FAQ Amazon VPC Lattice

Amazon VPC Lattice est un service de mise en réseau de la couche d'application qui vous offre un moyen cohérent de connecter, sécuriser et surveiller la communication entre services sans aucune expertise préalable en matière de mise en réseau. Avec VPC Lattice, vous pouvez configurer l'accès au réseau, la gestion du trafic et la surveillance du réseau pour permettre la communication service à service de manière cohérente entre les VPC et les comptes, quel que soit le type de calcul sous-jacent.

VPC Lattice permet de répondre aux cas d'utilisation suivants :

Connecter les services à l'échelle : connectez des milliers de services à travers les VPC et les comptes sans augmenter la complexité du réseau.

Appliquer des autorisations d'accès granulaires : améliorez la sécurité entre les services et prendre en charge les architectures de type Zero Trust grâce à des contrôles d'accès centralisés, à l'authentification et à l'autorisation spécifique au contexte.

Implémenter des contrôles de trafic avancés : appliquez des contrôles de trafic granulaires, tels que le routage au niveau de la demande et les cibles pondérées, pour les déploiements canary et bleu/vert.

Observer les interactions service à service : surveillez et dépannez la communication service à service pour le type de demande, le volume de trafic, les erreurs, le temps de réponse, et plus encore.

VPC Lattice aide à combler le fossé entre les développeurs et les administrateurs de nuages en fournissant des fonctions et des capacités spécifiques aux rôles. VPC Lattice plaira aux développeurs qui ne veulent pas apprendre et effectuer les tâches courantes d'infrastructure et de mise en réseau nécessaires pour faire fonctionner rapidement des applications modernes. Les développeurs devraient pouvoir se concentrer sur la création d'applications, et non de réseaux. VPC Lattice intéressera également les administrateurs de réseaux et de clouds qui cherchent à renforcer la sécurité de leur organisation en permettant l'authentification, l'autorisation et le chiffrement de manière cohérente dans des environnements de calcul mixtes (instances, conteneurs, sans serveur), ainsi que dans les VPC et les comptes.

Vous pouvez utiliser VPC Lattice pour créer des réseaux logiques de couche d'application, appelés réseaux de service, qui permettent la communication de service à service à travers les clouds privés virtuels (VPC) et les frontières de compte, en abstrayant la complexité du réseau. Il offre une connectivité sur les protocoles HTTP/HTTPS et gRPC via un plan de données dédié au sein du VPC. Ce plan de données est exposé par le biais d'un point de terminaison local qui n'est accessible que depuis votre VPC.

Les administrateurs peuvent utiliser AWS Resource Access Manager (AWS RAM) pour contrôler quels comptes et quels VPC peuvent établir une communication via un réseau de services. Lorsqu'un VPC est associé à un réseau de services, les ressources du VPC peuvent automatiquement découvrir et se connecter à la collection de services du réseau de services. Les propriétaires de services peuvent utiliser les intégrations de calcul VPC Lattice pour embarquer leurs services depuis Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS) et AWS Lambda, et choisir un ou plusieurs réseaux de services à rejoindre. Les propriétaires de services peuvent également configurer des règles avancées de gestion du trafic pour définir la manière dont une demande doit être traitée afin de prendre en charge les modèles courants tels que les déploiements de type canary et bleu/vert. Outre la gestion du trafic, les propriétaires et administrateurs de services peuvent mettre en place des contrôles d'accès supplémentaires en appliquant l'authentification et l'autorisation par le biais de la politique VPC Lattice Auth. Les administrateurs peuvent appliquer des barrières de protection au niveau du réseau de services et appliquer des contrôles d'accès à grain fin sur les services individuels. VPC Lattice est conçu pour être non invasif et fonctionner parallèlement aux modèles d'architecture existants, permettant aux équipes de développement de votre organisation d'intégrer progressivement leurs services au fil du temps.

VPC Lattice présente quatre composants clés :

Service : une unité de logiciel déployable indépendamment qui fournit une tâche ou une fonction spécifique. Un service peut vivre dans n'importe quel VPC ou compte et peut s'exécuter sur des instances, des conteneurs ou un calcul sans serveur. Un service se compose d'écouteurs, de règles et de groupes de cibles, de manière similaire à Application Load Balancer AWS.

Répertoire de services : un registre centralisé de tous les services enregistrés auprès de VPC Lattice que vous avez créés ou qui ont été partagés avec votre compte via AWS RAM.

Réseau de services : mécanisme de regroupement logique visant à simplifier la façon dont les utilisateurs activent la connectivité et appliquent des politiques communes à une collection de services. Les réseaux de services peuvent être partagés entre les comptes avec AWS RAM et associés aux VPC pour permettre la connectivité à un groupe de services.

Politique Auth : la politique Auth est une politique de ressources AWS Identity et Access Management (IAM) que vous pouvez associer à un réseau de services et à des services individuels pour définir les contrôles d'accès. La politique Auth utilise IAM, et vous pouvez spécifier des questions riches de type principal-action-ressource-condition (PARC) pour appliquer l'autorisation spécifique au contexte sur les services VPC Lattice. En général, une organisation applique des politiques Auth à gros grain au niveau du réseau de services, telles que « seules les demandes authentifiées dans mon org-id sont autorisées », et des politiques plus granulaires au niveau du service.

VPC Lattice est actuellement disponible dans les régions AWS suivantes : USA Est (Ohio), USA Est (Virginie du Nord), USA Ouest (Oregon), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Europe (Irlande), Europe (Francfort), Europe (Londres), Europe (Stockholm), et Canada (Centre).

Lattice est une fonctionnalité de VPC qui ne nécessite pas d’évaluation/d’appel séparée. Les fonctionnalités des services concernés sont considérées comme « évaluées/couvertes » et sont également indiquées dans les services AWS concernés par le programme de conformité. Sauf si elles sont spécifiquement exclues, les fonctionnalités généralement disponibles de chaque service sont considérées comme étant concernées par les programmes d’assurance.

Il n’y a pas de frais supplémentaires de transfert de données inter-AZ pour Amazon VPC Lattice. Le transfert de données entre les zones de disponibilité est couvert par la dimension de traitement des données de la tarification du service VPC Lattice.

Pour surveiller les flux de trafic et l’accessibilité, vous pouvez utiliser les journaux d’accès au niveau du réseau de service et au niveau du service. Pour bénéficier d’une observabilité complète de votre environnement, vous pouvez également consulter les statistiques relatives à vos groupes cibles Services et Lattice. Les journaux du réseau de services et des niveaux de service peuvent être exportés vers CloudWatch Logs, S3 ou Kinesis Data Firehose. En outre, d’autres fonctionnalités d’observabilité d’AWS, telles que les journaux de flux VPC et AWS X-Ray, peuvent être utilisées pour suivre les flux réseau, les interactions entre les services et les appels d’API.

Lorsqu’un service VPC Lattice est créé, un nom de domaine complet (FQDN) est créé dans une zone hébergée publique avec Route 53 gérée par AWS. Vous pouvez utiliser ces noms DNS dans les enregistrements d’alias CNAME de vos propres zones hébergées privées, associées aux VPC associés au réseau de services. Vous pouvez spécifier un nom de domaine personnalisé pour résoudre les noms de service personnalisés. Si vous spécifiez un nom de domaine personnalisé, vous devez configurer le routage DNS après la création de votre service. Il s’agit de mapper les requêtes DNS pour le nom de domaine personnalisé au point de terminaison VPC Lattice. Si vous utilisez Route 53 comme service DNS, vous pouvez configurer un enregistrement d’alias CNAME dans vos zones hébergées publiques ou privées Amazon Route 53. Pour HTTPS, vous devez également spécifier un certificat SSL/TLS correspondant au nom de domaine personnalisé.

Oui, Amazon VPC Lattice prend en charge le protocole HTTPs et génère également un certificat pour chaque service, géré via Amazon Certificate Manager (ACM). Pour l’authentification côté client, Lattice utilise AWS Sigv4.

Oui, Amazon VPC Lattice est un service régional distribué et hautement disponible. Lorsque vous enregistrez un service dans VPC Lattice, il est recommandé de répartir les cibles sur plusieurs zones de disponibilité. Le service VPC Lattice veillera à ce que le trafic soit acheminé vers des cibles saines, en fonction des règles et conditions configurées.

Amazon VPC Lattice s’intègre de manière native à votre Amazon Elastic Kubernets Service (EKS) et à vos charges de travail Kubernetes autogérées via le contrôleur d’API AWS Gateway, qui est une implémentation de l’API Kubernetes Gateway. Cela facilite l’enregistrement de services existants ou nouveaux sur Lattice et le mappage dynamique des routes HTTP vers les ressources Kubernetes.

Les services et réseaux de services Amazon VPC Lattice sont des composants régionaux. Si vous disposez d’un environnement multirégional, vous pouvez disposer de services et de réseaux de services dans chaque région. Pour les modèles de communication entre régions et sur site, vous pouvez actuellement compter sur les services de connectivité mondiaux AWS tels que le peering VPC entre régions, AWS Transit Gateway, AWS Direct Connect ou Cloud WAN AWS. Consultez ce blog , pour tous les détails sur les modèles de connectivité interrégionaux.

Oui, Amazon VPC Lattice prend en charge IPv6 et peut effectuer une traduction d’adresses réseau entre des espaces d’adressage IPv4 et IPv6 qui se chevauchent sur les services VPC Lattice et les VPC. Amazon VPC Lattice vous permet de connecter les services IPv4 et IPv6 en toute sécurité et de surveiller les flux de communication de manière simple et cohérente sur différents types de calcul. Il fournit une interopérabilité native entre les services IP quel que soit l’adressage IP sous-jacent, ce qui peut contribuer à faciliter l’adoption d’IPv6 entre les services sur AWS. Consultez ce blog pour plus de détails.

Oui, les balises peuvent être utilisées pour automatiser l’ajout et la suppression d’associations de ressources Amazon VPC Lattice et les partages de ressources entre comptes à l’aide d’Amazon EventBridge, AWS Lambda, AWS CloudTrail et AWS Resource Access Manager (AWS RAM). Ces méthodes peuvent être utilisées au sein d’une seule organisation AWS ou sur plusieurs comptes AWS, car elles prennent en charge de multiples cas d’utilisation tels que les applications fournisseur/client. Consultez ce blog pour plus de détails et des exemples d’implantation.

La conception de la distribution de votre réseau de services doit correspondre à la structure de votre organisation et à votre modèle opérationnel. Vous pouvez choisir de disposer d’un réseau de services spécifique à un domaine à l’échelle de l’organisation et configurer les politiques d’accès en conséquence. Vous pouvez également adopter une approche plus segmentée des réseaux de services, en les associant à chacun de vos domaines de routage et à des unités commerciales indépendantes de votre organisation. Un VPC peut être associé à un réseau de services à la fois, tandis qu’un service peut être enregistré sur plusieurs réseaux de services.