Các câu hỏi thường gặp về Amazon VPC Lattice

Amazon VPC Lattice là một dịch vụ kết nối mạng ứng dụng cung cấp cho bạn một cách nhất quán để kết nối, bảo mật và giám sát hoạt động giao tiếp giữa các dịch vụ mà không cần bất kỳ kiến thức chuyên môn nào về kết nối mạng trước đó. Với VPC Lattice, bạn có thể định cấu hình quyền truy cập mạng, quản lý lưu lượng và giám sát mạng để cho phép giao tiếp giữa các dịch vụ một cách nhất quán giữa các VPC và tài khoản, bất kể loại điện toán cơ bản nào.

VPC Lattice giúp giải quyết các trường hợp sử dụng sau:

Kết nối các dịch vụ trên quy mô lớn – Kết nối hàng nghìn dịch vụ trên các VPC và tài khoản mà không làm tăng độ phức tạp của mạng.

Áp dụng quyền truy cập chi tiết – Cải thiện bảo mật giữa các dịch vụ và hỗ trợ kiến trúc Zero Trust với các biện pháp kiểm soát truy cập tập trung, xác thực và ủy quyền theo bối cảnh cụ thể.

Thực hiện kiểm soát lưu lượng nâng cao – Áp dụng các biện pháp kiểm soát lưu lượng chi tiết như định tuyến ở cấp độ yêu cầu và các mục tiêu có trọng số cho chiến lược triển khai lục/lam và triển khai canary.

Quan sát tương tác giữa các dịch vụ – Giám sát và khắc phục sự cố giao tiếp giữa các dịch vụ đối với loại yêu cầu, lưu lượng truy cập, lỗi, thời gian phản hồi, v.v.

VPC Lattice giúp thu hẹp khoảng cách giữa nhà phát triển và quản trị viên đám mây bằng cách cung cấp các tính năng và khả năng cụ thể theo vai trò. Những nhà phát triển không muốn tìm hiểu và thực hiện các tác vụ mạng và cơ sở hạ tầng thông thường cần thiết để giúp các ứng dụng hiện đại hoạt động một cách nhanh chóng sẽ thích VPC Lattice. Nhà phát triển nên tập trung vào việc xây dựng ứng dụng chứ không phải mạng. VPC Lattice cũng sẽ thu hút các quản trị viên mạng và đám mây đang tìm cách tăng cường tình trạng bảo mật cho tổ chức của họ qua việc cho phép xác thực, ủy quyền và mã hóa theo cách nhất quán trên các môi trường điện toán hỗn hợp (phiên bản, bộ chứa, phi máy chủ) cũng như trên các VPC và tài khoản.

Bạn có thể sử dụng VPC Lattice để tạo các mạng lớp ứng dụng logic, được gọi là mạng dịch vụ, cho phép giao tiếp giữa các dịch vụ qua các đám mây riêng ảo (VPC) và ranh giới tài khoản, lược bỏ tính phức tạp của mạng. VPC Lattice cung cấp khả năng kết nối qua các giao thức HTTP/HTTPS và gRPC thông qua một mặt phẳng dữ liệu chuyên dụng trong VPC. Mặt phẳng dữ liệu này được hiển thị thông qua điểm cuối liên kết cục bộ chỉ có thể được truy cập từ bên trong VPC của bạn.

Quản trị viên có thể sử dụng Trình quản lý quyền truy cập tài nguyên AWS (AWS RAM) để kiểm soát tài khoản và VPC nào có thể thiết lập giao tiếp thông qua mạng dịch vụ. Khi VPC được liên kết với mạng dịch vụ, các tài nguyên trong VPC có thể tự động khám phá và kết nối với tập hợp các dịch vụ trong mạng dịch vụ. Chủ sở hữu dịch vụ có thể sử dụng tích hợp điện toán VPC Lattice để tích hợp dịch vụ của họ từ Dịch vụ điện toán linh hoạt của Amazon (Amazon EC2), Dịch vụ Kubernetes linh hoạt của Amazon (Amazon EKS) và AWS Lambda, đồng thời chọn một hoặc nhiều mạng dịch vụ để tham gia. Chủ sở hữu dịch vụ cũng có thể định cấu hình các quy tắc quản lý lưu lượng nâng cao để xác định cách xử lý yêu cầu nhằm hỗ trợ các mẫu phổ biến như triển khai kiểu liên tục và từng phần. Ngoài quản lý lưu lượng, chủ sở hữu dịch vụ và quản trị viên có thể triển khai các biện pháp kiểm soát truy cập bổ sung bằng cách thực thi xác thực và ủy quyền thông qua chính sách VPC Lattice Auth. Quản trị viên có thể thực thi các quy tắc bảo vệ ở cấp độ mạng dịch vụ và áp dụng các biện pháp kiểm soát truy cập chi tiết trên từng dịch vụ riêng lẻ. VPC Lattice được thiết kế để không xâm lấn và hoạt động cùng với các mẫu kiến trúc hiện có, cho phép các nhóm phát triển trong toàn tổ chức dần dần tích hợp các dịch vụ của họ theo thời gian.

VPC Lattice giới thiệu bốn thành phần chính:

Dịch vụ – Một đơn vị phần mềm có thể triển khai độc lập cung cấp một nhiệm vụ hoặc chức năng cụ thể. Một dịch vụ có thể tồn tại trong bất kỳ VPC hoặc tài khoản nào và có thể chạy trên các phiên bản, bộ chứa hoặc điện toán phi máy chủ. Một dịch vụ bao gồm các trình xử lý sự kiện, quy tắc và nhóm đối tượng tương tự như Trình cân bằng tải ứng dụng AWS.

Thư mục dịch vụ – Sổ đăng ký tập trung của tất cả dịch vụ đã được đăng ký với VPC Lattice mà bạn đã tạo hoặc được chia sẻ với tài khoản của mình thông qua AWS RAM.

Mạng dịch vụ – Một cơ chế nhóm bản ghi để đơn giản hóa cách người dùng kích hoạt kết nối và áp dụng các chính sách chung cho tập hợp các dịch vụ. Mạng dịch vụ có thể được chia sẻ giữa các tài khoản có RAM AWS và được liên kết với VPC để cho phép kết nối với một nhóm dịch vụ.

Chính sách xác thực – Chính sách xác thực là chính sách tài nguyên Quản lý danh tính và truy cập (IAM) trong AWS mà bạn có thể liên kết với mạng dịch vụ và các dịch vụ riêng lẻ để xác định biện pháp kiểm soát truy cập. Chính sách xác thực sử dụng IAM và bạn có thể chỉ định các câu hỏi kiểu đối tượng nhận quyền-hành động-tài nguyên-điều kiện (PARC) phong phú để thực thi ủy quyền theo từng bối cảnh cụ thể trên các dịch vụ VPC Lattice. Thông thường, một tổ chức sẽ áp dụng các Chính sách xác thực chi tiết hơn ở mạng dịch vụ như “chỉ cho phép các yêu cầu được xác thực trong id tổ chức của tôi” và các chính sách chi tiết hơn ở cấp độ dịch vụ.

VPC Lattice hiện được cung cấp ở các Khu vực AWS sau: Miền Đông Hoa Kỳ (Ohio), Miền Đông Hoa Kỳ (Bắc Virginia), Miền Tây Hoa Kỳ (Oregon), Châu Á Thái Bình Dương (Singapore), Châu Á Thái Bình Dương (Sydney), Châu Á Thái Bình Dương (Tokyo), Châu Âu (Ireland), Châu Âu (Frankfurt), Châu Âu (London), Châu Âu (Stockholm) và Canada (Miền Trung).

Lattice là một tính năng của VPC và không cần đánh giá/thiết lập giao tiếp riêng biệt. Các tính năng của các dịch vụ trong phạm vi được coi là “được đánh giá/được bao gồm” và nó cũng được nêu trong Dịch vụ AWS trong phạm vi theo Chương trình Tuân thủ. Trừ khi được loại trừ cụ thể, các tính năng thường được cung cấp của mỗi dịch vụ được coi là nằm trong phạm vi của các chương trình đảm bảo.

Không có thêm phí nào cho việc truyền dữ liệu giữa các vùng sẵn sàng đối với Amazon VPC Lattice. Việc truyền dữ liệu qua các vùng sẵn sàng được tính trong chỉ số xử lý dữ liệu của giá dịch vụ VPC Lattice.

Để theo dõi luồng lưu lượng truy cập và khả năng tiếp cận, bạn có thể sử dụng Bản ghi truy cập ở cả cấp độ Mạng dịch vụ và Dịch vụ. Để có khả năng quan sát toàn bộ môi trường của mình, bạn cũng có thể xem các chỉ số dành cho các nhóm mục tiêu Dịch vụ và Lattice của mình. Bản ghi ở cấp độ Mạng dịch vụ và Dịch vụ có thể được xuất sang Bản ghi CloudWatch, S3 hoặc Firehose dữ liệu Kinesis. Ngoài ra, bạn có thể sử dụng các tính năng khác về khả năng quan sát của AWS, chẳng hạn như Bản ghi lưu lượng VPC và AWS X-Ray để theo dõi luồng mạng, tương tác dịch vụ và lệnh gọi API.

Khi tạo dịch vụ VPC Lattice, một tên miền đầy đủ (FQDN) sẽ được tạo ra trong vùng được lưu trữ công khai của Route 53 do AWS quản lý. Bạn có thể sử dụng các tên DNS này trong bản ghi Bí danh CNAME trong (các) Vùng được lưu trữ riêng của riêng bạn, được liên kết với (các) VPC được liên kết với Mạng dịch vụ. Bạn có thể chỉ định một tên miền tùy chỉnh để phân giải tên dịch vụ tùy chỉnh. Nếu bạn chỉ định tên miền tùy chỉnh, bạn phải cấu hình định tuyến DNS sau khi dịch vụ của bạn được tạo. Bước này là để ánh xạ các truy vấn DNS cho tên miền tùy chỉnh đến điểm cuối VPC Lattice. Nếu bạn đang sử dụng Route 53 làm dịch vụ DNS của mình, bạn có thể cấu hình bản ghi Bí danh CNAME trong vùng được lưu trữ công khai hoặc riêng tư của Amazon Route 53 của bạn. Đối với HTTPS, bạn cũng phải chỉ định chứng chỉ SSL/TLS khớp với tên miền tùy chỉnh.

Có, Amazon VPC Lattice hỗ trợ HTTPs và cũng tạo chứng chỉ cho mỗi Dịch vụ, được quản lý thông qua Trình quản lý chứng chỉ của Amazon (ACM). Để xác thực phía máy khách, Lattice sử dụng AWS SIGv4.

Có, Amazon VPC Lattice là một dịch vụ Khu vực phân tán, có độ sẵn sàng cao. Khi bạn đăng ký Dịch vụ trong VPC Lattice, trải rộng các mục tiêu trên nhiều Vùng sẵn sàng là một phương pháp tốt nhất. Dịch vụ VPC Lattice sẽ đảm bảo lưu lượng truy cập được định tuyến đến các mục tiêu mạnh, dựa trên các quy tắc và điều kiện được cấu hình.

Amazon VPC Lattice tích hợp theo mặc định với Dịch vụ Kubernetes linh hoạt (EKS) của Amazon và khối lượng công việc Kubernetes tự quản lý của bạn thông qua Trình điều khiển API của Cổng AWS, chính là triển khai API Cổng Kubernetes. Điều này tạo điều kiện cho việc đăng ký các Dịch vụ hiện có hoặc Dịch vụ mới cho Lattice và ánh xạ động các Tuyến HTTP đến tài nguyên Kubernetes.

Các dịch vụ và mạng dịch vụ Amazon VPC Lattice là các thành phần của Khu vực. Nếu bạn có môi trường nhiều Khu vực, bạn có thể có Dịch vụ và Mạng dịch vụ ở mọi Khu vực. Đối với các kiểu mẫu giao tiếp liên Khu vực và tại chỗ, hiện tại bạn có thể tin dùng các dịch vụ kết nối toàn cầu của AWS như Kết nối ngang hàng VPC liên Khu vực, Cổng chuyển tiếp AWS, AWS Direct Connect hoặc WAN đám mây AWS. Vui lòng xem blog này để biết chi tiết các kiểu mẫu kết nối liên Khu vực.

Có, Amazon VPC Lattice hỗ trợ IPv6 và có thể thực hiện dịch địa chỉ mạng giữa không gian địa chỉ IPv4 và IPv6 chồng chéo trên các dịch vụ VPC Lattice và VPC. Amazon VPC Lattice giúp bạn kết nối cả dịch vụ IPv4 và IPv6 một cách an toàn và giám sát luồng giao tiếp, theo cách đơn giản và nhất quán trên các loại hình điện toán khác nhau. Dịch vụ này cung cấp khả năng tương tác gốc giữa các dịch vụ IP bất kể địa chỉ IP cơ sở là gì, giúp tạo điều kiện cho việc áp dụng IPv6 trên các dịch vụ trên AWS. Vui lòng xem blog này để biết thêm chi tiết.

Được, bạn có thể sử dụng thẻ để tự động hóa việc bổ sung và loại bỏ các liên kết tài nguyên Amazon VPC Lattice cũng như chia sẻ tài nguyên liên tài khoản bằng Amazon EventBridge, AWS Lambda, AWS CloudTrail và AWS Resource Access Manager (AWS RAM). Các phương pháp này có thể được sử dụng trong một Tổ chức AWS đơn lẻ hoặc trên nhiều Tài khoản AWS, hỗ trợ nhiều trường hợp sử dụng như ứng dụng của nhà cung cấp/khách hàng. Vui lòng xem blog này để biết thêm chi tiết và ví dụ triển khai.

Thiết kế phân phối Mạng Dịch vụ của bạn nên phù hợp với cấu trúc tổ chức và mô hình vận hành của bạn. Bạn có thể chọn thiết lập Mạng dịch vụ dành riêng cho miền trên toàn tổ chức và cấu hình Chính sách truy cập cho phù hợp. Hoặc bạn có thể lập ra phương pháp phân đoạn nhiều hơn đối với Mạng dịch vụ, liên kết chúng với từng miền định tuyến của bạn và giữa các Đơn vị kinh doanh độc lập trong tổ chức của bạn. Một VPC có thể được liên kết với một Mạng dịch vụ tại một thời điểm, trong khi một Dịch vụ có thể được đăng ký với nhiều Mạng dịch vụ.