FAQ Amazon VPC Lattice

Amazon VPC Lattice adalah layanan jaringan lapisan aplikasi yang memberi Anda cara yang konsisten untuk menghubungkan, mengamankan, dan memantau komunikasi layanan ke layanan tanpa harus memiliki keahlian jaringan. Dengan VPC Lattice. Anda dapat mengonfigurasi akses jaringan, manajemen lalu lintas, dan pemantauan jaringan untuk memungkinkan komunikasi layanan ke layanan secara konsisten di seluruh VPC dan akun, terlepas dari tipe komputasi yang mendasarinya.

VPC Lattice membantu menangani kasus penggunaan berikut:

Menghubungkan layanan berskala besar – Menghubungkan ribuan layanan di seluruh VPC dan akun tanpa perlu meningkatkan kompleksitas jaringan.

Menerapkan izin akses terperinci – Meningkatkan keamanan layanan ke layanan serta mendukung arsitektur Zero Trust dengan kontrol akses, autentikasi, dan otorisasi untuk konteks tertentu yang terpusat.

Mengimplementasikan kontrol lalu lintas lanjutan – Menerapkan kontrol lalu lintas terperinci, seperti perutean tingkat permintaan serta target tertimbang untuk deployment blue/green dan deployment canary.

Mengamati interaksi layanan ke layanan – Memantau dan menyelesaikan masalah komunikasi layanan ke layanan untuk tipe permintaan, volume lalu lintas, kesalahan, waktu respons, dan masih banyak lagi.

VPC Lattice membantu menjembatani kesenjangan antara developer dan administrator cloud dengan menyediakan fitur serta kapabilitas khusus peran. VPC Lattice akan menarik bagi para developer yang tidak ingin mempelajari serta melakukan tugas infrastruktur dan jaringan umum yang diperlukan agar aplikasi modern dapat berjalan dengan cepat. Developer harus berfokus pada pembuatan aplikasi, bukan jaringan. VPC Lattice juga akan menarik perhatian administrator cloud dan jaringan yang ingin meningkatkan postur keamanan organisasi dengan mengaktifkan autentikasi, otorisasi, dan enkripsi dengan cara yang konsisten di seluruh lingkungan komputasi campuran (instans, kontainer, nirserver), dan di seluruh VPC dan akun.

Anda dapat menggunakan VPC Lattice untuk membuat jaringan lapisan aplikasi logis, yang disebut jaringan layanan, yang memungkinkan komunikasi layanan ke layanan di seluruh cloud privat virtual (VPC) dan batas akun, guna mengabstraksi kompleksitas jaringan. VPC Lattice menawarkan konektivitas pada protokol HTTP/HTTPS dan gRPC melalui bidang data khusus di dalam VPC. Bidang data ini diekspos melalui titik akhir tautan lokal yang hanya bisa diakses dari dalam VPC Anda.

Administrator dapat menggunakan AWS Resource Access Manager (AWS RAM) untuk mengontrol akun dan VPC yang dapat membangun komunikasi melalui jaringan layanan. Saat VPC terhubung dengan jaringan layanan, sumber daya di dalam VPC dapat secara otomatis menemukan dan terhubung ke kumpulan layanan di jaringan layanan. Pemilik layanan dapat menggunakan integrasi komputasi VPC Lattice untuk menggabungkan layanan mereka dari Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS), serta AWS Lambda, dan memilih satu jaringan layanan atau lebih untuk digabungkan. Pemilik layanan juga dapat mengonfigurasi aturan manajemen lalu lintas untuk menetapkan cara permintaan diproses guna mendukung pola umum seperti deployment bergaya biru/hijau dan canary. Di samping manajemen lalu lintas, pemilik layanan dan administrator dapat mengimplementasikan kontrol akses tambahan dengan menerapkan autentikasi dan otorisasi melalui kebijakan Autentikasi VPC Lattice. Administrator dapat menerapkan pagar pembatas di tingkat jaringan layanan dan menerapkan kontrol akses terperinci pada layanan individu. VPC Lattice didesain agar bersifat noninvasif dan bekerja berdampingan dengan pola arsitektur yang ada, yang memungkinkan tim pengembangan di seluruh organisasi Anda untuk secara bertahap mengintegrasikan layanan mereka secara progresif dari waktu ke waktu.

VPC Lattice memperkenalkan empat komponen kunci:

Layanan – Unit perangkat lunak yang dapat di-deploy secara independen yang menghasilkan tugas atau fungsi tertentu. Suatu layanan dapat berfungsi di VPC atau akun mana pun dan dapat berjalan di instans, kontainer, dan komputasi nirserver. Suatu layanan terdiri dari pendengar, aturan, dan grup target, yang hampir sama dengan Penyeimbang Beban Aplikasi AWS.

Direktori layanan – Suatu registri terpusat dari semua layanan yang telah terdaftar dengan VPC Lattice yang telah Anda buat atau bagikan dengan akun Anda melalui AWS RAM.

Jaringan layanan – Mekanisme pengelompokkan logis untuk menyederhanakan cara pengguna mengaktifkan konektivitas dan menerapkan kebijakan umum ke sekumpulan layanan. Jaringan layanan dapat dibagikan di seluruh akun dengan AWS RAM dan dikaitkan dengan VPC untuk mengaktifkan konektivitas ke grup layanan.

Kebijakan autentikasi – Kebijakan autentikasi adalah kebijakan sumber daya AWS Identity and Access Management (IAM) yang dapat dikaitkan dengan jaringan layanan dan layanan individu untuk menetapkan kontrol akses. Kebijakan autentikasi menggunakan IAM, dan Anda dapat menentukan pertanyaan bergaya principal-action-resource-condition (PARC) untuk menerapkan otorisasi khusus konteks pada layanan VPC Lattice. Biasanya, organisasi akan menerapkan Kebijakan autentikasi yang terperinci di jaringan layanan, seperti “hanya permintaan yang terautentikasi di org-id saya yang akan diizinkan,” dan kebijakan-kebijakan yang lebih terperinci di tingkat layanan.

VPC Lattice saat ini tersedia di Wilayah AWS berikut: AS Timur (Ohio), AS Timur (Virginia Utara), AS Barat (Oregon), Asia Pasifik (Singapura), Asia Pasifik (Sydney), Asia Pasifik (Tokyo), Eropa (Irlandia), Eropa (Frankfurt), Eropa (London), Eropa (Stockholm), dan Kanada (Pusat).

Lattice adalah fitur VPC dan tidak memerlukan penilaian/panggilan terpisah. Fitur layanan dalam cakupan dianggap “dinilai/dicakup” dan juga dinyatakan dalam Cakupan Layanan AWS menurut Program Kepatuhan. Kecuali dikecualikan secara khusus, fitur yang tersedia secara umum dari masing-masing layanan dipertimbangkan dalam cakupan program jaminan.

Tidak ada biaya transfer data lintas-AZ tambahan untuk Amazon VPC Lattice. Transfer data lintas zona ketersediaan tercakup dalam dimensi pemrosesan data harga layanan VPC Lattice.

Untuk memantau arus lalu lintas dan keterjangkauan, Anda dapat menggunakan Log Akses di tingkat Jaringan Layanan dan Layanan. Agar lingkungan Anda memiliki observabilitas penuh, Anda juga dapat melihat metrik untuk grup target Layanan dan Lattice Anda. Log Jaringan Layanan dan tingkat Layanan dapat diekspor ke Log CloudWatch, S3, atau Kinesis Data Firehose. Selain itu, fitur observabilitas AWS lainnya, seperti Log Arus VPC dan AWS X-Ray dapat digunakan untuk melacak arus jaringan, interaksi layanan, dan panggilan API.

Ketika layanan VPC Lattice dibuat, nama domain yang sepenuhnya memenuhi syarat (FQDN) dibuat di zona yang di-hosting publik Route 53 yang dikelola oleh AWS. Anda dapat menggunakan nama DNS ini dalam catatan Alias CNAME di Zona yang Di-hosting Pribadi milik Anda, yang terkait dengan VPC yang terkait dengan Jaringan Layanan. Anda dapat menentukan nama domain khusus untuk menyelesaikan nama layanan khusus. Jika menentukan nama domain khusus, Anda harus mengonfigurasi perutean DNS setelah layanan Anda dibuat. Ini untuk memetakan kueri DNS untuk nama domain khusus ke titik akhir VPC Lattice. Jika menggunakan Route 53 sebagai layanan DNS, Anda dapat mengonfigurasi catatan Alias CNAME dalam zona yang di-hosting publik atau privat Amazon Route 53. Untuk HTTPS, Anda juga harus menentukan sertifikat SSL/TLS yang cocok dengan nama domain khusus.

Ya, Amazon VPC Lattice mendukung HTTP dan juga menghasilkan sertifikat untuk setiap Layanan, yang dikelola melalui Amazon Certificate Manager (ACM). Untuk autentikasi sisi klien, Lattice menggunakan AWS SIGv4.

Ya, Amazon VPC Lattice adalah layanan Regional yang sangat tersedia dan terdistribusi. Saat Anda mendaftarkan Layanan di VPC Lattice, praktik terbaiknya adalah target disebar di beberapa Zona Ketersediaan. Layanan VPC Lattice akan memastikan lalu lintas dirutekan ke target yang aktif, berdasarkan aturan dan ketentuan yang dikonfigurasi.

Amazon VPC Lattice terintegrasi secara native dengan Amazon Elastic Kubernets Service (EKS) dan beban kerja Kubernetes yang dikelola sendiri melalui AWS Gateway API Controller yang merupakan implementasi dari Kubernetes Gateway API. Ini memfasilitasi pendaftaran Layanan yang sudah ada atau yang baru ke Lattice, dan pemetaan dinamis dari Rute HTTP ke sumber daya Kubernetes.

Layanan Amazon VPC Lattice dan jaringan layanan merupakan komponen Regional. Jika memiliki lingkungan multi-Wilayah, Anda dapat memiliki Layanan dan Jaringan Layanan di setiap Wilayah. Untuk pola komunikasi lintas Wilayah dan on-premise, saat ini Anda dapat mengandalkan layanan konektivitas global AWS seperti Peering VPC lintas Wilayah, AWS Transit Gateway, AWS Direct Connect, atau AWS Cloud WAN. Lihat blog ini yang merinci pola konektivitas lintas Wilayah.

Ya, Amazon VPC Lattice mendukung IPv6 dan dapat melakukan terjemahan alamat jaringan antara ruang alamat IPv4 dan IPv6 yang tumpang tindih di seluruh layanan VPC Lattice dan VPC. Amazon VPC Lattice membantu Anda menghubungkan layanan IPv4 dan IPv6 dengan aman, serta memantau arus komunikasi, dengan cara yang sederhana dan konsisten di berbagai tipe komputasi. Ini memberikan interoperabilitas native di antara layanan IP terlepas dari alamat IP yang mendasarinya, yang dapat membantu memfasilitasi adopsi IPv6 di seluruh layanan di AWS. Tinjau blog ini untuk detail selengkapnya.

Ya, tanda dapat digunakan untuk mengotomatiskan penambahan dan penghapusan pengaitan sumber daya Amazon VPC Lattice, dan berbagi sumber daya lintas akun menggunakan Amazon EventBridge, AWS Lambda, AWS CloudTrail, dan AWS Resource Access Manager (AWS RAM). Metode ini dapat digunakan dalam satu AWS Organization atau di beberapa Akun AWS, yang mendukung beberapa kasus penggunaan seperti aplikasi vendor/klien. Lihat blog ini untuk detail selengkapnya dan contoh implementasi.

Desain distribusi Jaringan Layanan Anda harus sesuai dengan struktur organisasi dan model operasional Anda. Anda dapat memilih untuk memiliki Jaringan Layanan khusus domain di seluruh organisasi, dan mengonfigurasi Kebijakan Akses yang sesuai. Anda juga dapat memiliki pendekatan yang lebih tersegmentasi terhadap Jaringan Layanan, dengan mengaitkannya dengan setiap domain perutean Anda dan di seluruh Unit Bisnis terpisah di organisasi Anda. Satu VPC dapat dikaitkan dengan satu Jaringan Layanan pada satu waktu, sementara Layanan dapat didaftarkan ke beberapa Jaringan Layanan.