VPC Lattice の仕組み - Amazon VPC Lattice

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC Lattice の仕組み

VPC Lattice は、その中のすべてのサービスを簡単かつ効果的に検出、保護、接続、モニタリングできるように設計されています。VPC Lattice 内のそれぞれのコンポーネントは、サービスネットワークとの関連付けとアクセス設定に基づいて、サービスネットワーク内で単方向または双方向に通信します。アクセス設定は、この通信に必要な認証ポリシーおよび承認ポリシーで構成されます。

次の概要では、VPC Lattice 内のコンポーネント間の通信について説明します。

  • サービスネットワークに関連付けられているサービスは、VPC がそのサービスネットワークに関連付けられているクライアントからリクエストを受け取ることができます。

  • クライアントは、同じサービスネットワークに関連付けられている VPC 内にある場合に限り、サービスネットワークに関連付けられたサービスにリクエストを送信できます。VPC ピアリング接続またはトランジットゲートウェイを通過するクライアントトラフィックは拒否されます。

  • クライアントは、サービスネットワークに関連付けられている他の VPC のクライアントにリクエストを送信できません。

  • サービスネットワークに関連付けられている VPC 内のサービスのターゲットはクライアントでもあるため、サービスネットワークに関連付けられている他のサービスにリクエストを送信できます。

  • サービスネットワークに関連付けられていない VPC 内のサービスのターゲットはクライアントではないため、サービスネットワークに関連付けられている他のサービスにリクエストを送信できません。

次のフロー図では、サンプルのシナリオを使用して、VPC Lattice 内のコンポーネント間の情報の流れと通信の方向を説明しています。2 つのサービスがサービスネットワークに関連付けられています。両方のサービスと 3 つの VPC はすべて、サービスネットワークと同じアカウントで作成されています。どちらのサービスも、サービスネットワークからのトラフィックを許可するように設定されています。

VPC サービスネットワークフロー

サービス 1 は、VPC 1 のターゲットグループ 1 に登録されたインスタンスグループで実行される課金アプリケーションです。サービス 2 は、VPC 2 のターゲットグループ 2 に登録されたインスタンスグループで実行される支払いアプリケーションです。VPC 3 は同じアカウントにあり、クライアントはありますが、サービスはありません。

次のリストは、VPC Lattice の一般的なタスクのワークフローを順番に説明しています。

  1. サービスネットワークを作成する

    サービスネットワーク所有者がサービスネットワークを作成します。

  2. [Create a service] (サービスを作成)

    サービス所有者が、それぞれのサービス (サービス 1 とサービス 2) を作成します。作成の際には、サービス所有者はリスナーを追加し、各サービスのターゲットグループにリクエストをルーティングするためのルールを定義します。

  3. ルーティングを定義する

    サービス所有者が、各サービス (ターゲットグループ 1 とターゲットグループ 2) のターゲットグループを作成します。その際には、サービスが実行されるターゲットリソース (インスタンスなど) を指定します。また、これらのターゲットが存在する VPC を指定します。

    上の図の、サービスのターゲットグループを指す点線の矢印は、各サービスからそれぞれのターゲットグループに流れるトラフィックを表します。点線の矢印は、サービスとターゲットグループ間の通信の方向を表します。

  4. サービスをサービスネットワークに関連付ける

    サービスネットワーク所有者またはサービス所有者は、サービスをサービスネットワークに関連付けます。関連付けは、サービスからサービスネットワークを指すチェックマーク付きの矢印で表示されます。サービスネットワークにサービスを関連付けると、そのサービスは、そのサービスネットワークに関連付けられている VPC 内の他のサービスやクライアントから検出できるようになります。

    サービスとサービスネットワーク間にある双方向の点線の矢印は、関連付けによる双方向の通信を表します。サービスネットワークからサービスへの点線の矢印は、クライアントからのリクエストを受け取るサービスを表します。逆方向の点線の矢印、つまりサービスからサービスネットワークに向かう点線の矢印は、サービスネットワークを通じてクライアントのリクエストに応答するサービスを表します。

  5. VPC をサービスネットワークに関連付ける

    サービスネットワーク所有者が、VPC 1 と VPC 3 をサービスネットワークに関連付けます。関連付けは、サービスネットワークを指すチェックマーク付きの矢印で表示されます。これらの関連付けにより、これらの VPC 内のターゲットがクライアントになり、関連付けられたサービスにリクエストを送信できるようになります。VPC 3 とサービスネットワーク間にある双方向の点線の矢印は、関連付けの結果としての VPC 3 のクライアント (インスタンスなど) とサービスネットワーク間の双方向の通信を表します。同様に、ターゲットグループ 1 からサービスネットワークを指す点線の矢印は、サービスネットワークに関連付けられた他のサービスにリクエストを行うクライアントを表します。

    VPC 2 には関連付けを表す矢印やチェックマークがありません。これは、サービスネットワーク所有者またはサービス所有者がサービスネットワークに VPC 2 を関連付けていないことを意味します。このようになっているのは、この例では、サービス 2 がリクエストを受信し、同じリクエストを使用してレスポンスを送信するだけでよいためです。つまり、サービス 2 のターゲットはクライアントではないために、サービスネットワークの他のサービスにリクエストを送信する必要がありません。