VPC Lattice の仕組み - Amazon VPC Lattice

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC Lattice の仕組み

VPC Lattice は、その中のすべてのサービスとリソースを簡単かつ効果的に検出、保護、接続、モニタリングできるように設計されています。VPC Lattice 内のそれぞれのコンポーネントは、サービスネットワークとの関連付けとアクセス設定に基づいて、サービスネットワーク内で単方向または双方向に通信します。アクセス設定は、この通信に必要な認証ポリシーおよび認可ポリシーで構成されます。

次の概要では、VPC Lattice 内のコンポーネント間の通信について説明します。

  • VPC をサービスネットワークに接続するには、VPC の関連付けとサービスネットワークタイプの VPC エンドポイントの 2 つの方法があります。

  • サービスネットワークに関連付けられているサービスとリソースは、VPCs もサービスネットワークに接続されているクライアントからリクエストを受信できます。

  • クライアントは、同じサービスネットワークに接続されている VPC 内にある場合にのみ、サービスネットワークに関連付けられたサービスおよびリソースにリクエストを送信できます。VPC ピアリング接続、トランジットゲートウェイ、Direct Connect、または VPN を通過するクライアントトラフィックは、VPC が VPC エンドポイントを介してサービスネットワークに接続されている場合にのみ、リソースとサービスに到達できます。

  • サービスネットワークに関連付けられている VPCs 内のサービスのターゲットはクライアントでもあり、サービスネットワークに関連付けられた他のサービスやリソースにリクエストを送信できます。

  • サービスネットワークに関連付けられていない VPCs 内のサービスのターゲットはクライアントではなく、サービスネットワークに関連付けられた他のサービスやリソースにリクエストを送信できません。

  • リソースがあるが、VPC がサービスネットワークに関連付けられていない VPCs 内のクライアントはクライアントではなく、サービスネットワークに関連付けられた他のサービスやリソースにリクエストを送信できません。

次のフロー図では、サンプルのシナリオを使用して、VPC Lattice 内のコンポーネント間の情報の流れと通信の方向を説明しています。2 つのサービスがサービスネットワークに関連付けられています。サービスおよびすべての VPCsは、サービスネットワークと同じアカウントで作成されました。どちらのサービスも、サービスネットワークからのトラフィックを許可するように設定されています。

VPC サービスネットワークフロー

サービス 1 は、VPC 1 のターゲットグループ 1 に登録されたインスタンスグループで実行される課金アプリケーションです。サービス 2 は、VPC 2 のターゲットグループ 2 に登録されたインスタンスグループで実行される支払いアプリケーションです。VPC 3 は同じアカウントにあり、クライアントはありますが、サービスはありません。リソース 1 は、VPC 4 に顧客データがあるデータベースです。

次のリストは、VPC Lattice の一般的なタスクのワークフローを順番に説明しています。

  1. サービスネットワークを作成する

    サービスネットワーク所有者がサービスネットワークを作成します。

  2. [Create a service] (サービスを作成)

    サービス所有者が、それぞれのサービス (サービス 1 とサービス 2) を作成します。作成の際には、サービス所有者はリスナーを追加し、各サービスのターゲットグループにリクエストをルーティングするためのルールを定義します。

  3. ルーティングを定義する

    サービス所有者が、各サービス (ターゲットグループ 1 とターゲットグループ 2) のターゲットグループを作成します。これを行うには、サービスを実行するターゲットインスタンスを指定します。また、これらのターゲットが存在する VPC を指定します。

    上の図の、サービスのターゲットグループを指す点線の矢印は、各サービスからそれぞれのターゲットグループに流れるトラフィックを表します。点線の矢印は、サービスとターゲットグループ間の通信の方向を表します。

  4. サービスをサービスネットワークに関連付ける

    サービスネットワーク所有者またはサービス所有者は、サービスをサービスネットワークに関連付けます。関連付けは、サービスからサービスネットワークを指すチェックマーク付きの矢印で表示されます。サービスをサービスネットワークに関連付けると、そのサービスはサービスネットワークに関連付けられた他のサービスや、サービスネットワークに接続された VPCs 内のクライアントで検出可能になります。

    サービスとサービスネットワーク間にある双方向の点線の矢印は、関連付けによる双方向の通信を表します。サービスネットワークからサービスへの点線の矢印は、クライアントからのリクエストを受け取るサービスを表します。逆方向の点線の矢印、つまりサービスからサービスネットワークに向かう点線の矢印は、サービスネットワークを通じてクライアントのリクエストに応答するサービスを表します。

  5. リソースゲートウェイを作成する

    リソース所有者は、クライアントからリソース 1 への接続を有効にするためにVPC4 にリソースゲートウェイを作成します。

  6. リソース設定を作成する

    リソース所有者は、リソース 1 を表すリソース設定を作成し、リソース 1 のリソースゲートウェイを指定します。

  7. リソース設定をサービスネットワークに関連付ける

    サービスネットワーク所有者またはリソース所有者は、リソース設定をサービスネットワークに関連付けます。関連付けは、リソース設定からサービスネットワークを指すチェックマーク付きの矢印として表示されます。リソース設定をサービスネットワークに関連付けると、そのリソース設定は、サービスネットワークに関連付けられた他の のサービスや、サービスネットワークに接続された VPCs 内のクライアントで検出可能になります。サービスネットワークからリソースへの点線の矢印は、クライアントからリクエストを受信するリソースを表します。逆方向の点線の矢印、つまりサービスからサービスネットワークに向かう点線の矢印は、サービスネットワークを通じてクライアントのリクエストに応答するサービスを表します。

  8. VPCsサービスネットワークに接続する

    VPCsは、VPC をサービスネットワークに関連付ける方法と、VPC エンドポイントを作成する方法の 2 つの方法でサービスネットワークに接続できます。ここで、サービスネットワーク所有者は VPC 1 と VPC 3 をサービスネットワークに関連付けます。関連付けは、サービスネットワークを指すチェックマーク付きの矢印で表示されます。これらの関連付けにより、これらの VPC 内のターゲットがクライアントになり、関連付けられたサービスにリクエストを送信できるようになります。VPC 3 とサービスネットワーク間にある双方向の点線の矢印は、関連付けの結果としての VPC 3 のクライアント (インスタンスなど) とサービスネットワーク間の双方向の通信を表します。同様に、ターゲットグループ 1 からサービスネットワークを指す点線の矢印は、サービスネットワークに関連付けられた他のサービスにリクエストを行うクライアントを表します。

    VPC 2 には関連付けを表す矢印やチェックマークがありません。これは、サービスネットワーク所有者またはサービス所有者がサービスネットワークに VPC 2 を関連付けていないことを意味します。このようになっているのは、この例では、サービス 2 がリクエストを受信し、同じリクエストを使用してレスポンスを送信するだけでよいためです。つまり、サービス 2 のターゲットはクライアントではないために、サービスネットワークの他のサービスにリクエストを送信する必要がありません。

    同様に、VPC 4 には関連付けを表す矢印やチェックマークはありません。つまり、サービスネットワーク所有者またはリソース所有者は、VPC 4 をサービスネットワークに関連付けていません。これは、リソース 1 がリクエストのみを受信し、同じリクエストを使用してレスポンスを送信するためです。サービスネットワーク内の他のサービスやリソースにリクエストを行うことはできません。