Häufig gestellte Fragen zu Amazon VPC Lattice

Amazon VPC Lattice ist ein Netzwerkservice auf Anwendungsebene, der Ihnen eine konsistente Möglichkeit bietet, die Kommunikation von Service zu Service zu verbinden, zu sichern und zu überwachen, ohne dass Sie dafür Netzwerkkenntnisse benötigen. Mit VPC Lattice können Sie den Netzwerkzugriff, das Verkehrsmanagement und die Netzwerküberwachung konfigurieren, um eine konsistente Service-to-Service-Kommunikation über VPCs und Konten hinweg zu ermöglichen, unabhängig vom zugrunde liegenden Datenverarbeitungstyp.

VPC Lattice hilft Ihnen bei der Bewältigung der folgenden Anwendungsfälle:

Skalierbare Verbindung von Services – Verbinden Sie Tausende Services über VPCs und Konten hinweg, ohne die Netzwerkkomplexität zu erhöhen.

Wenden Sie granulare Zugriffsberechtigungen an – Verbessern Sie die Sicherheit zwischen den Services und unterstützen Sie Zero-Trust-Architekturen mit zentralisierten Zugriffskontrollen, Authentifizierung und kontextspezifischer Autorisierung.

Implementieren Sie erweiterte Datenverkehrskontrollen – Wenden Sie granulare Datenverkehrskontrollen an, z. B. Weiterleitung auf Anforderungsebene und gewichtete Ziele für Blau/Grün- und Canary-Bereitstellungen.

Beobachten Sie die Interaktionen zwischen den Services – Überwachen Sie die Kommunikation zwischen den Services hinsichtlich Anforderungstyp, Verkehrsaufkommen, Fehlern, Antwortzeit usw. und führen Sie eine Fehlersuche durch.

VPC Lattice hilft, die Lücke zwischen Entwicklern und Cloud-Administratoren zu schließen, indem es rollenspezifische Funktionen und Möglichkeiten bereitstellt. VPC Lattice richtet sich an Entwickler, die nicht die üblichen Infrastruktur- und Netzwerkaufgaben erlernen und durchführen wollen, die für die schnelle Inbetriebnahme moderner Anwendungen erforderlich sind. Entwickler sollten sich auf die Entwicklung von Anwendungen und nicht von Netzwerken konzentrieren können. VPC Lattice ist auch für Cloud- und Netzwerkadministratoren interessant, die die Sicherheitslage ihres Unternehmens verbessern möchten. Dazu müssen sie Authentifizierung, Autorisierung und Verschlüsselung auf konsistente Weise in gemischten Compute-Umgebungen ( Instances, Container, Serverless) sowie über VPCs und Konten hinweg ermöglichen.

Mit VPC Lattice können Sie logische Netzwerke der Anwendungsschicht, so genannte Servicenetzwerke, erstellen, die eine Service-to-Service-Kommunikation über Virtual Private Clouds (VPCs) und Kontogrenzen hinweg ermöglichen und die Netzwerkkomplexität abstrahieren. Es bietet Konnektivität über HTTP/HTTPS- und gRPC-Protokolle durch eine dedizierte Datenebene innerhalb der VPC. Diese Datenebene ist über einen link-lokalen Endpunkt zugänglich, auf den nur von Ihrer VPC aus zugegriffen werden kann.

Administratoren können AWS Resource Access Manager (AWS RAM) verwenden, um zu bestimmen, welche Konten und VPCs über ein Servicenetzwerk kommunizieren dürfen. Wenn eine VPC mit einem Servicenetzwerk verknüpft ist, können die Ressourcen innerhalb der VPC automatisch die Service-Sammlung im Servicenetzwerk erkennen und sich mit ihr verbinden. Servicebesitzer können die Datenverarbeitungsintegrationen von VPC Lattice nutzen, um ihre Services von Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS) und AWS Lambda einzubinden, und ein oder mehrere Servicenetzwerke auswählen, denen beigetreten werden soll. Servicebesitzer können auch erweiterte Regeln für das Datenverkehrsmanagement konfigurieren, um festzulegen, wie eine Anfrage verarbeitet werden soll, um gängige Muster wie Blau/Grün- und Canary-Bereitstellungen zu unterstützen. Neben der Verwaltung des Datenverkehrs können Servicebesitzer und Administratoren zusätzliche Zugriffskontrollen implementieren, indem sie die Authentifizierung und Autorisierung über die Authentifizierungsrichtlinie von VPC Lattice durchsetzen. Administratoren können Integritätsschutz auf der Ebene des Servicenetzwerks durchsetzen und fein abgestufte Zugriffskontrollen auf einzelne Services anwenden. VPC Lattice ist so konzipiert, dass es nicht invasiv ist und mit bestehenden Architekturmustern zusammenarbeitet, damit Entwicklungsteams in Ihrem Unternehmen ihre Services im Laufe der Zeit nach und nach einbinden können.

VPC Lattice führt vier Schlüsselkomponenten ein:

Service – Eine unabhängig einsetzbare Softwareeinheit, die eine bestimmte Aufgabe oder Funktion erfüllt. Ein Service kann in einer beliebigen VPC oder einem beliebigen Konto betrieben werden und kann auf Instances, Containern oder Serverless Compute laufen. Ein Service besteht aus Listenern, Regeln und Zielgruppen, vergleichbar mit einem AWS Application Load Balancer.

Serviceverzeichnis – Ein zentrales Verzeichnis aller Services, die bei VPC Lattice registriert wurden, die Sie erstellt haben oder die über AWS RAM für Ihr Konto freigegeben wurden.

Servicenetzwerk – Ein logischer Gruppierungsmechanismus zur Vereinfachung der Art und Weise, wie Benutzer Konnektivität aktivieren und gemeinsame Richtlinien auf eine Sammlung von Services anwenden. Servicenetzwerke können über mehrere Konten mit AWS RAM gemeinsam genutzt und mit VPCs verknüpft werden, um die Konnektivität mit einer Gruppe von Services zu ermöglichen.

Authentifizierungsrichtlinie – Die Authentifizierungsrichtlinie ist eine AWS Identity and Access Management (IAM)-Ressourcenrichtlinie, die Sie mit einem Servicenetzwerk und einzelnen Services verknüpfen können, um Zugriffskontrollen zu definieren. Die Authentifizierungsrichtlinie verwendet IAM. Sie können umfangreiche Fragen im PARC-Stil (Principal-Action-Resource-Condition) angeben, um eine kontextspezifische Autorisierung für die Services von VPC Lattice durchzusetzen. Üblicherweise wendet eine Organisation grobkörnige Authentifizierungsrichtlinien auf das Servicenetzwerk an, wie beispielsweise „nur authentifizierte Anfragen innerhalb meiner Org-ID sind erlaubt“, und granularere Richtlinien auf der Serviceebene.

VPC Lattice ist derzeit in den folgenden AWS-Regionen verfügbar: USA Ost (Ohio), USA Ost (Nord-Virginia), USA West (Oregon), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney), Asien-Pazifik (Tokio), Europa (Irland), Europa (Frankfurt), Europa (London), Europa (Stockholm) und Kanada (Zentral).

Lattice ist ein Feature von VPC und erfordert keine separate Bewertung/keinen separaten Aufruf. Die Features der im Leistungsumfang enthaltenen Services gelten als „bewertet/abgedeckt“ und sind auch AWS-Services im Rahmen des Compliance-Programms. Sofern nicht explizit ausgeschlossen, werden die allgemein verfügbaren Funktionen der einzelnen Services im Rahmen der Sicherheitsgewährleistungsprogramme berücksichtigt.

Für Amazon VPC Lattice fallen keine zusätzlichen Gebühren für AZ-übergreifende Datenübertragungen an. Die Datenübertragung zwischen Availability Zones wird durch die Datenverarbeitungsdimension der VPC-Lattice-Servicepreise abgedeckt.

Um den Datenverkehrsfluss und die Erreichbarkeit zu überwachen, können Sie Zugriffsprotokolle sowohl auf Servicenetzwerk- als auch auf Serviceebene verwenden. Um eine vollständige Beobachtbarkeit Ihrer Umgebung zu gewährleisten, können Sie sich auch Metriken für Ihre Services- und Lattice-Zielgruppen anzeigen lassen. Protokolle auf Servicenetzwerk- und Serviceebene können in CloudWatch Logs, S3 oder Kinesis Data Firehose exportiert werden. Zusätzlich können andere Features zur Beobachtbarkeit von AWS, wie z. B. VPC Flow Logs und AWS X-Ray genutzt werden, um Netzwerkflüsse, Service-Interaktionen und API-Aufrufe zu verfolgen.

Wenn ein VPC-Lattice-Service erstellt wird, wird ein vollständig qualifizierter Domain-Name (FQDN) in einer öffentlichen Hosting-Zone von Route 53 erstellt, die von AWS verwaltet wird. Sie können diese DNS-Namen in CNAME-Datensätzen in Ihren eigenen privaten gehosteten Zonen verwenden, die mit den VPCs verknüpft sind, welche dem Service Network zugeordnet sind. Sie können einen benutzerdefinierten Domain-Namen angeben, um benutzerdefinierte Servicenamen aufzulösen. Wenn Sie einen benutzerdefinierten Domain-Namen angeben, müssen Sie das DNS-Routing konfigurieren, nachdem Ihr Service erstellt wurde. Dies dient dazu, DNS-Anfragen für den benutzerdefinierten Domain-Namen dem VPC Lattice-Endpunkt zuzuordnen. Wenn Sie Route 53 als DNS-Service verwenden, können Sie einen CNAME-Alias-Datensatz innerhalb Ihrer von Amazon Route 53 gehosteten öffentlichen oder privaten Zonen konfigurieren. Für HTTPS müssen Sie außerdem ein SSL/TLS-Zertifikat angeben, das dem benutzerdefinierten Domain-Namen entspricht.

Ja, Amazon VPC Lattice unterstützt HTTPs und generiert auch ein Zertifikat für jeden Service, das über Amazon Certificate Manager (ACM) verwaltet wird. Für die clientseitige Authentifizierung verwendet Lattice AWS SIGv4.

Ja, Amazon VPC Lattice ist ein hochverfügbarer, verteilter, regionaler Service. Wenn Sie einen Service in VPC Lattice registrieren, empfiehlt es sich, Ziele auf mehrere Availability Zones zu verteilen. Der VPC Lattice Service stellt sicher, dass der Datenverkehr auf der Grundlage der konfigurierten Regeln und Bedingungen an gesunde Ziele weitergeleitet wird.

Amazon VPC Lattice lässt sich nativ mit Ihrem Amazon Elastic Kubernets Service (EKS) und selbstverwalteten Kubernetes-Workloads über den AWS Gateway API Controller integrieren, der eine Implementierung der Kubernetes Gateway API ist. Dies erleichtert die Registrierung vorhandener oder neuer Dienste bei Lattice und die dynamische Zuordnung von HTTP-Routen zu Kubernetes-Ressourcen.

Die Services und Servicenetzwerke von Amazon VPC Lattice sind regionale Komponenten. Wenn Sie eine Umgebung mit mehreren Regionen haben, können Sie Services und Servicenetzwerke in jeder Region haben. Für regionsübergreifende und On-Premises-Kommunikationsmuster können Sie derzeit auf globale AWS-Konnektivitätsdienste wie regionsübergreifendes VPC Peering, AWS Transit Gateway, AWS Direct Connect oder AWS-Cloud-WAN zugreifen. Bitte lesen Sie diesen Blog, in dem die regionsübergreifenden Konnektivitätsmuster detailliert beschrieben werden.

Ja, Amazon VPC Lattice unterstützt IPv6 und kann eine Netzwerkadressübersetzung zwischen sich überschneidenden IPv4- und IPv6-Adressräumen über VPC Lattice Services und VPCs hinweg durchführen. Amazon VPC Lattice hilft Ihnen, sowohl IPv4- als auch IPv6-Services sicher zu verbinden und Kommunikationsflüsse auf einfache und konsistente Weise über verschiedene Rechentypen hinweg zu überwachen. Es bietet native Interoperabilität zwischen IP-Services, unabhängig von der zugrunde liegenden IP-Adressierung, was die Einführung von IPv6 bei allen Services in AWS erleichtern kann. Weitere Details finden Sie in diesem Blog.

Ja, Tags können verwendet werden, um das Hinzufügen und Entfernen von Ressourcenzuordnungen zu Amazon VPC Lattice und kontoübergreifenden Ressourcenfreigaben mit Amazon EventBridge, AWS Lambda, AWS CloudTrail und AWS Resource Access Manager (AWS RAM) zu automatisieren. Diese Methoden können innerhalb einer einzelnen AWS-Organisation oder über mehrere AWS-Konten hinweg verwendet werden und unterstützen mehrere Anwendungsfälle, z. B. Anwendungen von Anbietern und Kunden. Weitere Informationen und Implementierungsbeispiele finden Sie in diesem Blog.

Der Aufbau Ihres Servicenetzwerks sollte sich an Ihrer Organisationsstruktur und Ihrem Betriebsmodell orientieren. Sie können sich für ein organisationsweites Domain-spezifisches Servicenetzwerk entscheiden und die Zugriffsrichtlinien entsprechend konfigurieren. Sie können aber auch einen stärker segmentierten Ansatz für Servicenetzwerke wählen, indem Sie sie jeder Ihrer Routing-Domänen und unabhängigen Geschäftseinheiten in Ihrem Unternehmen zuordnen. Eine VPC kann jeweils einem Servicenetzwerk zugeordnet werden, während ein Service bei mehreren Servicenetzwerken registriert sein kann.