Was ist Amazon VPC Lattice?

Eine Ressourcenkonfiguration ist ein logisches Objekt, das entweder eine einzelne Ressource oder eine Gruppe von Ressourcen darstellt. Eine Ressource kann eine IP-Adresse, ein Domainnamenziel oder eine RDS Amazon-Datenbank sein.

Ein Ressourcen-Gateway ist ein Zugangspunkt in den Bereich, VPC in dem sich Ressourcen befinden.

Eine unabhängig einsetzbare Softwareeinheit, die eine bestimmte Aufgabe oder Funktion erfüllt. Ein Dienst kann auf EC2 Instanzen oder ECS/EKS/Fargate Containern oder als Lambda-Funktionen innerhalb eines Kontos oder einer virtuellen privaten Cloud (VPC) ausgeführt werden. Ein VPC Lattice-Dienst besteht aus den folgenden Komponenten: Zielgruppen, Listener und Regeln.

Eine Sammlung von Ressourcen, auch Ziele genannt, die Ihre Anwendung oder Ihren Dienst ausführen. Diese ähneln den Zielgruppen, die Elastic Load Balancing bietet, sind jedoch nicht austauschbar. Zu den unterstützten Zieltypen gehören EC2 Instances, IP-Adressen, Lambda-Funktionen, Application Load Balancers, ECS Amazon-Aufgaben und Kubernetes-Pods.

Ein Prozess, der nach Verbindungsanfragen sucht und diese an Ziele in einer Zielgruppe weiterleitet. Sie konfigurieren einen Listener mit einem Protokoll und einer Portnummer.

Eine Standardkomponente eines Listeners, die Anfragen an die Ziele in einer VPC Lattice-Zielgruppe weiterleitet. Jede Rolle besteht aus einer Priorität, mindestens einer Aktion und mindestens einer Bedingung. Regeln bestimmen, wie der Listener Client-Anfragen weiterleitet.

Eine logische Grenze für eine Sammlung von Diensten und Ressourcenkonfigurationen. Ein Client kann sich in einem VPC befinden, das dem Dienstnetzwerk zugeordnet ist. Clients und Dienste, die demselben Servicenetzwerk zugeordnet sind, können miteinander kommunizieren, sofern sie dazu berechtigt sind.

In der folgenden Abbildung können die Clients mit beiden Diensten kommunizieren, da die Dienste VPC und dem gleichen Dienstnetzwerk zugeordnet sind.

Ein zentrales Register aller VPC Lattice-Dienste, die Ihnen gehören oder die Sie über AWS Resource Access Manager (AWS RAM) mit Ihrem Konto teilen.

Detaillierte Autorisierungsrichtlinien, mit denen der Zugriff auf Dienste definiert werden kann. Sie können einzelnen Diensten oder dem Servicenetzwerk separate Authentifizierungsrichtlinien zuordnen. Sie können beispielsweise eine Richtlinie dafür erstellen, wie ein Zahlungsdienst, der auf einer Auto Scaling-Gruppe von EC2 Instances ausgeführt wird, mit einem Rechnungsdienst interagieren soll, der in ausgeführt wird AWS Lambda.

Auth-Richtlinien werden in Ressourcenkonfigurationen nicht unterstützt. Die Authentifizierungsrichtlinien eines Dienstnetzwerks gelten nicht für Ressourcenkonfigurationen im Dienstnetzwerk.

Alle Clients und Dienste, die dem Servicenetzwerk VPCs zugeordnet sind, können mit anderen Diensten innerhalb desselben Servicenetzwerks kommunizieren. DNSleitet den client-to-service service-to-service Datenverkehr über den VPC Lattice-Endpunkt weiter. Wenn ein Client eine Anfrage an einen Dienst senden möchte, verwendet er den DNS Namen des Dienstes. Der Route 53 Resolver sendet den Verkehr an VPC Lattice, das dann den Zieldienst identifiziert.

Client-to-service und die client-to-resource Konnektivität wird innerhalb der AWS Netzwerkinfrastruktur hergestellt. Wenn Sie einen VPC mit dem Servicenetzwerk verknüpfen, VPC kann sich jeder Client innerhalb des Servicenetzwerks mit Diensten und Ressourcen (über Ressourcenkonfigurationen) im Servicenetzwerk verbinden, sofern er über den erforderlichen Zugriff verfügt.

Sie können die Konnektivität zu einem Servicenetzwerk von einem VPC VPC Endpunkt aus aktivieren (betrieben von AWS PrivateLink). Mit einem VPC Endpunkt vom Typ Servicenetzwerk können Sie den Zugriff auf Dienste und Ressourcen im Servicenetzwerk von lokalen Netzwerken aus über Direct Connect und ermöglichenVPN. Datenverkehr, der VPC Peering durchläuft oder auch über einen VPC Endpunkt auf Ressourcen und Dienste zugreifen AWS Transit Gateway kann.

VPCLattice generiert Metriken und Protokolle für jede Anfrage und Antwort, die das Servicenetzwerk durchquert, um Sie bei der Überwachung und Fehlerbehebung von Anwendungen zu unterstützen. Standardmäßig werden Metriken auf dem Konto des Dienstbesitzers veröffentlicht. Service Owner und Ressourcenbesitzer haben die Möglichkeit, die Protokollierung zu aktivieren und Protokolle für alle Clients access/requests to their services and resources. Service network owners can also turn on logging on the service network, to log all access/requests zu den Diensten und Ressourcen von Clients zu erhaltenVPCs, die mit dem Dienstnetzwerk verbunden sind.

VPCLattice arbeitet mit den folgenden Tools, um Sie bei der Überwachung und Fehlerbehebung Ihrer Dienste zu unterstützen: Amazon CloudWatch Protokollgruppen, Firehose-Lieferdatenströme und Amazon S3 S3-Buckets.

VPCLattice bietet ein Framework, mit dem Sie eine Verteidigungsstrategie auf mehreren Ebenen des Netzwerks implementieren können. Die erste Schicht ist die Kombination aus Dienst, Ressourcenkonfiguration, VPC Zuordnung und VPC Endpunkt des Typs Dienstnetzwerk. Ohne eine VPC und eine Dienstzuweisung oder einen VPC Endpunkt vom Typ Dienstnetzwerk können Clients nicht auf Dienste zugreifen. Ebenso können Clients ohne eine VPC Ressourcenkonfiguration und eine Dienstzuweisung oder einen VPC Endpunkt vom Typ Dienstnetzwerk nicht auf Ressourcen zugreifen.

Die zweite Ebene ermöglicht es Benutzern, Sicherheitsgruppen an die Verbindung zwischen dem VPC und dem Servicenetzwerk anzuhängen. Die dritte und vierte Ebene sind Authentifizierungsrichtlinien, die individuell auf der Dienstnetzwerkebene und der Dienstebene angewendet werden können.