Preguntas frecuentes de Amazon VPC Lattice

Amazon VPC Lattice es un servicio de red de capa de aplicación que le brinda una manera consistente de conectar, proteger y supervisar la comunicación de servicio a servicio sin experiencia previa en redes. Con VPC Lattice, puede configurar el acceso a la red, la administración del tráfico y la supervisión de la red para habilitar la comunicación de servicio a servicio de forma consistente entre VPC y cuentas, sin importar el tipo de computación subyacente.

VPC Lattice ayuda a abordar los siguientes casos de uso:

Conectar servicios a escala: conecte miles de servicios en VPC y cuentas sin aumentar la complejidad de la red.

Aplicar permisos de acceso pormenorizados: mejore la seguridad de servicio a servicio y admita arquitecturas de confianza cero con controles de acceso centralizados, autenticación y autorización específica del contexto.

Implementar controles de tráfico avanzados: aplique controles de tráfico pormenorizados, como enrutamiento a nivel de solicitud y destinos ponderados, para despliegues azul/verde y de valores controlados.

Observar interacciones de servicio a servicio: monitoree y solucione problemas de comunicaciones de servicio a servicio por tipo de solicitud, volumen de tráfico, errores, tiempo de respuesta y más.

VPC Lattice ayuda a cubrir el hueco entre los desarrolladores y administradores de la nube al brindar características y capacidades para roles específicos. VPC Lattice atraerá los desarrolladores que no desean aprender y realizar las tareas de infraestructura y redes comunes necesarias para poner las aplicaciones modernas en marcha con rapidez. Los desarrolladores deben poder centrarse en la creación de aplicaciones, no en las redes. VPC Lattice atraerá a los administradores de la nube y de redes que busquen aumentar la posición de seguridad de su organización al habilitar la autenticación, la autorización y el cifrado de manera consistente en entornos de computación combinados (instancias, contenedores, tecnología sin servidor) y entre VPC y cuentas.

Puede utilizar VPC Lattice para crear redes de capa de aplicación lógicas, llamadas redes de servicio, que permiten la comunicación de servicio a servicio a través de nubes privadas virtuales (VPC) y límites de cuentas, lo que abstrae la complejidad de la red. Brinde conectividad mediante protocolos HTTP/HTTPS y gRPC a través de un plano de datos dedicado dentro de la VPC. Esto plano de datos está expuesto a través de un punto de conexión de local de vínculo al que solo se puede acceder desde dentro de su VPC.

Los administradores pueden utilizar AWS Resource Access Manager (AWS RAM) para controlar qué cuentas y VPC pueden establecer comunicaciones mediante una red de servicio. Cuando una VPC está asociada con una red de servicio, los recursos dentro de la VPC pueden detectar de manera automática y conectarse a la colección de servicios de la red de servicios. Los propietarios de los servicios pueden utilizar las integraciones de computación de VPC Lattice para incorporar sus servicios desde Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS) y AWS Lambda, y elegir una o más redes de servicio para unirse. Los propietarios de servicio también pueden configurar reglas de administración del tráfico avanzadas para definir de qué manera una solicitud debería procesarse para brindar compatibilidad con patrones comunes como implementaciones azul/verde y de valores controlados. Además de la administración del tráfico, los propietarios de servicios y los administradores pueden implementar controles de acceso adicionales al aplicar autenticación y autorización mediante la política de autorización de VPC Lattice. Los administradores pueden aplicar barreras de protección en el nivel de red de servicios y aplicar controles de acceso pormenorizados a servicios individuales. VPC Lattice ha sido diseñado para no ser invasivo y funcionar junto con patrones de arquitectura existentes, de modo que permite a los equipos de desarrollo de su organización para incorporar de manera gradual y progresiva sus servicios con el tiempo.

VPC Laticce incorpora cuatro componentes clave:

Servicio: una unidad desplegable de manera independiente de software que brinda una tarea o función específica. Un servicio puede residir en cualquier VPC o cuenta y puede ejecutarse en instancias, contenedores o recursos de computación sin servidor. Un servicio se compone de oyentes, reglas y grupos de destino, de manera similar a un equilibrador de carga de aplicación de AWS.

Directorio de servicios: un registro centralizado de todos los servicios que se han registrado con VPC Lattice y que se han creado o compartido con su cuenta a través de AWS RAM.

Red de servicios: un mecanismo de agrupación lógica para simplificar la forma en la que los usuarios habilitan la conectividad y aplican políticas comunes a una colección de servicios. Las redes de servicio se pueden compartir entre cuentas con AWS RAM y estar asociadas con VPC para habilitar la conectividad con un grupo de servicios.

Política de autorización: la política de autorización es una política de recursos de AWS Identity and Access Management (IAM) que usted puede asociar con una red de servicios y servicios individuales para definir los controles de acceso. La política de autorización utiliza IAM, y puede especificar cuestiones de estilo entidad principal-acción-recurso-condición (principal-action-resource-condition, PARC) para aplicar autorización específica del contexto en servicios de VPC Lattice. Por lo general, una organización aplicaría políticas de autorización de granularidad gruesa en la red de servicios, como “solo las solicitudes autenticadas dentro de mi org-id tienen permiso”, y más políticas granulares en el nivel de servicio.

En la actualidad, VPC Lattice está disponible en las siguientes regiones de AWS: Este de EE. UU. (Ohio), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Asia-Pacífico (Singapur), Asia-Pacífico (Sídney), Asia-Pacífico (Tokio), Europa (Irlanda), Europa (Fráncfort), Europa (Londres), Europa (Estocolmo) y Canadá (centro).

Lattice es una característica de VPC y no requiere una evaluación o llamada por separado. Las características de los servicios incluidos en el ámbito se consideran “evaluadas/cubiertas” y también figuran en el programa Servicios de AWS en el ámbito del programa de conformidad. A menos que se excluyan de manera específica, las características generalmente disponibles de cada uno de los servicios se consideran dentro del alcance de los programas de garantía.

No hay cargos adicionales por transferencia de datos entre zonas de disponibilidad para Amazon VPC Lattice. La transferencia de datos entre zonas de disponibilidad está cubierta por la dimensión de procesamiento de datos de los precios del servicio VPC Lattice.

Para supervisar los flujos de tráfico y la accesibilidad, puede utilizar los registros de acceso tanto a la red de servicio como a nivel de servicio. Para tener una observabilidad total de su entorno, también puede ver las métricas de sus grupos de destino de servicios y Lattice. Los registros de la red de servicio y los niveles de servicio se pueden exportar a Registros de CloudWatch, S3 o Kinesis Data Firehose. Además, se pueden utilizar otras características de observabilidad de AWS, como los registros de flujo de VPC y AWS X-Ray, para realizar un seguimiento de los flujos de red, las interacciones de servicios y las llamadas a la API.

Cuando se crea un servicio de VPC Lattice, se crea un nombre de dominio completo (FQDN) en una zona alojada pública de Route 53 que AWS administra. Puede usar estos nombres de DNS en los registros de alias CNAME de sus propias zonas alojadas privadas, asociadas a las VPC que están a su vez asociadas a la red de servicio. Puede especificar un nombre de dominio personalizado para resolver los nombres de servicio personalizados. Si especifica un nombre de dominio personalizado, debe configurar el enrutamiento de DNS después de crear el servicio. Esto sirve para asignar las consultas de DNS del nombre de dominio personalizado al punto de enlace de VPC Lattice. Si utiliza Route 53 como servicio de DNS, puede configurar un registro de alias CNAME en sus zonas alojadas públicas o privadas de Amazon Route 53. En el caso de HTTPS, también debe especificar un certificado SSL/TLS que coincida con el nombre de dominio personalizado.

Sí, Amazon VPC Lattice admite HTTP y también genera un certificado para cada servicio, que se administra a través de Amazon Certificate Manager (ACM). Para la autenticación del lado del cliente, Lattice usa AWS SigV4.

Sí, Amazon VPC Lattice es un servicio regional distribuido y de alta disponibilidad. Cuando registra un servicio en VPC Lattice, se recomienda que los destinos se distribuyan en varias zonas de disponibilidad. El servicio VPC Lattice garantizará que el tráfico se dirija a destinos en buen estado, según las reglas y condiciones configuradas.

Amazon VPC Lattice se integra de forma nativa con su Amazon Elastic Kubernetes Service (EKS) y con las cargas de trabajo autoadministradas de Kubernetes a través del controlador de la API de AWS Gateway, que es una implementación de la API de Gateway de Kubernetes. Esto facilita el registro de los servicios existentes o nuevos en Lattice y la asignación dinámico de las rutas HTTP a los recursos de Kubernetes.

Los servicios y redes de servicios de Amazon VPC Lattice son componentes regionales. Si tiene un entorno multirregional, puede tener servicios y redes de servicios en todas las regiones. Para los patrones de comunicación entre regiones y en las instalaciones, actualmente puede utilizar los servicios de conectividad global de AWS, como la interconexión de VPC entre regiones, AWS Transit Gateway, AWS Direct Connect o WAN en la nube de AWS. Consulte este blog que detalla los patrones de conectividad entre regiones.

Sí, Amazon VPC Lattice admite IPv6 y puede realizar la traducción de direcciones de red entre espacios de direcciones IPv4 e IPv6 superpuestos en los servicios y VPC de VPC Lattice. Amazon VPC Lattice le ayuda a conectar los servicios IPv4 e IPv6 de forma segura y a supervisar los flujos de comunicación de forma sencilla y uniforme en varios tipos de procesamiento. Proporciona interoperabilidad nativa entre los servicios IP independientemente del direccionamiento IP subyacente, lo que puede ayudar a facilitar la adopción de IPv6 en todos los servicios de AWS. Consulte este blog para obtener más información.

Sí, las etiquetas se pueden usar para automatizar la adición y eliminación de asociaciones de recursos de Amazon VPC Lattice y recursos compartidos entre cuentas mediante Amazon EventBridge, AWS Lambda, AWS CloudTrail y AWS Resource Access Manager (AWS RAM). Estos métodos se pueden usar en una sola organización de AWS o en varias cuentas de AWS, lo que permite varios casos de uso, como aplicaciones de proveedores o clientes. Consulte este blog para obtener más detalles y ejemplos de implementación.

El diseño de la distribución de la red de servicios debe ajustarse a la estructura y al modelo operativo de su organización. Puede elegir tener una red de servicios específica para un dominio en toda la organización y configurar las políticas de acceso en consecuencia. También puede adoptar un enfoque más segmentado de las redes de servicio, asociándolas a cada uno de sus dominios de enrutamiento y a todas las unidades empresariales independientes de su organización. Se puede asociar una VPC a una red de servicio a la vez, mientras que un servicio se puede registrar en varias redes de servicio.