FAQ Amazon VPC Lattice

Questions d'ordre général

Amazon VPC Lattice est un service de mise en réseau de la couche d'application qui vous offre un moyen cohérent de connecter, sécuriser et surveiller la communication entre services sans aucune expertise préalable en matière de mise en réseau. Avec VPC Lattice, vous pouvez configurer l'accès au réseau, la gestion du trafic et la surveillance du réseau pour permettre la communication service à service de manière cohérente entre les VPC et les comptes, quel que soit le type de calcul sous-jacent.

VPC Lattice permet de répondre aux cas d'utilisation suivants :

Connecter les services à l'échelle : connectez des milliers de services à travers les VPC et les comptes sans augmenter la complexité du réseau.

Appliquer des autorisations d'accès granulaires : améliorez la sécurité entre les services et prendre en charge les architectures de type Zero Trust grâce à des contrôles d'accès centralisés, à l'authentification et à l'autorisation spécifique au contexte.

Implémenter des contrôles de trafic avancés : appliquez des contrôles de trafic granulaires, tels que le routage au niveau de la demande et les cibles pondérées, pour les déploiements canary et bleu/vert.

Observer les interactions service à service : surveillez et dépannez la communication service à service pour le type de demande, le volume de trafic, les erreurs, le temps de réponse, et plus encore.

VPC Lattice aide à combler le fossé entre les développeurs et les administrateurs de nuages en fournissant des fonctions et des capacités spécifiques aux rôles. VPC Lattice plaira aux développeurs qui ne veulent pas apprendre et effectuer les tâches courantes d'infrastructure et de mise en réseau nécessaires pour faire fonctionner rapidement des applications modernes. Les développeurs devraient pouvoir se concentrer sur la création d'applications, et non de réseaux. VPC Lattice intéressera également les administrateurs de réseaux et de clouds qui cherchent à renforcer la sécurité de leur organisation en permettant l'authentification, l'autorisation et le chiffrement de manière cohérente dans des environnements de calcul mixtes (instances, conteneurs, sans serveur), ainsi que dans les VPC et les comptes.

Vous pouvez utiliser VPC Lattice pour créer des réseaux logiques de couche d'application, appelés réseaux de service, qui permettent la communication de service à service à travers les clouds privés virtuels (VPC) et les frontières de compte, en abstrayant la complexité du réseau. Il offre une connectivité sur les protocoles HTTP/HTTPS et gRPC via un plan de données dédié au sein du VPC. Ce plan de données est exposé par le biais d'un point de terminaison local qui n'est accessible que depuis votre VPC.

Les administrateurs peuvent utiliser AWS Resource Access Manager (AWS RAM) pour contrôler quels comptes et quels VPC peuvent établir une communication via un réseau de services. Lorsqu'un VPC est associé à un réseau de services, les ressources du VPC peuvent automatiquement découvrir et se connecter à la collection de services du réseau de services. Les propriétaires de services peuvent utiliser les intégrations de calcul VPC Lattice pour embarquer leurs services depuis Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS) et AWS Lambda, et choisir un ou plusieurs réseaux de services à rejoindre. Les propriétaires de services peuvent également configurer des règles avancées de gestion du trafic pour définir la manière dont une demande doit être traitée afin de prendre en charge les modèles courants tels que les déploiements de type canary et bleu/vert. Outre la gestion du trafic, les propriétaires et administrateurs de services peuvent mettre en place des contrôles d'accès supplémentaires en appliquant l'authentification et l'autorisation par le biais de la politique VPC Lattice Auth. Les administrateurs peuvent appliquer des barrières de protection au niveau du réseau de services et appliquer des contrôles d'accès à grain fin sur les services individuels. VPC Lattice est conçu pour être non invasif et fonctionner parallèlement aux modèles d'architecture existants, permettant aux équipes de développement de votre organisation d'intégrer progressivement leurs services au fil du temps.

VPC Lattice présente quatre composants clés :

Service : une unité de logiciel déployable indépendamment qui fournit une tâche ou une fonction spécifique. Un service peut vivre dans n'importe quel VPC ou compte et peut s'exécuter sur des instances, des conteneurs ou un calcul sans serveur. Un service se compose d'écouteurs, de règles et de groupes de cibles, de manière similaire à Application Load Balancer AWS.

Répertoire de services : un registre centralisé de tous les services enregistrés auprès de VPC Lattice que vous avez créés ou qui ont été partagés avec votre compte via AWS RAM.

Réseau de services : mécanisme de regroupement logique visant à simplifier la façon dont les utilisateurs activent la connectivité et appliquent des politiques communes à une collection de services. Les réseaux de services peuvent être partagés entre les comptes avec AWS RAM et associés aux VPC pour permettre la connectivité à un groupe de services.

Politique Auth : la politique Auth est une politique de ressources AWS Identity et Access Management (IAM) que vous pouvez associer à un réseau de services et à des services individuels pour définir les contrôles d'accès. La politique Auth utilise IAM, et vous pouvez spécifier des questions riches de type principal-action-ressource-condition (PARC) pour appliquer l'autorisation spécifique au contexte sur les services VPC Lattice. En général, une organisation applique des politiques Auth à gros grain au niveau du réseau de services, telles que « seules les demandes authentifiées dans mon org-id sont autorisées », et des politiques plus granulaires au niveau du service.

VPC Lattice est actuellement disponible dans les régions AWS suivantes : USA Est (Ohio), USA Est (Virginie du Nord), USA Ouest (Oregon), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Europe (Irlande), Europe (Francfort), Europe (Londres), Europe (Stockholm), et Canada (Centre).