คำถามที่พบบ่อยของ Amazon VPC Lattice

Amazon VPC Lattice คือ บริการเครือข่ายชั้นแอปพลิเคชันที่ให้วิธีการที่สม่ำเสมอในการเชื่อมต่อ รักษาความปลอดภัย และตรวจสอบการสื่อสารระหว่างบริการกับบริการโดยไม่ต้องมีความเชี่ยวชาญด้านเครือข่ายมาก่อน ด้วย VPC Lattice คุณสามารถกำหนดค่าการเข้าถึงเครือข่าย การจัดการทราฟฟิค และการตรวจสอบเครือข่ายเพื่อเปิดใช้งานการสื่อสารระหว่างบริการกับบริการที่สอดคล้องกันทั่วทั้ง VPC และบัญชี โดยไม่คำนึงถึงประเภทการประมวลผลพื้นฐาน

VPC Lattice จะช่วยระบุกรณีการใช้งานต่อไปนี้

เชื่อมต่อบริการในระดับต่างๆ – เชื่อมต่อบริการนับพันผ่าน VPC และบัญชีโดยไม่เพิ่มความซับซ้อนของเครือข่าย

ใช้สิทธิ์การเข้าถึงแบบละเอียด – ปรับปรุงการรักษาความปลอดภัยแบบบริการต่อบริการและสนับสนุนสถาปัตยกรรมแบบ Zero Trust ด้วยการควบคุมการเข้าถึงแบบรวมศูนย์ การรับรองความถูกต้อง และการอนุญาตเฉพาะบริบท

ใช้การควบคุมทราฟฟิคขั้นสูง – ใช้การควบคุมทราฟฟิคแบบละเอียด เช่น การกำหนดเส้นทางระดับคำขอและเป้าหมายที่ถ่วงน้ำหนักสำหรับการปรับใช้สีน้ำเงิน/สีเขียวและการนำ Canary ไปใช้จริง

สังเกตการโต้ตอบระหว่างบริการกับบริการ – ตรวจสอบและแก้ไขปัญหาการสื่อสารแบบบริการต่อบริการสำหรับประเภทคำขอ ปริมาณการรับส่งข้อมูล ข้อผิดพลาด เวลาตอบสนอง และอื่น ๆ

VPC Lattice ช่วยลดช่องว่างระหว่างนักพัฒนาและผู้ดูแลระบบคลาวด์ด้วยการมอบคุณสมบัติและความสามารถเฉพาะตามบทบาท VPC Lattice จะดึงดูดนักพัฒนาที่ไม่ต้องการเรียนรู้และดำเนินการโครงสร้างพื้นฐานทั่วไปและงานเครือข่ายที่จำเป็นในการทำให้แอปพลิเคชันสมัยใหม่ทำงานได้อย่างรวดเร็ว นักพัฒนาควรจะสามารถมุ่งเน้นไปที่การสร้างแอปพลิเคชัน ไม่ใช่เครือข่าย VPC Lattice จะดึงดูดผู้ดูแลระบบคลาวด์และเครือข่ายที่ต้องการเพิ่มมาตรการรักษาความปลอดภัยขององค์กรด้วยการเปิดใช้งานการยืนยันตัวตน การให้สิทธิ์ และการเข้ารหัสด้วยวิธีที่สอดคล้องกันในสภาพแวดล้อมการประมวลผลแบบผสม (อินสแตนซ์ คอนเทนเนอร์ ไม่ต้องใช้เซิร์ฟเวอร์) และทั่วทั้ง VPC และบัญชีต่างๆ

คุณสามารถใช้ VPC Lattice เพื่อสร้างเครือข่ายเลเยอร์แอปพลิเคชันแบบลอจิคัล ซึ่งเรียกว่าเครือข่ายบริการที่เปิดใช้งานการสื่อสารระหว่างบริการกับบริการผ่าน Virtual Private Cloud (VPC) และขอบเขตของบัญชีซึ่งขจัดความซับซ้อนของเครือข่าย สามารถเชื่อมต่อผ่านโปรโตคอล HTTP/HTTPS และ gRPC ผ่านส่วนข้อมูลเฉพาะภายใน VPC ส่วนข้อมูลนี้ถูกเปิดเผยผ่านตำแหน่งข้อมูลแบบเชื่อมโยงภายในที่สามารถเข้าถึงได้จากแค่ VPC ของคุณเท่านั้น

ผู้ดูแลระบบสามารถใช้ AWS Resource Access Manager (AWS RAM) เพื่อควบคุมว่าบัญชีและ VPC ใดที่สามารถสร้างการสื่อสารผ่านเครือข่ายบริการได้ เมื่อ VPC เชื่อมโยงกับเครือข่ายบริการ ทรัพยากรภายใน VPC จะสามารถค้นหาและเชื่อมต่อกับชุดของบริการในเครือข่ายบริการได้โดยอัตโนมัติ เจ้าของบริการสามารถใช้ใช้การผสานรวมการประมวลผล VPC Lattice เพื่อให้บริการจาก Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS) และ AWS Lambda พร้อมให้บริการและเลือกเครือข่ายบริการอย่างน้อยหนึ่งเครือข่ายเพื่อเข้าร่วม เจ้าของบริการยังสามารถกำหนดค่ากฎการจัดการทราฟฟิคขั้นสูงเพื่อกำหนดวิธีประมวลผลคำขอเพื่อรองรับรูปแบบทั่วไป เช่น การปรับใช้แบบสีน้ำเงิน/เขียวและการนำแบบ Canary ไปใช้จริง นอกจากการจัดการทราฟฟิคแล้ว เจ้าของบริการและผู้ดูแลระบบสามารถใช้การควบคุมการเข้าถึงเพิ่มเติมได้โดยการบังคับใช้การตรวจสอบสิทธิ์และการให้สิทธิ์ผ่านนโยบายการตรวจสอบสิทธิ์ VPC Lattice ผู้ดูแลระบบสามารถบังคับใช้กฎควบคุมระบบที่ระดับเครือข่ายบริการและใช้การควบคุมการเข้าถึงแบบละเอียดในแต่ละบริการ VPC Lattice ได้รับการออกแบบมาให้ไม่รุกรานและทำงานร่วมกับรูปแบบสถาปัตยกรรมที่มีอยู่ ช่วยให้บริการของทีมพัฒนาทั่วทั้งองค์กรของคุณสามารถพร้อมให้บริการทีละน้อยเมื่อเวลาผ่านไป

VPC Lattice มีองค์ประกอบหลักสี่ประการดังนี้

บริการ – หน่วยซอฟต์แวร์ที่ปรับใช้ได้อย่างอิสระซึ่งส่งมอบงานหรือฟังก์ชันเฉพาะ บริการสามารถอยู่ใน VPC หรือบัญชีใดก็ได้ และสามารถทำงานบนอินสแตนซ์ คอนเทนเนอร์ หรือการประมวลผลแบบไม่ต้องใช้เซิร์ฟเวอร์ บริการที่ประกอบด้วย Listener กฎระเบียบและกลุ่มเป้าหมายซึ่งคล้ายกับ AWS Aplication Load Balancer

ไดเรกทอรีบริการ – รีจิสทรีส่วนกลางของบริการทั้งหมดที่ลงทะเบียนกับ VPC Lattice ที่คุณสร้างหรือแชร์กับบัญชีของคุณผ่าน AWS RAM

เครือข่ายบริการ – กลไกการจัดกลุ่มเชิงตรรกะเพื่อลดความซับซ้อนของวิธีที่ผู้ใช้เปิดใช้งานการเชื่อมต่อและใช้นโยบายทั่วไปกับชุดบริการต่างๆ สามารถแชร์เครือข่ายบริการข้ามบัญชีด้วย AWS RAM และเชื่อมโยงกับ VPC เพื่อเปิดใช้งานการเชื่อมต่อกับกลุ่มบริการ

นโยบายการตรวจสอบสิทธิ์– นโยบายการตรวจสอบสิทธิ์ คือ นโยบายทรัพยากร AWS Identity and Access Management (IAM) ที่สามารถเชื่อมโยงกับเครือข่ายบริการและบริการแต่ละรายการเพื่อกำหนดการควบคุมการเข้าถึง นโยบายการตรวจสอบสิทธิ์ใช้ IAM และคุณสามารถระบุคำถามรูปแบบเงื่อนไขหลักการดำเนินการทรัพยากร (PARC) แบบสมบูรณ์เพื่อบังคับใช้การให้สิทธิ์เฉพาะบริบทในบริการ VPC Lattice โดยทั่วไปแล้ว องค์กรจะใช้นโยบายการตรวจสอบสิทธิ์แบบไม่ละเอียดบนเครือข่ายบริการ เช่น "อนุญาตเฉพาะคำขอที่ผ่านการตรวจสอบสิทธิ์ภายในรหัสองค์กรของฉันเท่านั้น" และนโยบายที่ละเอียดกว่าในระดับบริการ

ในปัจจุบัน VPC Lattice พร้อมให้บริการแล้วใน AWS Region ต่อไปนี้: สหรัฐอเมริกาฝั่งตะวันออก (โอไฮโอ), สหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียฝั่งเหนือ), สหรัฐอเมริกาฝั่งตะวันตก (ออริกอน), เอเชียแปซิฟิก (สิงคโปร์), เอเชียแปซิฟิก (ซิดนีย์), เอเชียแปซิฟิก (โตเกียว), ยุโรป (ไอร์แลนด์), ยุโรป (แฟรงก์เฟิร์ต), ยุโรป (ลอนดอน), ยุโรป (สตอกโฮล์ม) และแคนาดา (ภาคกลาง)

Lattice เป็นฟีเจอร์ของ VPC และไม่จำเป็นต้องมีการประเมิน/การเรียกใช้แยกต่างหาก คุณสมบัติของบริการในขอบเขตถือเป็น “ได้รับการประเมิน/ครอบคลุม” และยังระบุไว้ในบริการของ AWS ในขอบเขตตามโปรแกรมการปฏิบัติตามข้อกำหนด เราจะถือว่าคุณสมบัติที่พร้อมใช้งานโดยทั่วไปของแต่ละบริการอยู่ในขอบเขตของโปรแกรมการรับประกัน เว้นแต่จะมีการระบุไว้เป็นพิเศษว่าไม่รวมอยู่ด้วย

ไม่มีค่าใช้จ่ายเพิ่มเติมในการถ่ายโอนข้อมูล Cross-AZ สำหรับ Amazon VPC Lattice การถ่ายโอนข้อมูลข้าม Availability Zone จะครอบคลุมในมิติการประมวลผลข้อมูลของราคาค่าบริการ VPC Lattice

หากต้องการตรวจสอบปริมาณการใช้งานและความสามารถในการเข้าถึง คุณสามารถใช้บันทึกการเข้าถึงได้ทั้งในเครือข่ายบริการและระดับบริการ และคุณยังสามารถดูเมตริกสำหรับกลุ่มเป้าหมายบริการและกลุ่มเป้าหมาย Lattice เพื่อให้มีข้อมูลการสังเกตแบบรอบด้านสำหรับสภาพแวดล้อมของคุณได้ด้วย ข้อมูลบันทึกเครือข่ายบริการและระดับบริการสามารถส่งออกไปยัง CloudWatch Logs, S3 หรือ Kinesis Data Firehose ได้ นอกจากนี้ยังสามารถใช้ฟีเจอร์ข้อมูลการสังเกตอื่น ๆ ของ AWS เช่น VPC Flow Logs และ AWS X-Ray เพื่อติดตามกระแสเครือข่ายการโต้ตอบกับบริการและการเรียกใช้ API

เมื่อสร้างบริการ VPC Lattice ชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) จะถูกสร้างขึ้นใน Hosted Zone สาธารณะของ Route 53 ซึ่งได้รับการจัดการโดย AWS คุณสามารถใช้ชื่อ DNS เหล่านี้ในระเบียน CNAME Alias ใน Hosted Zone ส่วนตัวของคุณเอง ซึ่งเกี่ยวข้องกับ VPC ที่เชื่อมโยงกับเครือข่ายบริการ คุณสามารถระบุชื่อโดเมนที่กำหนดเองเพื่อแก้ไขชื่อบริการที่กำหนดเองได้ หากคุณระบุชื่อโดเมนที่กำหนดเอง คุณต้องกำหนดค่าการกำหนดเส้นทาง DNS หลังสร้างบริการ เพื่อเป็นการแมปการสืบค้น DNS สำหรับชื่อโดเมนที่กำหนดเองไปยังตำแหน่งข้อมูล VPC Lattice หากคุณใช้ Route 53 เป็นบริการ DNS คุณสามารถกำหนดค่าบันทึก CNAME Alias ภายใน Amazon Route 53 public ที่เป็นสาธารณะ หรือ Hosted Zone ที่เป็นส่วนตัวได้ สำหรับ HTTPS คุณต้องระบุใบรับรอง SSL/TLS ที่ตรงกับชื่อโดเมนที่กำหนดเอง

ได้ Amazon VPC Lattice รองรับ HTTPS และสร้างใบรับรองสำหรับแต่ละบริการซึ่งจัดการผ่าน Amazon Certificate Manager (ACM) เช่นกัน Lattice ใช้ AWS SIGv4 เพื่อตรวจสอบสิทธิ์ฝั่งไคลเอ็นต์

ใช่ Amazon VPC Lattice เป็นบริการระดับ Region แบบกระจายตัวและมีความพร้อมใช้งานสูง เมื่อคุณลงทะเบียนบริการใน VPC Lattice การกระจายเป้าหมายไปยังหลาย Availability Zone เป็นแนวทางปฏิบัติที่ดีที่สุด บริการ VPC Lattice จะรับรองว่าเปลี่ยนการรับส่งข้อมูลไปยังตำแหน่งที่มีความพร้อมสมบูรณ์ ตามกฎและเงื่อนไขที่กำหนดเอาไว้

Amazon VPC Lattice จะผสานรวมเข้ากับ Amazon Elastic Kubernets Service (EKS) ในระดับเนทีฟ และจัดการเวิร์กโหลด Kubernetes ด้วยตนเองผ่าน AWS Gateway API Controller ที่เป็นการนำ Kubernetes Gateway API มาใช้ ซึ่งจะช่วยอำนวยความสะดวกในการลงทะเบียนบริการที่มีหรือบริการใหม่กับ Lattice และการทำแผนที่แบบไดนามิกของเส้นทาง HTTP ไปยังทรัพยากร Kubernetes

บริการและเครือข่ายบริการ Amazon VPC Lattice เป็นส่วนประกอบระดับ Region หากคุณมีสภาพแวดล้อมแบบหลาย Region คุณสามารถมีบริการและเครือข่ายบริการได้ในทุกภูมิภาค สำหรับรูปแบบการสื่อสารข้าม Region และภายในองค์กร ปัจจุบันคุณสามารถใช้บริการการเชื่อมต่อทั่วโลกของ AWS เช่น VPC Peering ข้าม Region, AWS Transit Gateway, AWS Direct Connect หรือ AWS Cloud WAN ได้ โปรดดูรายละเอียดรูปแบบการเชื่อมต่อข้าม Region ที่บล็อกนี้

ใช่ Amazon VPC Lattice รองรับ IPv6 และสามารถทำการแปลพื้นที่ที่อยู่ IPv4 และ IPv6 ที่ทับซ้อนกันในบริการ VPC Lattice และ VPC ได้ด้วย Amazon VPC Lattice ช่วยให้คุณเชื่อมต่อบริการทั้ง IPv4 และ IPv6 ได้อย่างปลอดภัย และตรวจสอบขั้นตอนการสื่อสารด้วยวิธีที่เรียบง่ายและสม่ำเสมอจากการประมวลผลประเภทต่าง ๆ ซึ่งจะมีการทำงานร่วมกันแบบเนทีฟระหว่างบริการ IP โดยไม่คำนึงถึงที่อยู่ IP พื้นฐาน ซึ่งสามารถอำนวยความสะดวกในการใช้ IPv6 กับทุกบริการบน AWS โปรดดูรายละเอียดเพิ่มเติมที่บล็อกนี้

ใช่ คุณสามารถใช้แท็กเพื่อเปลี่ยนการเพิ่มและลบความสัมพันธ์ทรัพยากร Amazon VPC Lattice ให้เป็นระบบอัตโนมัติ รวมถึงการใช้ทรัพยากรร่วมกันข้ามบัญชีโดยใช้ Amazon EventBridge, AWS Lambda, AWS CloudTrail และ AWS Resource Access Manager (AWS RAM) ซึ่งสามารถใชวิธีการเหล่านี้ได้ในองค์กร AWS เดียวหรือใช้งานข้ามหลายบัญชี AWS โดยรองรับหลากหลายกรณีการใช้งาน เช่น แอปพลิเคชันผู้ให้บริการ/ไคลเอ็นต์ โปรดดูรายละเอียดเพิ่มเติมและตัวอย่างการใช้งานที่บล็อกนี้

การออกแบบการกระจายเครือข่ายบริการของคุณควรเข้ากับโครงสร้างองค์กรและรูปแบบการปฏิบัติงานของคุณ คุณอาจเลือกมีเครือข่ายบริการเฉพาะโดเมนทั่วทั้งองค์กร และกำหนดค่านโยบายการเข้าถึงตามนั้น หรือคุณอาจใช้วิธีการแบ่งส่วนมากขึ้นกับเครือข่ายบริการโดยเชื่อมโยงกับโดเมนการกำหนดเส้นทางแต่ละโดเมน และกับหน่วยธุรกิจอิสระในองค์กรของคุณ VPC หนึ่งตัวสามารถเชื่อมโยงกับเครือข่ายบริการได้ครั้งละหหนึ่งเครือข่าย ในขณะที่บริการสามารถลงทะเบียนกับเครือข่ายบริการได้หลายเครือข่าย