FAQ Amazon VPC Lattice
Topik halaman
UmumUmum
Buka semuaApa itu Amazon VPC Lattice?
Amazon VPC Lattice adalah layanan jaringan aplikasi yang memberi Anda cara yang konsisten untuk menghubungkan, mengamankan, dan memantau komunikasi layanan ke layanan dan layanan ke sumber daya tanpa harus memiliki keahlian jaringan. Dengan VPC Lattice. Anda dapat mengonfigurasi akses jaringan, manajemen lalu lintas, dan pemantauan jaringan untuk memungkinkan komunikasi layanan ke layanan dan layanan ke sumber daya secara konsisten di seluruh VPC dan akun, terlepas dari tipe komputasi yang mendasarinya.
Kasus penggunaan apa yang ditangani oleh Amazon VPC Lattice?
VPC Lattice membantu menangani kasus penggunaan berikut:
Hubungkan layanan dan sumber daya dalam skala besar – Hubungkan ribuan layanan dan sumber daya di seluruh VPC dan akun tanpa perlu meningkatkan kompleksitas jaringan.
Terapkan izin akses granular – Tingkatkan keamanan layanan ke layanan dan layanan ke sumber daya serta dukung arsitektur Zero Trust dengan kontrol akses, autentikasi, dan otorisasi untuk konteks tertentu yang terpusat.
Implementasikan kontrol lalu lintas lanjutan – Terapkan kontrol lalu lintas granular, seperti perutean tingkat permintaan serta target tertimbang untuk deployment blue/green dan deployment canary.
Amati interaksi layanan ke layanan dan layanan ke sumber daya – Pantau dan selesaikan masalah komunikasi layanan ke layanan dan layanan ke sumber daya untuk tipe permintaan, volume lalu lintas, kesalahan, waktu respons, dan lainnya.
Mengapa saya harus menggunakan Amazon VPC Lattice?
VPC Lattice membantu menjembatani kesenjangan antara developer dan administrator cloud dengan menyediakan fitur serta kapabilitas khusus peran. VPC Lattice akan menarik bagi para developer yang tidak ingin mempelajari serta melakukan tugas infrastruktur dan jaringan umum yang diperlukan agar aplikasi modern dapat berjalan dengan cepat. Developer harus berfokus pada pembuatan aplikasi, bukan jaringan. VPC Lattice juga akan menarik perhatian administrator cloud dan jaringan yang ingin meningkatkan postur keamanan organisasi dengan mengaktifkan autentikasi, otorisasi, dan enkripsi dengan cara yang konsisten di seluruh lingkungan komputasi campuran (instans, kontainer, nirserver), dan di seluruh VPC dan akun.
Bagaimana cara kerja Amazon VPC Lattice?
Anda dapat menggunakan VPC Lattice untuk membuat jaringan aplikasi logis, yang disebut jaringan layanan, yang memungkinkan komunikasi layanan ke layanan dan layanan ke sumber daya di seluruh cloud privat virtual (VPC) dan batas akun sehingga mengabstraksi kompleksitas jaringan. Amazon VPC Lattice menawarkan konektivitas pada protokol HTTP/HTTPS, gRPC, dan TCP melalui bidang data khusus di dalam VPC Lattice. Bidang data ini diekspos melalui titik akhir tautan lokal yang hanya dapat diakses dari dalam VPC Anda, dan titik akhir VPC tipe jaringan layanan yang dapat diakses dari dalam VPC Anda dan juga dari luar VPC Anda.
Administrator dapat menggunakan AWS Resource Access Manager (AWS RAM) untuk mengontrol akun dan VPC yang dapat membangun komunikasi melalui jaringan layanan. Saat VPC terhubung dengan jaringan layanan, klien di dalam VPC dapat menemukan dan terhubung secara otomatis ke kumpulan layanan dan sumber daya di jaringan layanan. Pemilik layanan dapat menggunakan integrasi komputasi VPC Lattice untuk mengorkestrasi layanan mereka dari Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate, dan AWS Lambda, dan memilih satu atau beberapa jaringan layanan untuk digabungkan. Pemilik layanan juga dapat mengonfigurasi aturan manajemen lalu lintas untuk menetapkan cara permintaan diproses guna mendukung pola umum seperti deployment bergaya biru/hijau dan canary. Pemilik sumber daya dapat berbagi sumber daya seperti basis data RDS di antara akun dan menambahkan sumber daya ini ke jaringan layanan. Selain manajemen lalu lintas, pemilik layanan dan sumber daya serta administrator dapat mengimplementasikan kontrol akses tambahan dengan menerapkan autentikasi dan otorisasi melalui kebijakan Autentikasi VPC Lattice. Administrator dapat menerapkan pagar pembatas di tingkat jaringan layanan dan menerapkan kontrol akses terperinci pada setiap layanan dan sumber daya. VPC Lattice dirancang agar bersifat noninvasif dan bekerja berdampingan dengan pola arsitektur yang ada, yang memungkinkan tim pengembangan di seluruh organisasi Anda untuk secara bertahap mengorkestrasi layanan dan sumber daya mereka secara progresif dari waktu ke waktu.
Apa saja komponen utama Amazon VPC Lattice?
VPC Lattice memperkenalkan enam komponen utama:
Layanan – Unit perangkat lunak yang dapat dilakukan deployment secara independen yang menghasilkan tugas atau fungsi tertentu. Suatu layanan dapat berfungsi di VPC atau akun mana pun dan dapat berjalan di instans, kontainer, dan komputasi nirserver. Suatu layanan terdiri dari pendengar, aturan, dan grup target, yang hampir sama dengan Penyeimbang Beban Aplikasi AWS.
Direktori layanan – Suatu registri terpusat dari semua layanan yang telah terdaftar dengan VPC Lattice yang telah Anda buat atau bagikan dengan akun Anda melalui AWS RAM.
Konfigurasi sumber daya - Konfigurasi sumber daya menunjukkan sumber daya berbasis TCP yang berada di VPC atau on premise, seperti basis data RDS, target nama domain, atau alamat IP. Konfigurasi sumber daya dapat dibagikan di antara akun. Ketika konfigurasi sumber daya dibagikan dengan akun lain, akun tersebut dapat mengakses sumber daya secara privat.
Gateway sumber daya - Gateway sumber daya adalah titik masuk dalam VPC untuk lalu lintas yang ditujukan ke sumber daya TCP yang dibagikan dalam konfigurasi sumber daya.
Jaringan layanan – Mekanisme pengelompokkan logis untuk menyederhanakan cara pengguna mengaktifkan konektivitas dan menerapkan kebijakan umum ke sekumpulan layanan dan sumber daya. Jaringan layanan dapat dibagikan di seluruh akun dengan AWS RAM dan dikaitkan dengan VPC untuk mengaktifkan konektivitas ke grup layanan dan sumber daya.
Kebijakan autentikasi – Kebijakan autentikasi adalah kebijakan sumber daya AWS Identity and Access Management (IAM) yang dapat dikaitkan dengan jaringan layanan dan layanan individu serta sumber daya untuk menetapkan kontrol akses. Kebijakan autentikasi menggunakan IAM, dan Anda dapat menentukan pertanyaan bergaya principal-action-resource-condition (PARC) untuk menerapkan otorisasi khusus konteks pada layanan VPC Lattice. Biasanya, organisasi akan menerapkan Kebijakan autentikasi yang terperinci di jaringan layanan, seperti “hanya permintaan yang terautentikasi di org-id saya yang akan diizinkan,” dan kebijakan-kebijakan yang lebih granular di tingkat layanan dan sumber daya.
Di Wilayah mana saja Amazon VPC Lattice tersedia?
VPC Lattice saat ini tersedia di AWS Region berikut: AS Timur (Ohio), AS Timur (Virginia Utara), AS Barat (Oregon), AS Barat (California Utara), Afrika (Cape Town), Asia Pasifik (Mumbai), Asia Pasifik (Singapura), Asia Pasifik (Sydney), Asia Pasifik (Seoul), Asia Pasifik (Tokyo), Kanada (Pusat), Eropa (Irlandia), Eropa (Frankfurt), Eropa (London), Eropa (Milan), Eropa (Paris), Eropa (Stockholm), dan Amerika Selatan (Sao Paulo).
Program kepatuhan apa saja yang termasuk dalam VPC Lattice? Bagaimana cara memverifikasi kelayakan?
Lattice adalah fitur VPC dan tidak memerlukan penilaian/panggilan terpisah. Fitur layanan dalam cakupan dianggap “dinilai/dicakup” dan juga dinyatakan dalam Cakupan Layanan AWS menurut Program Kepatuhan. Kecuali dikecualikan secara khusus, fitur yang tersedia secara umum dari masing-masing layanan dipertimbangkan dalam cakupan program jaminan.
Apakah ada biaya transfer data lintas-AZ tambahan dengan Amazon VPC Lattice?
Tidak ada biaya transfer data lintas-AZ tambahan untuk Amazon VPC Lattice. Transfer data lintas zona ketersediaan tercakup dalam dimensi pemrosesan data harga layanan VPC Lattice.
Bagaimana cara memantau dan memecahkan masalah jangkauan dan lalu lintas aplikasi dengan Amazon VPC Lattice?
Untuk memantau aliran lalu lintas dan keterjangkauan, Anda dapat menggunakan log akses di tingkat layanan, sumber daya, dan jaringan layanan. Agar lingkungan Anda memiliki observabilitas penuh, Anda juga dapat melihat metrik untuk layanan dan grup target VPC Lattice Anda. Log tingkat jaringan layanan, layanan, dan sumber daya dapat diekspor ke log Amazon CloudWatch, Amazon Simple Storage Service (S3), atau Amazon Data Firehose. Selain itu, fitur observabilitas AWS lainnya, seperti log aliran VPC dan AWS X-Ray, dapat digunakan untuk melacak aliran jaringan, interaksi layanan, dan panggilan API.
Bagaimana cara kerja pendaftaran DNS Amazon VPC Lattice?
Ketika layanan VPC Lattice dibuat, nama domain yang sepenuhnya memenuhi syarat (FQDN) dibuat di zona yang di-hosting publik Route 53 yang dikelola oleh AWS. Anda dapat menggunakan nama DNS ini dalam catatan Alias CNAME di Zona yang Di-hosting Pribadi milik Anda, yang terkait dengan VPC yang terkait dengan Jaringan Layanan. Anda dapat menentukan nama domain khusus untuk menyelesaikan nama layanan khusus. Jika menentukan nama domain khusus, Anda harus mengonfigurasi perutean DNS setelah layanan Anda dibuat. Ini untuk memetakan kueri DNS untuk nama domain khusus ke titik akhir VPC Lattice. Jika menggunakan Route 53 sebagai layanan DNS, Anda dapat mengonfigurasi catatan Alias CNAME dalam zona yang di-hosting publik atau privat Amazon Route 53. Untuk HTTPS, Anda juga harus menentukan sertifikat SSL/TLS yang cocok dengan nama domain khusus.
Bisakah saya menggunakan Amazon VPC Lattice untuk alur aplikasi terenkripsi?
Ya, Amazon VPC Lattice mendukung HTTP dan juga menghasilkan sertifikat untuk setiap Layanan, yang dikelola melalui Amazon Certificate Manager (ACM). Untuk autentikasi sisi klien, Lattice menggunakan AWS SIGv4.
Bisakah saya mencapai beberapa ketahanan Zona Ketersediaan untuk Layanan yang terdaftar di Amazon VPC Lattice?
Ya, Amazon VPC Lattice adalah layanan Regional yang sangat tersedia dan terdistribusi. Saat Anda mendaftarkan Layanan di VPC Lattice, praktik terbaiknya adalah target disebar di beberapa Zona Ketersediaan. Layanan VPC Lattice akan memastikan lalu lintas dirutekan ke target yang aktif, berdasarkan aturan dan ketentuan yang dikonfigurasi.
Apakah Amazon VPC Lattice mendukung aplikasi yang berjalan di Amazon Elastic Kubernetes Service?
Amazon VPC Lattice terintegrasi secara native dengan Amazon Elastic Kubernets Service (EKS) dan beban kerja Kubernetes yang dikelola sendiri melalui AWS Gateway API Controller yang merupakan implementasi dari Kubernetes Gateway API. Ini memfasilitasi pendaftaran Layanan yang sudah ada atau yang baru ke Lattice, dan pemetaan dinamis dari Rute HTTP ke sumber daya Kubernetes.
Bisakah saya menggunakan Amazon VPC Lattice untuk mengekspos aplikasi di seluruh Wilayah AWS dan on premise?
Layanan, sumber daya, konfigurasi sumber daya, dan jaringan layanan Amazon VPC Lattice adalah komponen Regional. Jika Anda memiliki lingkungan multi-Region, Anda dapat memiliki layanan, sumber daya, konfigurasi sumber daya, jaringan layanan di setiap Region. Untuk pola komunikasi lintas Wilayah dan on-premise, saat ini Anda dapat mengandalkan layanan konektivitas global AWS seperti Peering VPC lintas Wilayah, AWS Transit Gateway, AWS Direct Connect, atau AWS Cloud WAN. Lihat blog ini yang merinci pola konektivitas lintas Region.
Apakah Amazon VPC Lattice mendukung IPv6 dan bagaimana VPC Lattice dapat membantu migrasi dari IPv4 ke IPv6?
Ya, Amazon VPC Lattice mendukung IPv6 dan dapat melakukan terjemahan alamat jaringan antara ruang alamat IPv4 dan IPv6 yang tumpang tindih untuk layanan dan sumber daya VPC Lattice di seluruh VPC dan akun. Amazon VPC Lattice membantu Anda menghubungkan layanan sumber daya IPv4 dan IPv6 dengan aman, serta memantau aliran komunikasi, dengan cara yang sederhana dan konsisten di berbagai tipe komputasi. Proses ini memberikan interoperabilitas native di antara layanan dan sumber daya IP terlepas dari alamat IP yang mendasarinya, yang dapat membantu memfasilitasi adopsi IPv6 di seluruh layanan dan sumber daya di AWS. Tinjau blog ini untuk detail selengkapnya.
Bagaimana cara menggunakan Amazon VPC Lattice untuk mengotomatiskan konektivitas skala besar antara aplikasi yang berada di akun berbeda dan VPC?
Ya, tanda dapat digunakan untuk mengotomatiskan penambahan dan penghapusan pengaitan sumber daya Amazon VPC Lattice, dan berbagi sumber daya lintas akun menggunakan Amazon EventBridge, AWS Lambda, AWS CloudTrail, dan AWS Resource Access Manager (AWS RAM). Metode ini dapat digunakan dalam satu AWS Organization atau di beberapa Akun AWS, yang mendukung beberapa kasus penggunaan seperti aplikasi vendor/klien. Lihat blog ini untuk detail selengkapnya dan contoh implementasi.
Bagaimana cara terbaik untuk merancang Amazon VPC Lattice guna mempertimbangkan struktur Organisasi saya, dan merutekan domain (PROD, DEV, STAGE, dll.)?
Desain distribusi jaringan layanan Anda harus sesuai dengan struktur organisasi dan model operasional Anda. Anda dapat memilih untuk memiliki jaringan layanan khusus domain di seluruh organisasi, dan mengonfigurasi kebijakan akses yang sesuai. Anda juga dapat memiliki pendekatan yang lebih tersegmentasi terhadap jaringan layanan, yang mengaitkannya dengan setiap domain perutean Anda dan di seluruh unit bisnis yang terpisah di organisasi Anda.
Apakah saya dapat mengakses layanan dan sumber daya dari on premise?
Ya, layanan dan sumber daya dapat diakses dari on premise menggunakan titik akhir VPC (ditenagai oleh AWS PrivateLink). Anda dapat menempatkan layanan dan sumber daya Anda ke dalam jaringan layanan dan membuat titik akhir VPC (tipe “jaringan layanan”) untuk mengaktifkan konektivitas antara layanan dan sumber daya tersebut dari on premise.
Apakah saya dapat mengaitkan beberapa jaringan layanan ke VPC?
Anda dapat mendaftarkan beberapa jaringan layanan ke VPC menggunakan titik akhir VPC. Anda dapat membuat beberapa titik akhir VPC tipe “jaringan layanan” yang masing-masing terhubung ke jaringan layanan yang berbeda.