Apa itu Amazon VPC Lattice? - VPCKisi Amazon
Komponen kunciPeran dan tanggung jawabFiturMengakses Kisi VPCHarga

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apa itu Amazon VPC Lattice?

Amazon VPC Lattice adalah layanan jaringan aplikasi yang dikelola sepenuhnya yang Anda gunakan untuk menghubungkan, mengamankan, dan memantau layanan dan sumber daya untuk aplikasi Anda. Anda dapat menggunakan VPC Lattice dengan satu virtual private cloud (VPC) atau di beberapa akun VPCs dari satu atau beberapa akun.

Aplikasi modern dapat terdiri dari beberapa layanan kecil dan modular yang sering disebut layanan mikro, sumber daya seperti database, dan sumber daya khusus yang terdiri dari dan titik akhir DNS alamat IP. Meskipun modernisasi memiliki kelebihan, modernisasi juga dapat memperkenalkan kompleksitas dan tantangan jaringan ketika Anda menghubungkan layanan mikro dan sumber daya ini. Misalnya, jika pengembang tersebar di tim yang berbeda, mereka mungkin membangun dan menyebarkan layanan mikro dan sumber daya di beberapa akun atau. VPCs

Dalam VPC Lattice, kami merujuk ke microservice sebagai layanan dan mewakili sumber daya hanya sebagai konfigurasi sumber daya. Ini adalah istilah yang Anda lihat di panduan pengguna VPC Lattice.

Komponen kunci

Untuk menggunakan Amazon VPC Lattice, Anda harus terbiasa dengan komponen utamanya.

Konfigurasi sumber daya

Konfigurasi sumber daya adalah objek logis yang mewakili sumber daya tunggal atau sekelompok sumber daya. Sumber daya dapat berupa alamat IP, target nama domain, atau database Amazon. RDS

Gerbang sumber daya

Gateway sumber daya adalah titik masuknya sumber daya ke tempat sumber daya VPC berada.

Layanan

Unit perangkat lunak yang dapat digunakan secara independen yang memberikan tugas atau fungsi tertentu. Layanan dapat berjalan pada EC2 instance atau ECS/EKS/Fargate container, atau sebagai fungsi Lambda, dalam akun atau virtual private cloud VPC (). Layanan VPC Lattice memiliki komponen berikut: grup target, pendengar, dan aturan.

Layanan dengan pendengar dan dua kelompok sasaran.
Grup target

Kumpulan sumber daya, juga dikenal sebagai target, yang menjalankan aplikasi atau layanan Anda. Ini mirip dengan kelompok sasaran yang disediakan oleh Elastic Load Balancing, tetapi mereka tidak dapat dipertukarkan. Jenis target yang didukung meliputi EC2 instance, alamat IP, fungsi Lambda, Application Load Balancer, ECS Amazon task, dan Kubernetes Pods.

Listener

Proses yang memeriksa permintaan koneksi, dan merutekkannya ke target dalam grup target. Anda mengonfigurasi pendengar dengan protokol dan nomor port.

Aturan

Komponen default dari listener yang meneruskan permintaan ke target dalam grup target VPC Lattice. Setiap aturan terdiri dari prioritas, satu atau beberapa tindakan, dan satu atau beberapa syarat. Aturan menentukan cara pendengar merutekan permintaan klien.

Jaringan layanan

Batas logis untuk kumpulan layanan dan konfigurasi sumber daya. Klien dapat berada di VPC yang terkait dengan jaringan layanan. Klien dan layanan yang terkait dengan jaringan layanan yang sama dapat berkomunikasi satu sama lain jika mereka berwenang untuk melakukannya.

Pada gambar berikut, klien dapat berkomunikasi dengan kedua layanan, karena VPC dan layanan dikaitkan dengan jaringan layanan yang sama.

Jaringan layanan dengan server dan klien.
Direktori layanan

Registri pusat dari semua layanan VPC Lattice yang Anda miliki atau dibagikan dengan akun Anda melalui AWS Resource Access Manager (AWS RAM).

Kebijakan autentikasi

Kebijakan otorisasi berbutir halus yang dapat digunakan untuk menentukan akses ke layanan. Anda dapat melampirkan kebijakan autentikasi terpisah ke layanan individual atau ke jaringan layanan. Misalnya, Anda dapat membuat kebijakan tentang bagaimana layanan pembayaran yang berjalan pada grup EC2 instans penskalaan otomatis harus berinteraksi dengan layanan penagihan yang berjalan. AWS Lambda

Kebijakan Auth-tidak didukung pada konfigurasi sumber daya. Kebijakan autentikasi jaringan layanan tidak berlaku untuk konfigurasi sumber daya di jaringan layanan.

Peran dan tanggung jawab

Peran menentukan siapa yang bertanggung jawab atas penyiapan dan aliran informasi dalam Amazon VPC Lattice. Biasanya ada dua peran, pemilik jaringan layanan dan pemilik layanan, dan tanggung jawab mereka dapat tumpang tindih.

Pemilik jaringan layanan — Pemilik jaringan layanan biasanya administrator jaringan atau administrator cloud dalam suatu organisasi. Pemilik jaringan layanan membuat, berbagi, dan menyediakan jaringan layanan. Mereka juga mengelola siapa yang dapat mengakses jaringan layanan atau layanan dalam VPC Lattice. Pemilik jaringan layanan dapat menentukan pengaturan akses berbutir kasar untuk layanan yang terkait dengan jaringan layanan. Kontrol ini digunakan untuk mengelola komunikasi antara klien dan layanan menggunakan kebijakan otentikasi dan otorisasi. Pemilik jaringan layanan juga dapat mengaitkan konfigurasi layanan atau sumber daya dengan satu atau beberapa jaringan layanan, jika konfigurasi layanan atau sumber daya dibagikan dengan akun pemilik jaringan layanan.

Peran dan tanggung jawab pemilik jaringan layanan

Pemilik layanan — Pemilik layanan biasanya adalah pengembang perangkat lunak dalam suatu organisasi. Pemilik layanan membuat layanan dalam VPC Lattice, menentukan aturan routing, dan juga mengaitkan layanan dengan jaringan layanan. Mereka juga dapat menentukan pengaturan akses berbutir halus, yang dapat membatasi akses hanya ke layanan dan klien yang diautentikasi dan resmi.

Peran dan tanggung jawab pemilik layanan

Pemilik sumber daya — Pemilik sumber daya biasanya pengembang perangkat lunak dalam suatu organisasi dan berfungsi sebagai admin untuk sumber daya seperti database. Pemilik sumber daya membuat konfigurasi sumber daya untuk sumber daya, mendefinisikan pengaturan akses untuk konfigurasi sumber daya, dan mengaitkan konfigurasi sumber daya dengan jaringan layanan.

Peran dan tanggung jawab pemilik sumber daya

Fitur

Berikut ini adalah fitur inti yang disediakan VPC Lattice.

Penemuan Layanan

Semua klien dan layanan yang VPCs terkait dengan jaringan layanan dapat berkomunikasi dengan layanan lain dalam jaringan layanan yang sama. DNSmengarahkan client-to-service dan service-to-service lalu lintas melalui titik akhir VPC Lattice. Ketika klien ingin mengirim permintaan ke layanan, ia menggunakan DNS nama layanan. Resolver Route 53 mengirimkan lalu lintas ke VPC Lattice, yang kemudian mengidentifikasi layanan tujuan.

Konektivitas

Client-to-service dan client-to-resource konektivitas dibangun dalam infrastruktur AWS jaringan. Ketika Anda mengaitkan VPC dengan jaringan layanan, setiap klien dalam VPC dapat terhubung dengan layanan dan sumber daya (melalui konfigurasi sumber daya) di jaringan layanan, jika mereka memiliki akses yang diperlukan.

Akses di premis

Anda dapat mengaktifkan konektivitas ke jaringan layanan dari VPC menggunakan VPC endpoint (didukung oleh AWS PrivateLink). VPCTitik akhir jaringan layanan tipe memungkinkan Anda mengaktifkan akses ke layanan dan sumber daya di jaringan layanan dari jaringan lokal melalui Direct Connect danVPN. Lalu lintas yang melintasi VPC peering atau juga AWS Transit Gateway dapat mengakses sumber daya dan layanan melalui titik akhir. VPC

Observabilitas

VPCLattice menghasilkan metrik dan log untuk setiap permintaan dan respons yang melintasi jaringan layanan, untuk membantu Anda memantau dan memecahkan masalah aplikasi. Secara default, metrik dipublikasikan ke akun pemilik layanan. Pemilik layanan dan pemilik sumber daya memiliki opsi untuk mengaktifkan logging, dan menerima log untuk semua klien access/requests to their services and resources. Service network owners can also turn on logging on the service network, to log all access/requests ke layanan dan sumber daya dari klien VPCs yang terhubung ke jaringan layanan.

VPCLattice bekerja dengan alat berikut untuk membantu Anda memantau dan memecahkan masalah layanan Anda: grup Amazon CloudWatch log, aliran pengiriman Firehose, dan bucket Amazon S3.

Keamanan

VPCLattice menyediakan kerangka kerja yang dapat Anda gunakan untuk menerapkan strategi pertahanan di beberapa lapisan jaringan. Lapisan pertama adalah kombinasi layanan, konfigurasi sumber daya, VPC asosiasi, dan VPC titik akhir dari jenis jaringan layanan. Tanpa VPC dan asosiasi layanan atau VPC titik akhir dari jenis jaringan layanan, klien tidak dapat mengakses layanan. Demikian pula, tanpa konfigurasi sumber daya dan asosiasi layanan atau VPC titik akhir dari jaringan layanan jenis, klien tidak dapat mengakses sumber daya. VPC

Lapisan kedua memungkinkan pengguna untuk melampirkan grup keamanan ke asosiasi antara jaringan layanan VPC dan jaringan. Lapisan ketiga dan keempat adalah kebijakan autentikasi yang dapat diterapkan secara individual di tingkat jaringan layanan dan tingkat layanan.

Mengakses Kisi VPC

Anda dapat membuat, mengakses, dan mengelola VPC Lattice menggunakan salah satu antarmuka berikut:

  • AWS Management Console— Menyediakan antarmuka web yang dapat Anda gunakan untuk mengakses VPC Lattice.

  • AWS Command Line Interface (AWS CLI) — Menyediakan perintah untuk serangkaian AWS layanan yang luas, termasuk VPC Lattice. AWS CLI Ini didukung di Windows, macOS, dan Linux. Untuk informasi selengkapnya tentang CLI, lihat AWS Command Line Interface. Untuk informasi selengkapnya tentangAPIs, lihat APIReferensi Amazon VPC Lattice.

  • VPCLattice Controller for Kubernetes — Mengelola resource VPC Lattice untuk klaster Kubernetes. Untuk informasi selengkapnya tentang penggunaan VPC Lattice dengan Kubernetes, lihat Panduan Pengguna AWS Gateway API Controller.

  • AWS CloudFormation— Membantu Anda memodelkan dan mengatur AWS sumber daya Anda. Untuk informasi selengkapnya, lihat referensi jenis sumber daya Amazon VPC Lattice.

Harga

Dengan VPC Lattice Anda membayar untuk waktu yang disediakan layanan, jumlah data yang ditransfer melalui setiap layanan, dan jumlah permintaan. Sebagai pemilik sumber daya, Anda membayar data yang ditransfer ke dan dari setiap sumber daya. Sebagai pemilik jaringan layanan, Anda membayar setiap jam untuk konfigurasi sumber daya yang terkait dengan jaringan layanan Anda. Sebagai konsumen yang VPC terkait dengan jaringan layanan, Anda membayar data yang ditransfer ke dan dari sumber daya di jaringan layanan dari AndaVPC. Sebagai konsumen yang VPC terkait dengan jaringan layanan, Anda membayar data yang ditransfer ke sumber daya di jaringan layanan. Untuk informasi selengkapnya, lihat Harga Amazon VPC Lattice.