL/TLS, соответствующий персонализированному доменному имени.

Да, Amazon VPC Lattice поддерживает HTTPS, а также генерирует сертификат для каждого сервиса, управляемого Диспетчером сертификатов Amazon (ACM). Для аутентификации на стороне клиента Lattice использует AWS SigV4.

Да, Amazon VPC Lattice – это высокодоступный распределенный региональный сервис. При регистрации сервиса в VPC Lattice рекомендуется распределять целевые объекты по нескольким зонам доступности. Сервис VPC Lattice обеспечит маршрутизацию трафика к исправным целевым объектам с учетом заданных правил и условий.

Сервис Amazon VPC Lattice изначально интегрирован эластичным сервисом Amazon Kubernetes (Amazon EKS) и самоуправляемыми рабочими нагрузками Kubernetes с помощью контроллера API шлюза AWS, который является реализацией API шлюза Kubernetes. Это упрощает регистрацию существующих или новых сервисов в Lattice и динамическое сопоставление HTTP-маршрутов с ресурсами Kubernetes.

Сервисы, ресурсы, конфигурации ресурсов и сервисные сети Amazon VPC Lattice являются региональными компонентами. При использовании в многорегиональной среде сервисы, ресурсы, конфигурации ресурсов и сервисные сети можно развернуть в каждом регионе. Для межрегиональных и локальных моделей связи в настоящее время доступны глобальные сервисы подключения AWS, такие как межрегиональное пиринговое соединение VPC, транспортный шлюз AWS, AWS Direct Connect или облачная глобальная сеть AWS WAN. Подробнее о моделях межрегиональных подключений см. в этом блоге.

Да, Amazon VPC Lattice поддерживает протокол IPv6 и может выполнять преобразование сетевых адресов между перекрывающимися адресными пространствами IPv4 и IPv6 в сервисах и ресурсах VPC Lattice для разных аккаунтов и облаков VPC. Сервис Amazon VPC Lattice помогает безопасно подключать сервисы и ресурсы IPv4 и IPv6 и отслеживать потоки передачи данных простым и согласованным способом, независимо от типа вычислений. Сервис обеспечивает встроенную совместимость между IP-сервисами и ресурсами независимо от базовой IP-адресации, что упрощает внедрение протокола IPv6 в сервисах и ресурсах AWS. Подробную информацию см. в этом блоге.

Да, теги можно использовать для автоматического добавления и удаления привязки ресурсов Amazon VPC Lattice и общих ресурсов между аккаунтами с помощью Amazon EventBridge, AWS Lambda, AWS CloudTrail и Диспетчера доступа к ресурсам AWS (AWS RAM). Эти методы можно использовать в одной организации AWS или в нескольких аккаунтах AWS, поддерживая несколько сценариев использования, например приложения поставщиков и клиентов. Подробную информацию и примеры использования см. в этом блоге.

Схема распространения в сервисной сети должна соответствовать организационной структуре и операционной модели. Вы можете выбрать доменную сервисную сеть уровня всей организации и соответствующим образом настроить политики доступа или применить более сегментированный подход к сервисным сетям, связав их с каждым из доменов маршрутизации и между независимыми подразделениями организации.

Да, доступ к сервисам и ресурсам возможен локально с помощью адресов VPC (на базе AWS PrivateLink). Вы можете поместить свои сервисы и ресурсы в сервисную сеть и создать адрес VPC (типа «сервисная сеть»), чтобы обеспечить локальное подключение между этими сервисами и ресурсами.

С помощью адресов VPC можно зарегистрировать несколько сервисных сетей в VPC. Можно создать несколько адресов VPC типа «сервисная сеть», каждый из которых подключается к другой сервисной сети.