Domande frequenti su Amazon VPC Lattice

Amazon VPC Lattice è un servizio di rete a livello di applicazione che offre un modo coerente per connettersi, proteggere e monitorare la comunicazione da servizio a servizio senza alcuna esperienza di rete precedente. Con VPC Lattice, puoi configurare l'accesso alla rete, la gestione del traffico e il monitoraggio della rete per abilitare la comunicazione da servizio a servizio in modo coerente tra VPC e account, indipendentemente dal tipo di calcolo sottostante.

VPC Lattice aiuta ad affrontare i seguenti casi d'uso:

Connessione di servizi su vasta scala: connetti migliaia di servizi tra VPC e account senza aumentare la complessità della rete.

Applicazione di autorizzazioni di accesso granulari: migliora la sicurezza da servizio a servizio e supporta architetture Zero Trust con controlli di accesso centralizzati, autenticazione e autorizzazione specifica del contesto.

Implementazione di controlli avanzati per il traffico: applica controlli granulari del traffico, come l'instradamento a livello di richiesta e obiettivi ponderati per implementazioni blu/verdi e canary.

Osservazione dell'interazione tra i servizi: monitora e risolvi i problemi di comunicazione da servizio a servizio per tipo di richiesta, volume di traffico, errori, tempo di risposta e altro.

VPC Lattice aiuta a colmare il divario tra sviluppatori e amministratori cloud fornendo caratteristiche e funzionalità specifiche del ruolo. VPC Lattice si rivolge agli sviluppatori che non vogliono imparare ed eseguire le comuni attività di rete e infrastruttura necessarie per far funzionare rapidamente le applicazioni moderne. Gli sviluppatori devono potersi concentrare sulle loro applicazioni e non sulle reti. VPC Lattice si rivolge anche agli amministratori di cloud e di rete che desiderano aumentare il livello di sicurezza della propria organizzazione abilitando l'autenticazione, l'autorizzazione e la crittografia in modo coerente in ambienti di elaborazione misti (istanze, container, serverless) e tra VPC e account.

Puoi utilizzare VPC Lattice per creare reti logiche a livello di applicazione, denominate reti di servizio, che consentono la comunicazione da servizio a servizio attraverso limiti di cloud privati virtuali (VPC) e account, riducendo la complessità della rete. Offre connettività su protocolli HTTP/HTTPS e gRPC tramite un piano dati dedicato all'interno del VPC. Questo piano dati è esposto tramite un endpoint link-local a cui puoi accedere solo dall'interno del tuo VPC.

Gli amministratori possono utilizzare Gestione degli accessi alle risorse AWS per controllare gli account e i VPC che possono stabilire una comunicazione tramite una rete di servizi. Quando un VPC è associato a una rete di servizi, le risorse all'interno del VPC possono rilevare e connettersi automaticamente alla raccolta di servizi nella rete di servizi. I proprietari dei servizi possono utilizzare le integrazioni di elaborazione di VPC Lattice per eseguire l'onboarding dei propri servizi da Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS) e AWS Lambda e scegliere una o più reti di servizi a cui aderire. Possono anche configurare regole avanzate di gestione del traffico per definire come deve essere elaborata una richiesta per supportare modelli comuni come le implementazioni in stile blu/verde e canary. Oltre alla gestione del traffico, i proprietari e gli amministratori del servizio possono implementare controlli di accesso aggiuntivi applicando l'autenticazione e l'autorizzazione tramite la policy Auth di VPC Lattice. Gli amministratori possono applicare guardrail a livello di rete di servizi e applicare controlli di accesso granulari su singoli servizi. VPC Lattice è progettato per essere non invasivo e funzionare insieme ai modelli di architettura esistenti, consentendo ai team di sviluppo di tutta l'organizzazione di eseguire l'onboarding incrementale dei propri servizi progressivamente nel tempo.

VPC Lattice è costituito da quattro componenti chiave:

Servizio: un'unità di software implementabile in modo indipendente che fornisce un'attività o una funzione specifica. Un servizio può risiedere in qualsiasi VPC o account e può essere eseguito su istanze, container o elaborazione serverless. Un servizio è costituito da ascoltatori, regole e gruppi di destinazione, in modo simile a un Application Load Balancer AWS.

Directory di servizi: si tratta di un registro centralizzato di tutti i servizi che sono stati registrati con VPC Lattice che hai creato o che sono stati condivisi con il tuo account tramite AWS RAM.

Rete di servizi: un meccanismo di raggruppamento logico per semplificare il modo in cui gli utenti abilitano la connettività e applicano policy comuni a una raccolta di servizi. Le reti di servizi possono essere condivise tra account con AWS RAM e associate ai VPC per abilitare la connettività a un gruppo di servizi.

Policy Auth: la policy Auth è una policy di risorse AWS Identity and Access Management (IAM) che può essere associata a una rete di servizi e ai singoli servizi per definire i controlli di accesso. La policy Auth utilizza IAM e puoi specificare domande in stile PARC (principal-action-resource-condition) avanzate per applicare l'autorizzazione specifica del contesto ai servizi VPC Lattice. In genere, un'organizzazione applica policy di autenticazione a grana grossa alla rete del servizio, ad esempio "sono consentite solo le richieste autenticate all'interno del mio ID organizzazione" e policy più granulari a livello di servizio.

VPC Lattice al momento è disponibile nelle regioni AWS Stati Uniti orientali (Ohio), Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Asia Pacifico (Singapore), Asia Pacifico (Sydney), Asia Pacifico (Tokyo), Europa (Irlanda), Europa (Francoforte), Europa (Londra), Europa (Stoccolma) e Canada (Centrale).

Lattice è una funzionalità di VPC e non richiede una valutazione/chiamata separata. Le funzionalità dei servizi in esame sono considerate “valutate/coperte” e sono inoltre dichiarate nel programma Servizi AWS coperti dal programma di compliance. A meno che non siano espressamente escluse, le funzionalità generalmente disponibili di ciascun servizio sono considerate coperte dei programmi di assicurazione.

Non sono previsti costi aggiuntivi per il trasferimento di dati tra AZ per Amazon VPC Lattice. Il trasferimento dei dati tra le zone di disponibilità è coperto dalla dimensione di elaborazione dei dati dei prezzi del servizio VPC Lattice.

Per monitorare i flussi di traffico e la raggiungibilità, è possibile utilizzare i log di accesso sia a livello di rete di servizio che a livello di servizio. Per avere una piena osservabilità del tuo ambiente, puoi anche visualizzare i parametri per i tuoi gruppi di destinazione dei servizi e di Lattice. I log sia a livello di rete di servizio che a livello di servizio possono essere esportati in CloudWatch Logs, S3 o Kinesis Data Firehose. Inoltre, altre funzionalità di osservabilità di AWS, come i log di flusso di VPC e AWS X-Ray, possono essere utilizzate per monitorare i flussi di rete, le interazioni di servizio e le chiamate API.

Quando si crea un servizio VPC Lattice, viene creato un nome di dominio pienamente qualificato (FQDN) in una zona pubblica ospitata di Route 53 gestita da AWS. È possibile utilizzare questi nomi DNS nei record CNAME Alias nelle proprie zone ospitate private, associate ai VPC associati alla rete di servizi. Per risolvere i nomi di servizio personalizzati è possibile specificare un nome di dominio personalizzato. Se si specifica un nome di dominio personalizzato, dopo la creazione del servizio è necessario configurare l’instradamento DNS. Ciò consente di mappare le query DNS per il nome di dominio personalizzato all'endpoint VPC Lattice. Se utilizzi Route 53 come servizio DNS, puoi configurare un record CNAME Alias all'interno delle tue zone ospitate pubbliche o private di Amazon Route 53. Per HTTPS, devi anche specificare un certificato SSL/TLS che corrisponda al nome di dominio personalizzato.

Sì, Amazon VPC Lattice supporta HTTPS e genera anche un certificato per ogni servizio, gestito tramite Amazon Certificate Manager (ACM). Per l'autenticazione lato client, Lattice utilizza AWS Sigv4.

Sì, Amazon VPC Lattice è un servizio regionale distribuito ad alta disponibilità. Quando si registra un servizio in VPC Lattice, è consigliabile che gli obiettivi siano distribuiti su più zone di disponibilità. Il servizio VPC Lattice assicurerà che il traffico venga indirizzato verso obiettivi integri, in base alle regole e alle condizioni configurate.

Amazon VPC Lattice si integra in modo nativo con i tuoi carichi di lavoro Amazon Elastic Kubernets Service (EKS) e Kubernetes autogestiti tramite l'API Controller AWS Gateway che è un'implementazione dell'API Gateway Kubernetes. Ciò facilita la registrazione di servizi esistenti o nuovi su Lattice e la mappatura dinamica degli instradamenti HTTP alle risorse Kubernetes.

I servizi e le reti di servizi Amazon VPC Lattice sono componenti regionali. Se disponi di un ambiente multiregionale, puoi avere servizi e reti di assistenza in ogni regione. Per i modelli di comunicazione interregionali e on-premises, è attualmente possibile affidarsi ai servizi di connettività globale AWS come Peering VPC tra regioni, AWS Transit Gateway, AWS Direct Connect o AWS Cloud WAN. Consulta questo blog che descrive in dettaglio i modelli di connettività interregionale.

Sì, Amazon VPC Lattice supporta IPv6 e può eseguire la conversione degli indirizzi di rete tra spazi di indirizzi IPv4 e IPv6 sovrapposti in servizi VPC Lattice e VPC. Amazon VPC Lattice consente di connettere i servizi IPv4 e IPv6 in modo sicuro e di monitorare i flussi di comunicazione in modo semplice e uniforme su vari tipi di calcolo. Fornisce l'interoperabilità nativa tra servizi IP a prescindere dall'indirizzo IP sottostante, il che può agevolare l'adozione dell'IPv6 tra i servizi su AWS. Per maggiori dettagli, consulta questo post del blog.

Sì, i tag possono essere utilizzati per automatizzare l'aggiunta e la rimozione delle associazioni di risorse Amazon VPC Lattice e delle condivisioni di risorse tra account utilizzando Amazon EventBridge, AWS Lambda, AWS CloudTrail e AWS Resource Access Manager (AWS RAM). Questi metodi possono essere utilizzati all'interno di un’unica organizzazione AWS o su più account AWS, supportando più casi d'uso come applicazioni vendor/client. Consulta questo blog per maggiori dettagli ed esempi di implementazione.

Il progetto della distribuzione della rete di assistenza deve essere associato alla struttura organizzativa e al modello operativo. È possibile scegliere di disporre di una rete di servizi specifica per il dominio a livello di organizzazione e configurare le politiche di accesso di conseguenza. Oppure puoi adottare un approccio più segmentato alle reti di servizi, associandole a ciascuno dei tuoi domini di routing e alle unità aziendali indipendenti della tua organizzazione. Un VPC può essere associato a una rete di servizi alla volta, mentre un servizio può essere registrato su più reti di servizi.