Perguntas frequentes do Amazon VPC Lattice

O Amazon VPC Lattice é um serviço de rede de camada de aplicações que oferece uma forma consistente de conectar, proteger e monitorar a comunicação de serviço a serviço sem a necessidade de ter conhecimento prévio de rede. Com o VPC Lattice, é possível configurar acesso à rede, gerenciamento de tráfego e monitoramento de rede para permitir a comunicação de serviço a serviço de forma consistente entre VPCs e contas, qualquer que seja o tipo de computação subjacente.

O VPC Lattice ajuda a abordar os seguintes casos de uso:

Conectar serviços em escala: conecte milhares de serviços em VPCs e contas sem aumentar a complexidade da rede.

Aplicar permissões de acesso detalhadas: aprimore a segurança de serviço a serviço e ofereça suporte a arquiteturas de confiança zero com controles de acesso, autenticação e autorização específica do contexto centralizados.

Implemente controles de tráfego avançados: aplique controles de tráfego detalhados, como roteamento em nível de solicitação e destinos ponderados para implantações azul/verde e canário.

Observar interações de serviço a serviço: monitore e solucione problemas de comunicação de serviço a serviço para tipo de solicitação, volume de tráfego, erros, tempo de resposta, entre outros.

O VPC Lattice ajuda a conectar desenvolvedores e administradores de nuvem, fornecendo recursos e funcionalidades específicas do perfil. O VPC Lattice atrairá desenvolvedores que não querem aprender e executar tarefas comuns de infraestrutura e rede necessárias para colocar aplicações modernas em funcionamento rapidamente. Os desenvolvedores devem ser capazes de se concentrar em criar aplicações, não redes. O VPC Lattice também atrairá administradores de nuvem e rede que queiram melhorar o procedimento de segurança de sua organização, permitindo autenticação, autorização e criptografia de modo consistente em ambientes de computação mistos (instâncias, contêineres, tecnologia sem servidor) e em VPCs e contas.

Você pode usar o VPC Lattice para criar redes lógicas de camada de aplicações chamadas de redes de serviço, que permitem a comunicação de serviço a serviço entre nuvens privadas virtuais (VPCs) e limites de conta, abstraindo a complexidade da rede. Ele oferece conectividade por protocolos HTTP/HTTPS e gRPC por meio de um plano de dados dedicado na VPC. Esse plano de dados é exposto por meio de um endpoint de link-local que pode ser acessado somente de sua VPC.

Os administradores podem usar o AWS Resource Access Manager (AWS RAM) para controlar quais contas e VPCs poderão estabelecer comunicação por meio de uma rede de serviço. Quando a VPC está associada a uma rede de serviço, os recursos dentro da VPC podem descobrir e conectar-se automaticamente à coleção de serviços na rede de serviços. Proprietários de serviços podem usar integrações de computação do VPC Lattice para integrar serviços do Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS) e AWS Lambda e escolher uma ou mais redes de serviços para ingressar. Os proprietários de serviços também podem configurar regras avançadas de gerenciamento de tráfego e definir como uma solicitação deve ser processada para oferecer suporte a padrões comuns, como implantações azul/verde e estilo canário. Além do gerenciamento de tráfego, os proprietários e administradores de serviços podem implementar outros controles de acesso aplicando autenticação e autorização por meio da política Auth do VPC Lattice. Os administradores podem impor barreiras de proteção no nível da rede de serviço e aplicar controles de acesso refinados a serviços individuais. O VPC Lattice foi criado para que não seja invasivo e funcione com os padrões de arquitetura existentes, permitindo que as equipes de desenvolvimento de sua organização integrem seus serviços de maneira incremental e progressiva.

O VPC Lattice apresenta quatro componentes principais:

Serviço: uma unidade de software implementável de modo independente que fornece uma tarefa ou função específica. O serviço pode residir em qualquer VPC ou conta e pode ser executado em instâncias, contêineres ou computação com tecnologia sem servidor. O serviço consiste em receptores, regras e grupos de destino, semelhantes a um AWS Application Load Balancer.

Diretório de serviço: um registro centralizado de todos os serviços que foram registrados com o VPC Lattice que você criou ou que foram compartilhados com sua conta pelo AWS RAM.

Rede de serviços: um mecanismo de agrupamento lógico para simplificar o modo como os usuários habilitam a conectividade e aplicam políticas comuns a uma coleção de serviços. As redes de serviços podem ser compartilhadas entre contas com o AWS RAM e associadas a VPCs para habilitar a conectividade a um grupo de serviços.

Política Auth: a política Auth é uma política de recursos do AWS Identity and Access Management (IAM) que pode ser associada a uma rede de serviços e a serviços individuais para definir controles de acesso. A política Auth usa o IAM, e é possível especificar perguntas avançadas no estilo entidade principal-ação-recurso-condição (PARC) para impor a autorização específica do contexto nos serviços do VPC Lattice. Normalmente, uma organização aplica políticas Auth detalhadas na rede de serviços, como “somente solicitações autenticadas dentro da id da minha org. são permitidas”, além de políticas mais detalhadas no nível do serviço.

O VPC Lattice está disponível atualmente nas seguintes regiões da AWS: Leste dos EUA (Ohio), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Ásia-Pacífico (Singapura), Ásia-Pacífico (Sydney), Ásia-Pacífico (Tóquio), Europa (Irlanda), Europa (Frankfurt), Europa (Londres), Europa (Estocolmo) e Canadá (Central).

O Lattice é um recurso da VPC e não exige uma avaliação/contagem separada. Os recursos dos serviços dentro do escopo são considerados “avaliados/cobertos” e também estão declarados em Serviços da AWS no escopo por programa de conformidade. A menos que sejam especificamente excluídos, os recursos geralmente disponíveis de cada um dos serviços são considerados no escopo dos programas de garantia.

Não há cobranças adicionais de transferência de dados entre AZs para o Amazon VPC Lattice. A transferência de dados entre zonas de disponibilidade é coberta pela dimensão de processamento de dados dos preços de serviços do VPC Lattice.

Para monitorar fluxos de tráfego e acessibilidade, você pode usar os logs de acesso na rede de serviços e no nível do serviço. Para ter observabilidade total do seu ambiente, você também pode visualizar métricas para seus grupos de destino de Serviços e do Lattice. Os logs da rede de serviços e do nível de serviço podem ser exportados para o CloudWatch Logs, S3 ou Kinesis Data Firehose. Além disso, outros recursos de observabilidade da AWS, como o VPC Flow Logs e o AWS X-Ray, podem ser utilizados para rastrear fluxos de rede, interações de serviços e chamadas de API.

Quando um serviço VPC Lattice é criado, um nome de domínio totalmente qualificado (FQDN) é criado em uma zona pública hospedada do Route 53 gerenciada pela AWS. Você pode usar esses nomes DNS nos registros CNAME Alias em suas próprias zonas hospedadas privadas, associadas às VPCs associadas à rede de serviços. É possível especificar um nome de domínio personalizado para resolver nomes de serviços personalizados. Se você especificar um nome de domínio personalizado, deverá configurar o roteamento de DNS após a criação do serviço. Você deve configurar o roteamento de DNS após a criação do serviço. Isso serve para mapear consultas de DNS do nome de domínio personalizado para o endpoint do VPC Lattice. Se você estiver usando o Route 53 como serviço de DNS, poderá configurar um registro de Alias CNAME dentro das suas zonas hospedadas públicas ou privadas do Amazon Route 53. Para HTTPS, você também deve especificar um certificado SSL/TLS que corresponda ao nome de domínio personalizado.

Sim, o Amazon VPC Lattice oferece suporte a HTTPs e também gera um certificado para cada serviço, gerenciado por meio do Amazon Certificate Manager (ACM). Para autenticação no lado do cliente, o Lattice usa o AWS SigV4.

Sim, o Amazon VPC Lattice é um serviço regional altamente disponível e distribuído. Quando você registra um serviço no VPC Lattice, é uma prática recomendada que os destinos sejam distribuídos por várias zonas de disponibilidade. O VPC Lattice Service garantirá que o tráfego seja roteado para destinos íntegros, com base nas regras e condições configuradas.

O Amazon VPC Lattice se integra de forma nativa ao Amazon Elastic Kubernets Service (EKS) e às workloads autogerenciadas do Kubernetes por meio do AWS Gateway API Controller, que é uma implementação da API do Kubernetes Gateway. Isso facilita o registro de serviços existentes ou novos no Lattice e o mapeamento dinâmico de rotas HTTP para recursos do Kubernetes.

Os serviços e redes de serviços do Amazon VPC Lattice são componentes regionais. Se você tiver um ambiente de várias regiões, poderá ter serviços e redes de serviços em todas as regiões. Para padrões de comunicação entre regiões e on-premises, atualmente você pode contar com os serviços de conectividade global da AWS, como emparelhamento de VPC entre regiões, AWS Transit Gateway, AWS Direct Connect ou AWS Cloud WAN. Consulte este blog, que detalha os padrões de conectividade entre regiões.

Sim, o Amazon VPC Lattice oferece suporte a IPv6 e pode realizar a conversão de endereços de rede entre espaços de endereços IPv4 e IPv6 sobrepostos em serviços do VPC Lattice e VPCs. O Amazon VPC Lattice ajuda você a conectar os serviços IPv4 e IPv6 com segurança e monitorar fluxos de comunicação, de forma simples e consistente, em vários tipos de computação. Ele fornece interoperabilidade nativa entre serviços IP, independentemente do endereçamento IP subjacente, o que pode ajudar a facilitar a adoção do IPv6 em todos os serviços na AWS. Consulte este blog para obter mais detalhes.

Sim, etiquetas podem ser usadas para automatizar a adição e a remoção de associações de recursos do Amazon VPC Lattice e compartilhamentos de recursos entre contas usando o Amazon EventBridge, o AWS Lambda, o AWS CloudTrail e o AWS Resource Access Manager (AWS RAM). Esses métodos podem ser usados em uma única Organização da AWS ou em várias Contas da AWS, dando suporte a vários casos de uso, como aplicações de fornecedor/cliente. Consulte este blog para obter mais detalhes e exemplos de implementação.

O design da distribuição da sua rede de serviços deve ser mapeado de acordo com a estrutura organizacional e o modelo operacional. Você pode optar por ter uma rede de serviços específica de domínio em toda a organização e configurar as políticas de acesso adequadamente. Ou pode ter uma abordagem mais segmentada às redes de serviços, associando-as a cada um dos seus domínios de roteamento e às unidades de negócios independentes da sua organização. Uma VPC pode ser associada a uma rede de serviços por vez, enquanto um serviço pode ser registrado em várias redes de serviços.