Amazon VPC Lattice 常見問題解答

Page Topics

一般問題

一般問題

Amazon VPC Lattice 是應用程式層網路服務,可提供一致的方式來連線、保護和監控服務間的通訊,而無需使用者事先具備任何網路專業知識。藉助 VPC Lattice,您可以設定網路存取、流量管理和網路監控,以在 VPC 和帳戶之間實現一致的服務間通訊,無需考慮基礎運算類型如何。

VPC Lattice 有助於處理以下使用案例:

大規模連線服務 – 在不增加網路複雜性的情況下,跨 VPC 和帳戶連線數千個服務。

套用精細的存取許可 – 提升服務間的安全性,同時透過集中存取控制、身分驗證和具體的情境式授權支援零信任架構。

實作進階流量控制 – 套用精細的流量控制,例如藍/綠和金絲雀部署的請求級路由和加權目標。

觀察服務間的互動 – 針對請求類型、流量、錯誤、回應時間等指標監控服務間的通訊並進行疑難排解。

VPC Lattice 提供特定於角色的特性和功能,有助於彌合開發人員和雲端管理員之間的鴻溝。對於不希望學習快速執行現代應用程式所需的常見基礎設施和聯網任務並執行這些任務的開發人員,VPC Lattice 將極具吸引力。開發人員應該能夠專注於建置應用程式而非網路。VPC Lattice 還將吸引具有以下需求的雲端和網路系統管理員:透過在混合運算環境 (執行個體、容器、無伺服器) 以及 VPC 和帳戶之間以一致的方式啟用身分驗證、授權和加密來提升其組織的安全狀態。

可以使用 VPC Lattice 建立稱為服務網路的邏輯應用程式層網路,該網路支援跨虛擬私有雲端 (VPC) 和帳戶邊界的服務間通訊,同時抽象化網路複雜性。該網路透過 VPC 內的專用資料平面提供以 HTTP/HTTPS 和 gRPC 通訊協定為依據的連線。此資料平面透過只能從您的 VPC 內存取的本機連結端點公開。

管理員可以使用 AWS Resource Access Manager (AWS RAM) 控制哪些帳戶和 VPC 可以透過服務網路建立通訊。VPC 關聯到服務網路之後,VPC 內的資源可以自動發現並連線服務網路中的服務集合。服務擁有者可以使用 VPC Lattice 運算整合從 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Elastic Kubernetes Service (Amazon EKS) 和 AWS Lambda 布設他們的服務,以及選擇一個或多個服務網路加入。服務擁有者還可以設定進階流量管理規則來定義應如何處理請求以支援常見模式,例如藍/綠和金絲雀式部署。除了流量管理之外,服務擁有者和管理員還可以透過 VPC Lattice 授權政策強制執行身分驗證和授權,從而實作額外的存取控制。管理員可以在服務網路層級實作防護機制,同時對個別服務套用精細的存取控制。VPC Lattice 設計為採用非侵入方式,其與現有的架構模式結合工作,可讓組織中的開發團隊隨著時間的推移逐步布設更多的服務。

VPC Lattice 引入 4 個重要部分:

服務 – 獨立部署的軟體單元,可提供特定任務或函數。服務可以存在於任何 VPC 或帳戶中,並且可以在執行個體、容器或無伺服器運算上執行。服務由接聽程式、規則和目標群組組成,效果類似於 AWS Application Load Balancer。

服務目錄 – 所有服務的集中登錄檔,這些服務已註冊到您建立或透過 AWS RAM 與您帳戶共用的 VPC Lattice。

服務網路 – 一種邏輯分組機制,用於簡化使用者啟用連線並將通用政策套用至服務集合的方式。服務網路可以在具有 AWS RAM 的帳戶之間共用,並與 VPC 關聯以實現面向服務群組的連線。

授權政策 – 授權政策是一種 AWS Identity and Access Management (IAM) 資源政策,您可以將服務網路與個別服務建立關聯以定義存取控制。授權政策使用 IAM,而您可以指定豐富的主體-動作-資源-條件 (PARC) 式問題,以在 VPC Lattice 服務上強制執行具體的情境式授權。通常,組織會在服務網路上套用細粒度的授權政策,例如「只允許在我的組織 ID 中經過身分驗證的請求」,同時在服務層級套用更加精細的政策。

VPC Lattice 目前在以下 AWS 區域提供:美國東部 (俄亥俄)、美國東部 (維吉尼亞北部)、美國西部 (奧勒岡)、亞太區域 (新加坡)、亞太區域 (雪梨)、亞太區域 (東京)、歐洲 (愛爾蘭)、歐洲 (法蘭克福)、歐洲 (倫敦)、歐洲 (斯德哥爾摩) 和加拿大 (中部)。