问:Amazon VPC Lattice 是什么?
Amazon VPC Lattice 是一种应用层联网服务,它为您提供了一种一致的方式来连接、保护和监控服务到服务的通信,无需任何联网专业知识。借助 VPC Lattice,您可以配置网络访问、流量管理和网络监控,不管底层计算类型如何,均可在 VPC 和账户之间实现一致的服务到服务通信。
问:Amazon VPC Lattice 可处理哪些使用案例?
VPC Lattice 有助于处理以下使用案例:
大规模连接服务 – 在不增加网络复杂性的情况下,跨 VPC 和账户连接数千个服务。
应用精细访问权限 – 通过集中式访问控制、身份验证和特定于上下文的授权,提高服务到服务的安全性并支持零信任架构。
实施高级流量控制 – 采用精细流量控制,例如针对蓝/绿和金丝雀部署的请求级路由和加权目标。
观察服务到服务的交互 – 针对请求类型、流量、错误、响应时间等对服务到服务的通信进行监控和问题排查。
问:为什么使用 Amazon VPC Lattice?
VPC Lattice 通过提供特定于角色的特性和功能,帮助在开发人员和云管理员之间架起了一座桥梁。VPC Lattice 将吸引那些不想学习和执行快速运行现代应用程序所需的通用基础设施和联网任务的开发人员。开发人员应能够将精力集中在构建应用程序而不是网络上。VPC Lattice 还将吸引那些希望通过跨混合计算环境(实例、容器、无服务器)以及跨 VPC 和账户以一致的方式实现身份验证、授权和加密来改善其组织安全状况的云和网络管理员。
问:Amazon VPC Lattice 如何工作?
您可以使用 VPC Lattice 创建逻辑应用层网络,称为服务网络,支持跨虚拟私有云(VPC)和账户边界的服务到服务通信,降低网络复杂性。它通过 VPC 中的专用数据面板提供采用 HTTP/HTTPS 和 gRPC 协议的连接。此数据面板通过只能从 VPC 内部访问的链路本地端点公开。
管理员可以使用 AWS Resource Access Manager(AWS RAM)来控制哪些账户和 VPC 可以通过服务网络建立通信。当 VPC 与服务网络关联时,VPC 内的资源可以自动发现并连接到服务网络中的服务集合。服务拥有者可以使用 VPC Lattice 计算集成,以便从 Amazon Elastic Compute Cloud(Amazon EC2)、Amazon Elastic Kubernetes Service(Amazon EKS)和 AWS Lambda 载入他们的服务,并选择一个或多个要加入的服务网络。服务拥有者还可以配置高级流量管理规则,以定义应该如何处理请求,从而支持常见模式,如蓝/绿和金丝雀式部署。除了流量管理,服务拥有者和管理员还可以通过 VPC Lattice 身份验证策略实施身份验证和授权,从而实现额外的访问控制。管理员可以在服务网络级别实施防护机制,并对单个服务应用精细访问控制。VPC Lattice 是非侵入性的,并与现有的架构模式配合使用,允许整个组织的开发团队随着时间的推移逐渐增加他们的服务。
问:Amazon VPC Lattice 有哪些主要组成部分?
VPC Lattice 包括四个主要组成部分:
服务 – 提供特定任务或功能的可独立部署的软件单元。服务可以存在于任何 VPC 或账户中,可以在实例、容器或无服务器计算环境中运行。服务由侦听器、规则和目标组组成,类似于 AWS Application Load Balancer。
服务目录 – 一个集中的注册表,记录了您创建的或通过 AWS RAM 与您的账户共享的已在 VPC Lattice 注册的所有服务。
服务网络 – 一种逻辑分组机制,用于简化用户启用连接以及将通用策略应用于一组服务的方式。服务网络可以通过 AWS RAM 在账户之间共享,并与 VPC 关联,以实现到一组服务的连接。
身份验证策略 – 身份验证策略是一种 AWS Identity and Access Management (IAM) 资源策略,可以与服务网络和单个服务关联,以定义访问控制。身份验证策略使用 IAM,您可以指定丰富的“主体-操作-资源-条件”(PARC)样式的问题,以在 VPC Lattice 服务上实施特定于上下文的授权。通常,组织会在服务网络上应用精细身份验证策略,例如“只允许我的 org-id 内经过身份验证的请求”,并在服务级别应用更精细的策略。
问:我如何注册 Amazon VPC Lattice?
Amazon VPC Lattice 目前在美国西部(俄勒冈州)区域推出预览版。
问:预览期间,Amazon VPC Lattice 在哪些区域推出?
VPC Lattice 目前在美国西部(俄勒冈州)区域推出预览版。
