Domande frequenti su Amazon VPC Lattice

Amazon VPC Lattice è un servizio di rete di applicazione che offre un modo coerente per connettersi, proteggere e monitorare la comunicazione da servizio a servizio e da servizio a risorsa senza alcuna esperienza di rete precedente. Con VPC Lattice, puoi configurare l'accesso alla rete, la gestione del traffico e il monitoraggio della rete per abilitare la comunicazione da servizio a servizio e da servizio a risorsa in modo coerente tra VPC e account, indipendentemente dal tipo di calcolo sottostante.

VPC Lattice aiuta ad affrontare i seguenti casi d'uso:

Connessione di servizi e risorse su vasta scala: connetti migliaia di servizi e risorse tra VPC e account senza aumentare la complessità della rete.

Applicazione di autorizzazioni di accesso granulari: migliora la sicurezza da servizio a servizio e da servizio a risorsa supporta architetture Zero Trust con controlli di accesso centralizzati, autenticazione e autorizzazione specifica del contesto.

Implementazione di controlli avanzati per il traffico: applica controlli granulari del traffico, come l'instradamento a livello di richiesta e obiettivi ponderati per implementazioni blu/verdi e canary.

Osservazione dell'interazione tra i servizi e da servizio a risorsa: monitora e risolvi i problemi di comunicazione da servizio a servizio e da servizio a risorsa per tipo di richiesta, volume di traffico, errori, tempo di risposta e altro.

VPC Lattice aiuta a colmare il divario tra sviluppatori e amministratori cloud fornendo caratteristiche e funzionalità specifiche del ruolo. VPC Lattice si rivolge agli sviluppatori che non vogliono imparare ed eseguire le comuni attività di rete e infrastruttura necessarie per far funzionare rapidamente le applicazioni moderne. Gli sviluppatori devono potersi concentrare sulle loro applicazioni e non sulle reti. VPC Lattice si rivolge anche agli amministratori di cloud e di rete che desiderano aumentare il livello di sicurezza della propria organizzazione abilitando l'autenticazione, l'autorizzazione e la crittografia in modo coerente in ambienti di elaborazione misti (istanze, container, serverless) e tra VPC e account.

Puoi utilizzare VPC Lattice per creare reti logiche di applicazione, denominate reti di servizio, che consentono la comunicazione da servizio a servizio e da servizio a risorsa attraverso limiti di cloud privati virtuali (VPC) e account, riducendo la complessità della rete. Offre connettività su protocolli HTTP/HTTPS, gRPC e TCP tramite un piano dati dedicato all'interno del VPC Lattice. Questo piano dati è esposto sia tramite endpoint link-local a cui è possibile accedere solo dal VPC e dagli endpoint VPC di tipo rete di servizi a cui è possibile accedere dall'interno del VPC e anche dall'esterno del VPC.

Gli amministratori possono utilizzare Gestione degli accessi alle risorse AWS per controllare gli account e i VPC che possono stabilire una comunicazione tramite una rete di servizi. Quando un VPC è associato a una rete di servizi, i client all'interno del VPC possono rilevare e connettersi automaticamente alla raccolta di servizi e risorse nella rete di servizi. I proprietari dei servizi possono utilizzare le integrazioni di elaborazione di VPC Lattice per eseguire l'onboarding dei propri servizi da Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate e AWS Lambda e scegliere una o più reti di servizi a cui aderire. Possono anche configurare regole avanzate di gestione del traffico per definire come deve essere elaborata una richiesta per supportare modelli comuni come le implementazioni in stile blu/verde e canary. I proprietari delle risorse possono condividere risorse come i database RDS tra account e aggiungere queste risorse alle reti di servizi. Oltre alla gestione del traffico, i proprietari e gli amministratori del servizio e delle risorse possono implementare controlli di accesso aggiuntivi applicando l'autenticazione e l'autorizzazione tramite la policy Auth di VPC Lattice. Gli amministratori possono applicare guardrail a livello di rete di servizi e applicare controlli di accesso granulari su singoli servizi e risorse. VPC Lattice è progettato per essere non invasivo e funzionare insieme ai modelli di architettura esistenti, consentendo ai team di sviluppo di tutta l'organizzazione di eseguire l'onboarding incrementale dei propri servizi e risorse progressivamente nel tempo.

VPC Lattice è costituito da sei componenti chiave:

Servizio: un'unità di software implementabile in modo indipendente che fornisce un'attività o una funzione specifica. Un servizio può risiedere in qualsiasi VPC o account e può essere eseguito su istanze, container o elaborazione serverless. Un servizio è costituito da ascoltatori, regole e gruppi di destinazione, in modo simile a un Application Load Balancer AWS.

Directory di servizi: si tratta di un registro centralizzato di tutti i servizi che sono stati registrati con VPC Lattice che hai creato o che sono stati condivisi con il tuo account tramite AWS RAM.

Configurazione delle risorse: una configurazione delle risorse rappresenta una risorsa basata su TCP che risiede in un VPC o in locale, ad esempio un database RDS, una destinazione con nome di dominio o un indirizzo IP. Una configurazione delle risorse può essere condivisa tra account. Quando la configurazione della risorsa è condivisa con un altro account, tale account può accedere alla risorsa privatamente.

Gateway di risorse: un gateway di risorse è un punto di ingresso in un VPC per il traffico destinato alle risorse TCP condivise in una configurazione di risorse.

Rete di servizi: un meccanismo di raggruppamento logico per semplificare il modo in cui gli utenti abilitano la connettività e applicano policy comuni a una raccolta di servizi e risorse. Le reti di servizi possono essere condivise tra account con AWS RAM e associate ai VPC per abilitare la connettività a un gruppo di servizi e risorse.

Policy Auth: la policy Auth è una policy di risorse AWS Identity and Access Management (IAM) che può essere associata a una rete di servizi e ai singoli servizi e risorse per definire i controlli di accesso. La policy Auth utilizza IAM e puoi specificare domande in stile PARC (principal-action-resource-condition) avanzate per applicare l'autorizzazione specifica del contesto ai servizi VPC Lattice. In genere, un'organizzazione applica policy di autenticazione a grana grossa alla rete del servizio, ad esempio "sono consentite solo le richieste autenticate all'interno del mio ID organizzazione" e policy più granulari a livello di servizio e di risorse.

VPC Lattice è attualmente disponibile nelle seguenti regioni AWS: Stati Uniti orientali (Ohio), Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon) Stati Uniti occidentali (California settentrionale), Africa (Città del Capo), Asia Pacifico (Mumbai), Asia Pacifico (Singapore), Asia Pacifico (Sydney), Asia Pacifico (Seoul), Asia Pacifico (Tokyo), Canada (Centrale), Europa (Irlanda), Europa (Francoforte), Europa (Londra), Europa (Milano), Europa (Parigi), Europa (Stoccolma) e Sud America (San Paolo).

Lattice è una funzionalità di VPC e non richiede una valutazione/chiamata separata. Le funzionalità dei servizi in esame sono considerate “valutate/coperte” e sono inoltre dichiarate nel programma Servizi AWS coperti dal programma di compliance. A meno che non siano espressamente escluse, le funzionalità generalmente disponibili di ciascun servizio sono considerate coperte dei programmi di assicurazione.

Non sono previsti costi aggiuntivi per il trasferimento di dati tra AZ per Amazon VPC Lattice. Il trasferimento dei dati tra le zone di disponibilità è coperto dalla dimensione di elaborazione dei dati dei prezzi del servizio VPC Lattice.

Per monitorare i flussi di traffico e la raggiungibilità, è possibile utilizzare i log di accesso sia a livello di servizio che di risorsa e di livello di rete di servizio. Per avere una piena osservabilità del tuo ambiente, puoi anche visualizzare i parametri per i tuoi gruppi di destinazione dei servizi e di VPC Lattice. I log a livello di rete, servizio e risorsa di servizio possono essere esportati in Amazon CloudWatch Logs, Amazon Simple Storage Service (S3) o Amazon Data Firehose. Inoltre, altre funzionalità di osservabilità di AWS, come i log di flusso di VPC e AWS X-Ray, possono essere utilizzate per monitorare i flussi di rete, le interazioni di servizio e le chiamate API.

Quando si crea un servizio VPC Lattice, viene creato un nome di dominio pienamente qualificato (FQDN) in una zona pubblica ospitata di Route 53 gestita da AWS. È possibile utilizzare questi nomi DNS nei record CNAME Alias nelle proprie zone ospitate private, associate ai VPC associati alla rete di servizi. Per risolvere i nomi di servizio personalizzati è possibile specificare un nome di dominio personalizzato. Se si specifica un nome di dominio personalizzato, dopo la creazione del servizio è necessario configurare l’instradamento DNS. Ciò consente di mappare le query DNS per il nome di dominio personalizzato all'endpoint VPC Lattice. Se utilizzi Route 53 come servizio DNS, puoi configurare un record CNAME Alias all'interno delle tue zone ospitate pubbliche o private di Amazon Route 53. Per HTTPS, devi anche specificare un certificato SSL/TLS che corrisponda al nome di dominio personalizzato.

Sì, Amazon VPC Lattice supporta HTTPS e genera anche un certificato per ogni servizio, gestito tramite Amazon Certificate Manager (ACM). Per l'autenticazione lato client, Lattice utilizza AWS Sigv4.

Sì, Amazon VPC Lattice è un servizio regionale distribuito ad alta disponibilità. Quando si registra un servizio in VPC Lattice, è consigliabile che gli obiettivi siano distribuiti su più zone di disponibilità. Il servizio VPC Lattice assicurerà che il traffico venga indirizzato verso obiettivi integri, in base alle regole e alle condizioni configurate.

Amazon VPC Lattice si integra in modo nativo con i tuoi carichi di lavoro Amazon Elastic Kubernets Service (EKS) e Kubernetes autogestiti tramite l'API Controller AWS Gateway che è un'implementazione dell'API Gateway Kubernetes. Ciò facilita la registrazione di servizi esistenti o nuovi su Lattice e la mappatura dinamica degli instradamenti HTTP alle risorse Kubernetes.

I servizi, le risorse, le configurazioni delle risorse e le reti di servizi di Amazon VPC Lattice sono componenti regionali. Se disponi di un ambiente multiregione, puoi avere servizi, risorse, configurazioni di risorse e reti di servizi in ogni regione. Per i modelli di comunicazione interregionali e on-premises, è attualmente possibile affidarsi ai servizi di connettività globale AWS come Peering VPC tra regioni, AWS Transit Gateway, AWS Direct Connect o AWS Cloud WAN. Consulta questo blog che descrive in dettaglio i modelli di connettività interregionale.

Sì, Amazon VPC Lattice supporta IPv6 e può eseguire la conversione degli indirizzi di rete tra spazi di indirizzi IPv4 e IPv6 sovrapposti per i servizi e le risorse VPC Lattice nei VPC e negli account. Amazon VPC Lattice consente di connettere servizi e risorse IPv4 e IPv6 in modo sicuro e di monitorare i flussi di comunicazione in modo semplice e uniforme su vari tipi di calcolo. Fornisce l'interoperabilità nativa tra servizi e risorse IP a prescindere dall'indirizzo IP sottostante, il che può agevolare l'adozione dell'IPv6 tra servizi e risorse su AWS. Per maggiori dettagli, consulta questo post del blog.

Sì, i tag possono essere utilizzati per automatizzare l'aggiunta e la rimozione delle associazioni di risorse Amazon VPC Lattice e delle condivisioni di risorse tra account utilizzando Amazon EventBridge, AWS Lambda, AWS CloudTrail e AWS Resource Access Manager (AWS RAM). Questi metodi possono essere utilizzati all'interno di un’unica organizzazione AWS o su più account AWS, supportando più casi d'uso come applicazioni vendor/client. Consulta questo blog per maggiori dettagli ed esempi di implementazione.

Il progetto della distribuzione della rete di assistenza deve essere associato alla struttura organizzativa e al modello operativo. È possibile scegliere di avere una rete di servizi specifica per il dominio a livello di organizzazione e configurare le politiche di accesso di conseguenza. Oppure puoi adottare un approccio più segmentato alle reti di servizi, associandole a ciascuno dei tuoi domini di routing e alle unità aziendali indipendenti della tua organizzazione.

Sì, è possibile accedere a servizi e risorse da locale utilizzando gli endpoint VPC (con tecnologia AWS PrivateLink). Puoi inserire i tuoi servizi e le tue risorse in una rete di servizi e creare un endpoint VPC (tipo “rete di servizi”) per abilitare la connettività tra tali servizi e risorse da locale.

È possibile registrare più reti di servizi su un VPC utilizzando gli endpoint VPC. È possibile creare più endpoint VPC di tipo “rete di servizi”, ognuno dei quali si connette a una rete di servizi diversa.