Amazon VPC Lattice 是應用程式層網路服務,可提供一致的方式來連線、保護和監控服務間的通訊,而無需使用者事先具備任何網路專業知識。藉助 VPC Lattice,您可以設定網路存取、流量管理和網路監控,以在 VPC 和帳戶之間實現一致的服務間通訊,無需考慮基礎運算類型如何。
VPC Lattice 有助於處理以下使用案例:
大規模連線服務 – 在不增加網路複雜性的情況下,跨 VPC 和帳戶連線數千個服務。
套用精細的存取許可 – 提升服務間的安全性,同時透過集中存取控制、身分驗證和具體的情境式授權支援零信任架構。
實作進階流量控制 – 套用精細的流量控制,例如藍/綠和金絲雀部署的請求級路由和加權目標。
觀察服務間的互動 – 針對請求類型、流量、錯誤、回應時間等指標監控服務間的通訊並進行疑難排解。
VPC Lattice 提供特定於角色的特性和功能,有助於彌合開發人員和雲端管理員之間的鴻溝。對於不希望學習快速執行現代應用程式所需的常見基礎設施和聯網任務並執行這些任務的開發人員,VPC Lattice 將極具吸引力。開發人員應該能夠專注於建置應用程式而非網路。VPC Lattice 還將吸引具有以下需求的雲端和網路系統管理員:透過在混合運算環境 (執行個體、容器、無伺服器) 以及 VPC 和帳戶之間以一致的方式啟用身分驗證、授權和加密來提升其組織的安全狀態。
可以使用 VPC Lattice 建立稱為服務網路的邏輯應用程式層網路,該網路支援跨虛擬私有雲端 (VPC) 和帳戶邊界的服務間通訊,同時抽象化網路複雜性。該網路透過 VPC 內的專用資料平面提供以 HTTP/HTTPS 和 gRPC 通訊協定為依據的連線。此資料平面透過只能從您的 VPC 內存取的本機連結端點公開。
管理員可以使用 AWS Resource Access Manager (AWS RAM) 控制哪些帳戶和 VPC 可以透過服務網路建立通訊。VPC 關聯到服務網路之後,VPC 內的資源可以自動發現並連線服務網路中的服務集合。服務擁有者可以使用 VPC Lattice 運算整合從 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Elastic Kubernetes Service (Amazon EKS) 和 AWS Lambda 布設他們的服務,以及選擇一個或多個服務網路加入。服務擁有者還可以設定進階流量管理規則來定義應如何處理請求以支援常見模式,例如藍/綠和金絲雀式部署。除了流量管理之外,服務擁有者和管理員還可以透過 VPC Lattice 授權政策強制執行身分驗證和授權,從而實作額外的存取控制。管理員可以在服務網路層級實作防護機制,同時對個別服務套用精細的存取控制。VPC Lattice 設計為採用非侵入方式,其與現有的架構模式結合工作,可讓組織中的開發團隊隨著時間的推移逐步布設更多的服務。
VPC Lattice 引入 4 個重要部分:
服務 – 獨立部署的軟體單元,可提供特定任務或函數。服務可以存在於任何 VPC 或帳戶中,並且可以在執行個體、容器或無伺服器運算上執行。服務由接聽程式、規則和目標群組組成,效果類似於 AWS Application Load Balancer。
服務目錄 – 所有服務的集中登錄檔,這些服務已註冊到您建立或透過 AWS RAM 與您帳戶共用的 VPC Lattice。
服務網路 – 一種邏輯分組機制,用於簡化使用者啟用連線並將通用政策套用至服務集合的方式。服務網路可以在具有 AWS RAM 的帳戶之間共用,並與 VPC 關聯以實現面向服務群組的連線。
授權政策 – 授權政策是一種 AWS Identity and Access Management (IAM) 資源政策,您可以將服務網路與個別服務建立關聯以定義存取控制。授權政策使用 IAM,而您可以指定豐富的主體-動作-資源-條件 (PARC) 式問題,以在 VPC Lattice 服務上強制執行具體的情境式授權。通常,組織會在服務網路上套用細粒度的授權政策,例如「只允許在我的組織 ID 中經過身分驗證的請求」,同時在服務層級套用更加精細的政策。
VPC Lattice 目前在以下 AWS 區域提供:美國東部 (俄亥俄)、美國東部 (維吉尼亞北部)、美國西部 (奧勒岡)、亞太區域 (新加坡)、亞太區域 (雪梨)、亞太區域 (東京)、歐洲 (愛爾蘭)、歐洲 (法蘭克福)、歐洲 (倫敦)、歐洲 (斯德哥爾摩) 和加拿大 (中部)。
Lattice 是 VPC 的功能,不需要額外的評估/呼叫。範圍內服務的功能被視為「評估/涵蓋」,並且在合規計畫範圍內的 AWS 服務中列明。除非明確排除,一般可用的各項服務功能均視為保證計畫的範圍內。
Amazon VPC Lattice 沒有額外的跨可用區域資料傳輸費用。資料跨可用區域傳輸涵蓋在 VPC Lattice 服務定價的資料處理層面中。
若要監控流量和可達性,您可以在服務網路和服務等級使用存取日誌。若要對環境擁有完整的可觀測性,您也可以檢視服務和 Lattice 目標群組的指標。服務網路和服務等級日誌可匯出至 CloudWatch Logs、S3 或 Kinesis Data Firehose。此外,其他 AWS 可觀測性功能 (例如 VPC 流量日誌和 AWS X-Ray) 可用於追蹤網路流程、服務互動和 API 呼叫。
建立 VPC Lattice 服務時,系統會在 AWS 管理的 Route 53 公共託管區域中建立完整網域名稱 (FQDN)。您可以將這些 DNS 名稱用於自己私人託管區域中的 CNAME 別名記錄,這些記錄與與服務網路關聯的 VPC 相關聯。您可以指定自訂網域名稱來解析自訂服務名稱。如果您指定自訂網域名稱,則必須在服務建立後設定 DNS 路由。這是為了將自訂網域名稱的 DNS 查詢對應至 VPC Lattice 端點。如果您使用 Route 53 作為 DNS 服務,則可以在 Amazon Route 53 公共或私人託管區域中設定 CNAME 別名記錄。對於 HTTPS,您還必須指定與自訂網域名稱相符的 SSL/TLS 憑證。
是的,Amazon VPC Lattice 支援 HTTPS,也會透過 Amazon Certificate Manager (ACM) 管理為每個服務產生憑證。針對用戶端驗證,Lattice 使用 AWS SIGv4。
是的,Amazon VPC Lattice 是一種高可用性、分散式區域服務。在 VPC Lattice 中註冊服務時,最佳實務是將目標分散在多個可用區域中。VPC Lattice 服務會根據已設定的規則和條件,確保流量路由到運作狀態良好的目標。
Amazon VPC Lattice 透過 AWS Gateway API 控制器 (此為 Kubernetes Gateway API 的實作),原生整合 Amazon Elastic Kubernets Service (EKS) 和自我管理 Kubernetes 工作負載。 這有助於將現有或新的服務註冊到 Lattice,以及動態映射 HTTP 路由到 Kubernetes 資源。
Amazon VPC Lattice 服務和服務網路是區域元件。若有跨區域環境,您可以在每個區域中擁有服務和服務網路。對於跨區域和內部部署的通訊模式,您目前可以依賴 AWS 全球連線服務,例如跨區域 VPC 對等互連、AWS Transit Gateway、AWS Direct Connect 或 AWS 雲端 WAN。請參閱此部落格,其中詳細說明跨區域連線模式。
是的,Amazon VPC Lattice 支援 IPv6,並可以在 VPC Lattice 服務和 VPC 之間執行重疊 IPv4 和 IPv6 位址空間的網路位址轉換。Amazon VPC Lattice 協助您以簡單且一致的方式跨各種運算類型安全地連接 IPv4 和 IPv6 服務,並監控通訊流程。不論底層 IP 位址為何,它都能提供 IP 服務之間的原生互通性,這有助於促進 AWS 上跨服務採用 IPv6。如需詳細資訊,請檢閱此部落格。
是的,標籤可用於自動化 Amazon VPC Lattice 資源關聯的新增和移除,以及使用 Amazon EventBridge、AWS Lambda、AWS CloudTrail 和 AWS Resource Access Manager (AWS RAM) 跨帳戶資源共享。這些方法可用於單一 AWS 組織內或跨多個 AWS 帳戶,支援多種使用案例,例如供應商/用戶端應用程式。更多詳細資訊和實作範例,請參閱此部落格。
服務網路分佈設計應與組織結構和營運模式相對應。您可以選擇擁有組織範圍的特定網域服務網路,並相應地設定存取政策。或者,您可以採用更細分的服務網路方法,將其與組織中每個路由網域和獨立的業務部門關聯起來。一個 VPC 一次只能關聯一個服務網路,而一個服務可以註冊到多個服務網路。