Часто задаваемые вопросы о сервисе Amazon VPC Lattice

Amazon VPC Lattice – это сетевой сервис уровня приложений, дающий возможность согласованным образом подключать, защищать и контролировать коммуникации между сервисами, при этом предварительный опыт работы в сети не требуется. С помощью VPC Lattice можно настраивать сетевой доступ, управление трафиком и мониторинг сети, чтобы обеспечить согласованный обмен данными между сервисами в VPC и аккаунтах независимо от базового типа вычислений.

VPC Lattice помогает в рассмотрении следующих примеров использования:

Масштабное подключение сервисов – подключение тысяч сервисов для VPC и аккаунтов без усложнения сети.

Применение точных разрешений доступа – повышение безопасности между сервисами и поддержка архитектур с нулевым доверием и централизованным контролем доступа, аутентификацией и авторизацией с учетом контекста.

Внедрение передовых средств управления трафиком – применение точных средств управления трафиком, например маршрутизации на уровне запросов и взвешенных целей для развертывания без перерыва в обслуживании и развертывания пробных выпусков.

Наблюдение за взаимодействиями между сервисами – мониторинг обмена данными между сервисами, устранение неисправностей с целью контроля типа запросов, объема трафика, ошибок, времени реагирования и много другого.

VPC Lattice помогает устранить разрыв между разработчиками и администраторами облаков, предоставляя функции и возможности для конкретных ролей. VPC Lattice понравится разработчикам, которые не хотят изучать и выполнять распространенные задачи для инфраструктур и сетей, необходимые для быстрого введения в работу и настройки современных приложений. Разработчики должны иметь возможность сосредоточиться на создании приложений, а не сетях. VPC Lattice понравится также администраторам облаков и сетей, которые стремятся повысить безопасность своих организаций за счет проверки подлинности, авторизации и шифрования согласованными способами в смешанных вычислительных средах (инстансах, контейнерах, бессерверных ресурсах), VPC и аккаунтах.

С помощью VPC Lattice можно создавать логические сети уровня приложений, именуемые сетями сервисов, обеспечивающие обмен данными между сервисами в виртуальных частных облаках (VPC) и границами аккаунтов независимо от сложности сетей. Этот сервис дает возможность подключаться по протоколам HTTP/HTTPS и gRPC через специальную плоскость данных в пределах VPC. Эта плоскость данных открыта через ссылку – локальный адрес, доступ к которому можно получить только в VPC.

С помощью Диспетчера доступа к ресурсам AWS (AWS RAM) администраторы могут контролировать, каким аккаунтам и VPC разрешено устанавливать связь через сеть сервисов. Когда VPC ассоциируется с сетью сервисов, ресурсы в VPC могут автоматически обнаруживать коллекцию сервисов в сети сервисов и подключаться к ним. Владельцы сервисов могут использовать возможности интеграции VPC Lattice, чтобы добавить свои сервисы из Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS) и AWS Lambda и выбирать одну или больше сетей сервисов для подключения. Владельцы сервисов могут также настроить расширенные правила контроля трафика, чтобы определить, как должен обрабатываться запрос для поддержки распространенных шаблонов, например развертывания синих/зеленых и пробных выпусков. Помимо управления трафиком, владельцы сервисов и администраторы могут внедрять дополнительные средства контроля доступа за счет проверки подлинности и авторизации через политику VPC Lattice Auth. Администраторы могут применять ограничения на уровне сети сервисов и точные средства контроля доступа к отдельным сервисам. VPC Lattice работает без вмешательства, вместе с существующими шаблонами архитектуры, поэтому команды разработчиков в вашей организации смогут постепенно внедрять свои сервисы с течением времени.

VPC Lattice включает четыре ключевых компонента:

Сервис – независимо развертываемый блок программного обеспечения для выполнения определенной задачи или функции. Сервис может работать в любом VPC или аккаунте, выполняемом в инстансах, контейнерах или на бессерверных вычислительных ресурсах. Сервис состоит из слушателей, правил и групп целей, как и Балансировщик нагрузки приложений AWS.

Каталог сервисов – это централизованный реестр всех сервисов, зарегистрированных в VPC Lattice, которые вы создали или которые вы предоставили для вашего аккаунта через Диспетчер доступа к ресурсам AWS (AWS RAM).

Сеть сервисов – механизм логической группировки, упрощающий пользователям возможность подключения и применения общих политик к набору сервисов. Сети сервисов можно совместно использовать в разных аккаунтах с AWS RAM и ассоциировать с VPC для того, чтобы обеспечить возможность подключения к группе сервисов.

Политика аутентификации – политика аутентификации для ресурсов Управления идентификацией и доступом AWS (IAM), которую можно ассоциировать с сетью сервисов и отдельными сервисами, чтобы определить средства контроля доступа. Политика аутентификации использует IAM, и вы можете указать вопросы в стиле PARC (состояние ресурса для основного действия), чтобы применить авторизацию для определенного контекста к сервисам VPC Lattice. Обычно организация должна применять политики авторизации невысокой точности к сети сервисов, например «разрешены только аутентифицированные запросы в пределах моего идентификатора организации», а также более точные политики на уровне сервиса.

В настоящее время сервис VPC Lattice доступен в следующих регионах AWS: Восток США (Огайо), Восток США (Северная Вирджиния), Запад США (Орегон), Азиатско-Тихоокеанский регион (Сингапур), Азиатско-Тихоокеанский регион (Сидней), Азиатско-Тихоокеанский регион (Токио), Европа (Ирландия), Европа (Франкфурт), Европа (Лондон), Европа (Стокгольм), а также Канада (Центральная).

Поскольку сервис Lattice представляет собой функцию VPC, он не требует отдельной оценки или проверки. Функции сервисов, участвующих в программе, считаются «оцененными и покрываемыми» в соответствии с программой нормативно-правового соответствия для участвующих сервисов AWS. Если не исключено иное, общедоступные функции каждого сервиса рассматриваются в рамках программ страхования.

Дополнительная плата за использование Amazon VPC Lattice при передаче данных между зонами доступности не взимается. Стоимость передачи данных между зонами доступности входит в услуги обработки данных (см. цены на Amazon VPC Lattice).

Для мониторинга потоков трафика и доступности можно использовать журналы доступа как на уровне сервисной сети, так и на уровне обслуживания. Чтобы обеспечить полную наблюдаемость среды, также можно просматривать метрики целевых групп сервисов и Lattice. Журналы сервисной сети и сервиса можно экспортировать в журналы CloudWatch, S3 или данные Amazon Kinesis Firehose. Кроме того, другие функции наблюдаемости AWS, такие как журналы потоков VPC и AWS X-Ray, можно использовать для отслеживания сетевых потоков, взаимодействия сервисов и вызовов API.

При создании сервиса VPC Lattice в общедоступной зоне хостинга Route 53, управляемой AWS, создается полное доменное имя (FQDN). Эти DNS-имена можно использовать в записях CNAME Alias в частных зонах хостинга, связанных с VPC, связанными с сервисной сетью. Вы можете указать персонализированное доменное имя, чтобы присваивать пользовательские имена сервисов. Указав персонализированное доменное имя, необходимо настроить DNS-маршрутизацию после создания сервиса, чтобы сопоставить DNS-запросы к персонализированному доменному имени с адресом VPC Lattice. Используя Route 53 в качестве DNS-сервиса, можно настроить запись CNAME Alias в публичных или частных зонах хостинга Amazon Route 53. Кроме того, для HTTPS необходимо указать сертификат SSL/TLS, соответствующий персонализированному доменному имени.

Да, Amazon VPC Lattice поддерживает HTTPS, а также генерирует сертификат для каждого сервиса, управляемого Диспетчером сертификатов Amazon (ACM). Для аутентификации на стороне клиента Lattice использует AWS SigV4.

Да, Amazon VPC Lattice – это высокодоступный распределенный региональный сервис. При регистрации сервиса в VPC Lattice рекомендуется распределять целевые объекты по нескольким зонам доступности. Сервис VPC Lattice обеспечит маршрутизацию трафика к исправным целевым объектам с учетом заданных правил и условий.

Сервис Amazon VPC Lattice изначально интегрирован эластичным сервисом Amazon Kubernetes (Amazon EKS) и самоуправляемыми рабочими нагрузками Kubernetes с помощью контроллера API шлюза AWS, который является реализацией API шлюза Kubernetes. Это упрощает регистрацию существующих или новых сервисов в Lattice и динамическое сопоставление HTTP-маршрутов с ресурсами Kubernetes.

Сервисы и сервисные сети Amazon VPC Lattice являются региональными компонентами. При использовании в многорегиональной среде сервисы и сервисные сети можно развернуть в каждом регионе. Для межрегиональных и локальных моделей связи в настоящее время доступны глобальные сервисы подключения AWS, такие как межрегиональное пиринговое соединение VPC, транспортный шлюз AWS, AWS Direct Connect или облачная глобальная сеть AWS WAN. Подробнее о моделях межрегиональной связи см. в этом блоге.

Да, Amazon VPC Lattice поддерживает протокол IPv6 и может выполнять преобразование сетевых адресов между перекрывающимися адресными пространствами IPv4 и IPv6 в сервисах VPC Lattice и VPC. Сервис Amazon VPC Lattice помогает безопасно подключать сервисы IPv4 и IPv6 и отслеживать потоки связи простым и согласованным способом, независимо от типа вычислений. Сервис обеспечивает встроенную совместимость между IP-сервисами независимо от базовой IP-адресации, что упрощает внедрение протокола IPv6 в сервисах AWS. Подробную информацию см. в этом блоге.

Да, теги можно использовать для автоматического добавления и удаления привязки ресурсов Amazon VPC Lattice и общих ресурсов между аккаунтами с помощью Amazon EventBridge, AWS Lambda, AWS CloudTrail и Диспетчера доступа к ресурсам AWS (AWS RAM). Эти методы можно использовать в одной организации AWS или в нескольких аккаунтах AWS, поддерживая несколько сценариев использования, например приложения поставщиков и клиентов. Подробную информацию и примеры использования см. в этом блоге.

Схема распространения в сервисной сети должна соответствовать организационной структуре и операционной модели. Вы можете выбрать общеорганизационную доменную сервисную сеть и соответствующим образом настроить политики доступа или применить более сегментированный подход к сервисным сетям, связав их с каждым из доменов маршрутизации и между независимыми подразделениями организации. Одно облако VPC можно одновременно связать с одной сервисной сетью, при этом сервис можно зарегистрировать в нескольких сервисных сетях.