Amazon Lattice VPC とは - Amazon VPC Lattice
主要コンポーネント役割と責任機能Lattice VPC へのアクセス料金

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Lattice VPC とは

Amazon VPC Lattice は、アプリケーションのサービスとリソースの接続、保護、モニタリングに使用するフルマネージドアプリケーションネットワーキングサービスです。Lattice は、単一の仮想プライベートクラウド (VPC) VPC で、または 1 つ以上のアカウントVPCsから複数の にまたがって使用できます。

最新のアプリケーションは、マイクロサービス、データベースなどのリソース、および DNSと IP アドレスエンドポイントで構成されるカスタムリソースと呼ばれる、複数の小規模でモジュール式のサービスで構成できます。モダナイゼーションには利点がありますが、これらのマイクロサービスとリソースを接続するときにネットワークの複雑さや課題が生じる可能性もあります。例えば、デベロッパーが異なるチームに分散している場合、複数のアカウントまたは にマイクロサービスとリソースを構築してデプロイできますVPCs。

VPC Lattice では、マイクロサービスをサービスと呼び、リソース設定としてのみリソースを表します。これらは Lattice VPC ユーザーガイドに記載されている用語です。

主要コンポーネント

Amazon Lattice VPC を使用するには、その主要コンポーネントに精通している必要があります。

リソース設定

リソース設定は、単一のリソースまたはリソースのグループを表す論理オブジェクトです。リソースには、IP アドレス、ドメイン名ターゲット、または Amazon RDS データベースを使用できます。

リソースゲートウェイ

リソースゲートウェイは、VPCリソースが存在する への進入ポイントです。

サービス

特定のタスクや機能を提供する、独立してデプロイ可能な単位のソフトウェアです。サービスは、アカウントまたは仮想プライベートクラウド () 内のEC2インスタンスまたはECS/EKS/Fargateコンテナで、または Lambda 関数として実行できますVPC。Lattice VPC サービスには、ターゲットグループ、リスナー、ルールのコンポーネントがあります。

リスナーを 1 つとターゲットグループを 2 つを含むサービス。
ターゲットグループ

アプリケーションまたはサービスを実行するリソース (ターゲットとも呼ばれる) のコレクションです。これらは Elastic Load Balancing が提供するターゲットグループと似ていますが、互換性はありません。サポートされているターゲットタイプには、EC2インスタンス、IP アドレス、Lambda 関数、Application Load Balancer、Amazon ECSタスク、Kubernetes ポッドなどがあります。

Listener

接続リクエストをチェックし、ターゲットグループのターゲットにルーティングするプロセスです。リスナーにはプロトコルとポート番号を設定します。

ルール

VPC Lattice ターゲットグループのターゲットにリクエストを転送するリスナーのデフォルトコンポーネント。各ルールは優先度、1 つ以上のアクション、および 1 つ以上の条件で構成されています。ルールは、リスナーによるクライアントリクエストのルーティング方法を決定します。

サービスネットワーク

サービスとリソース設定の集合の論理境界。クライアントVPCは、サービスネットワークに関連付けられている 内に存在できます。同じサービスネットワークに関連付けられているクライアントとサービスは、権限があれば、相互に通信できます。

次の図では、 VPCと のサービスは同じサービスネットワークに関連付けられているため、クライアントは両方のサービスと通信できます。

サーバーとクライアントを含むサービスネットワーク。
サービスディレクトリ

() を通じて所有または共有されているすべての VPC Lattice サービスの中央レジストリ AWS Resource Access Manager AWS RAM。

認証ポリシー

サービスへのアクセスを定義するために使用できる、きめ細やかな認可ポリシーです。個別の認証ポリシーを個々のサービスまたはサービスネットワークにアタッチできます。例えば、EC2インスタンスの Auto Scaling グループで実行されている支払いサービスが、 で実行されている請求サービスとやり取りする方法に関するポリシーを作成できます AWS Lambda。

認証ポリシーはリソース設定ではサポートされていません。サービスネットワークの認証ポリシーは、サービスネットワークのリソース設定には適用されません。

役割と責任

ロールは、Amazon Lattice VPC 内の情報のセットアップとフローの責任者を決定します。通常、サービスネットワーク所有者とサービス所有者の 2 つの役割がありますが、それぞれの責任は重複する場合があります。

サービスネットワーク所有者 — サービスネットワーク所有者は通常、組織のネットワーク管理者またはクラウド管理者です。サービスネットワーク所有者は、サービスネットワークの作成、共有、プロビジョニングを行います。また、Lattice VPC 内のサービスネットワークまたはサービスにアクセスできるユーザーも管理します。サービスネットワーク所有者は、サービスネットワークに関連付けられたサービスの粗粒度のアクセス設定を定義できます。これらのコントロールは、認証ポリシーおよび認可ポリシーを使用してクライアントとサービス間の通信を管理するために使用されます。サービスまたはリソース設定がサービスネットワーク所有者のアカウントと共有されている場合、サービスネットワーク所有者は、サービスまたはリソース設定を 1 つまたは複数のサービスネットワークに関連付けることもできます。

サービスネットワーク所有者の役割と責任

サービス所有者 – サービス所有者は通常、組織のソフトウェア開発者です。サービス所有者は、Lattice VPC 内でサービスを作成し、ルーティングルールを定義し、サービスをサービスネットワークに関連付けます。また、きめ細かなアクセス設定を定義して、認証および承認されたサービスとクライアントにのみアクセスを制限することもできます。

サービス所有者の役割と責任

リソース所有者 – リソース所有者は通常、組織のソフトウェア開発者であり、データベースなどのリソースの管理者として機能します。リソース所有者は、リソースのリソース設定を作成し、リソース設定のアクセス設定を定義して、リソース設定をサービスネットワークに関連付けます。

リソース所有者の役割と責任

機能

以下は、Lattice VPC が提供する主な機能です。

サービス検出

サービスネットワークVPCsに関連付けられている のすべてのクライアントとサービスは、同じサービスネットワーク内の他のサービスと通信できます。 は client-to-service、Lattice エンドポイントを介して と VPC service-to-serviceトラフィックをDNSルーティングします。クライアントがサービスにリクエストを送信する場合、サービスDNSの名前を使用します。Route 53 Resolver はトラフィックを Lattice VPC に送信し、Lattice は送信先サービスを識別します。

接続

Client-to-service と client-to-resource の接続は、ネットワークインフラストラクチャ内で確立されます AWS 。VPC をサービスネットワークに関連付けると、 内の任意のクライアントは、必要なアクセス権があれば、サービスネットワーク内の サービスとリソースに (リソース設定を通じて) 接続VPCできます。

オンプレミスアクセス

VPC エンドポイント ( を使用) VPCを使用して、 からサービスネットワークへの接続を有効にできます AWS PrivateLink。サービスネットワークタイプのVPCエンドポイントを使用すると、Direct Connect および 経由でオンプレミスネットワークからサービスネットワーク内のサービスとリソースへのアクセスを有効にできますVPN。VPC ピアリングを通過するトラフィック、またはVPCエンドポイント経由でリソースやサービスにアクセス AWS Transit Gateway できるトラフィック。

オブザーバビリティ

VPC Lattice は、サービスネットワークを通過する各リクエストとレスポンスのメトリクスとログを生成し、アプリケーションのモニタリングとトラブルシューティングに役立ちます。デフォルトでは、メトリクスはサービス所有者アカウントに発行されます。サービス所有者とリソース所有者は、ログ記録を有効にし、サービスネットワークVPCsに接続されている のクライアントからサービスとリソースaccess/requests to their services and resources. Service network owners can also turn on logging on the service network, to log all access/requestsへのすべてのクライアントのログを受け取ることができます。

VPC Lattice は、 Amazon CloudWatch ロググループ、Firehose 配信ストリーム、Amazon S3 バケットなどのサービスのモニタリングとトラブルシューティングに役立つツールと連携します。

セキュリティ

VPC Lattice は、ネットワークの複数のレイヤーで防御戦略を実装するために使用できるフレームワークを提供します。最初のレイヤーは、サービス、リソース設定、VPC関連付け、およびサービスネットワークタイプのVPCエンドポイントの組み合わせです。VPC とサービス関連付け、またはサービスネットワークタイプのVPCエンドポイントがないと、クライアントは サービスにアクセスできません。同様に、 VPCとリソース設定、サービス関連付け、またはサービスネットワークタイプのVPCエンドポイントがないと、クライアントはリソースにアクセスできません。

2 番目のレイヤーでは、ユーザーは VPCとサービスネットワーク間の関連付けにセキュリティグループをアタッチできます。3 番目と 4 番目のレイヤーは認証ポリシーで、サービスネットワークレベルおよびサービスレベルで個別に適用できます。

Lattice VPC へのアクセス

次のいずれかのインターフェイスを使用して、Lattice VPC を作成、アクセス、管理できます。

  • AWS Management Console – Lattice VPC へのアクセスに使用できるウェブインターフェイスを提供します。

  • AWS Command Line Interface (AWS CLI) – Lattice VPC を含むさまざまな AWS のサービス用のコマンドを提供します。 AWS CLI は Windows、MacOS、Linux でサポートされています。CLI の詳細については、「AWS Command Line Interface」を参照してください。の詳細についてはAPIs、「Amazon Lattice VPC APIリファレンス」を参照してください。

  • VPC Lattice Controller for Kubernetes – Kubernetes VPC クラスターの Lattice リソースを管理します。Kubernetes で VPC Lattice を使用する方法の詳細については、AWS 「ゲートウェイAPIコントローラーユーザーガイド」を参照してください。

  • AWS CloudFormation - AWS のリソースをモデル化して設定するのに役立ちます。詳細については、「Amazon Lattice VPC リソースタイプのリファレンス」を参照してください。

料金

Lattice VPC では、サービスがプロビジョニングされた時間、各サービスを介して転送されたデータ量、およびリクエスト数に対して料金が発生します。リソース所有者は、各リソースとの間で転送されたデータに対して料金を支払います。サービスネットワーク所有者は、サービスネットワークに関連付けられたリソース設定に対して時間単位で料金を支払います。サービスネットワークに がVPC関連付けられているコンシューマーは、 からサービスネットワークのリソースとの間で転送されたデータに対して料金を支払いますVPC。サービスネットワークVPCに関連付けられた を持つコンシューマーは、サービスネットワーク内のリソースに転送されたデータに対して料金を支払います。詳細については、「Amazon Lattice VPC の料金」を参照してください。