Cos'è Amazon VPC Lattice?

Una configurazione di risorse è un oggetto logico che rappresenta una singola risorsa o un gruppo di risorse. Una risorsa può essere un indirizzo IP, una destinazione con nome di dominio o un database Amazon. RDS

Un gateway di risorse è un punto di ingresso VPC nel quale risiedono le risorse.

Un'unità software distribuibile in modo indipendente che svolge un'attività o una funzione specifica. Un servizio può essere eseguito su EC2 istanze o ECS/EKS/Fargate contenitori o come funzioni Lambda, all'interno di un account o di un cloud VPC privato virtuale (). Un servizio VPC Lattice ha i seguenti componenti: gruppi target, ascoltatori e regole.

Una raccolta di risorse, note anche come destinazioni, che eseguono l'applicazione o il servizio. Questi sono simili ai gruppi target forniti da Elastic Load Balancing, ma non sono intercambiabili. I tipi di destinazione supportati includono EC2 istanze, indirizzi IP, funzioni Lambda, Application Load Balancer, attività ECS Amazon e Kubernetes Pods.

Un processo che verifica le richieste di connessione e le indirizza verso le destinazioni di un gruppo target. Si configura un listener con un protocollo e un numero di porta.

Un componente predefinito di un listener che inoltra le richieste alle destinazioni in un gruppo di destinazione VPC Lattice. Ogni regola consiste in una priorità, una o più operazioni e una o più condizioni. Le regole determinano il modo in cui il listener indirizza le richieste dei client.

Un limite logico per una raccolta di servizi e configurazioni di risorse. Un client può trovarsi in un ambiente VPC associato alla rete di servizi. I client e i servizi associati alla stessa rete di servizi possono comunicare tra loro se sono autorizzati a farlo.

Nella figura seguente, i client possono comunicare con entrambi i servizi, poiché i servizi VPC e sono associati alla stessa rete di servizi.

Un registro centrale di tutti i servizi VPC Lattice che possiedi o che condividi con il tuo account tramite AWS Resource Access Manager (AWS RAM).

Politiche di autorizzazione granulari che possono essere utilizzate per definire l'accesso ai servizi. È possibile allegare politiche di autenticazione separate ai singoli servizi o alla rete di servizi. Ad esempio, puoi creare una politica per il modo in cui un servizio di pagamento in esecuzione su un gruppo di EC2 istanze con scalabilità automatica deve interagire con un servizio di fatturazione in esecuzione. AWS Lambda

Le politiche di autenticazione non sono supportate nelle configurazioni delle risorse. Le politiche di autenticazione di una rete di servizi non sono applicabili alle configurazioni delle risorse nella rete di servizi.

Tutti i client e i servizi VPCs associati alla rete di servizi possono comunicare con altri servizi all'interno della stessa rete di servizi. DNSindirizza client-to-service e service-to-service traffico attraverso l'endpoint VPC Lattice. Quando un client desidera inviare una richiesta a un servizio, utilizza il nome del servizio. DNS Il Route 53 Resolver invia il traffico a VPC Lattice, che quindi identifica il servizio di destinazione.

Client-to-service e la client-to-resource connettività viene stabilita all'interno dell'infrastruttura di rete. AWS Quando si associa una VPC rete di servizi, qualsiasi client al suo interno VPC può connettersi ai servizi e alle risorse (tramite configurazioni delle risorse) nella rete di servizio, se dispone dell'accesso richiesto.

È possibile abilitare la connettività a una rete di servizi da un VPC endpoint VPC utilizzando un (fornito da AWS PrivateLink). Un VPC endpoint di tipo service network consente di abilitare l'accesso ai servizi e alle risorse della rete di servizi da reti locali tramite Direct Connect eVPN. Traffico che attraversa il VPC peering o che AWS Transit Gateway può accedere a risorse e servizi anche tramite un endpoint. VPC

VPCLattice genera metriche e registri per ogni richiesta e risposta che attraversa la rete di servizi, per aiutarti a monitorare e risolvere i problemi delle applicazioni. Per impostazione predefinita, le metriche vengono pubblicate nell'account del proprietario del servizio. I proprietari dei servizi e delle risorse hanno la possibilità di attivare la registrazione e ricevere i log di tutti i client relativi ai servizi e access/requests to their services and resources. Service network owners can also turn on logging on the service network, to log all access/requests alle risorse dai client connessi alla rete di servizi. VPCs

VPCLattice funziona con i seguenti strumenti per aiutarti a monitorare e risolvere i problemi dei tuoi servizi: gruppi di Amazon CloudWatch log, flussi di distribuzione Firehose e bucket Amazon S3.

VPCLattice fornisce un framework che puoi utilizzare per implementare una strategia di difesa su più livelli della rete. Il primo livello è la combinazione di servizio, configurazione delle risorse, VPC associazione ed VPC endpoint di tipo rete di servizi. Senza un'associazione VPC di servizi o un VPC endpoint di tipo rete di servizi, i client non possono accedere ai servizi. Analogamente, senza una VPC configurazione di risorse e un'associazione di servizi o un VPC endpoint di tipo rete di servizi, i client non possono accedere alle risorse.

Il secondo livello consente agli utenti di collegare gruppi di sicurezza all'associazione tra la VPC e la rete di servizio. Il terzo e il quarto livello sono politiche di autenticazione che possono essere applicate singolarmente a livello di rete di servizio e a livello di servizio.