O que é o Amazon VPC Lattice? - Amazon VPC Lattice

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que é o Amazon VPC Lattice?

O Amazon VPC Lattice é um serviço de rede de aplicativos totalmente gerenciado que você usa para conectar, proteger e monitorar os serviços e recursos do seu aplicativo. Você pode usar o VPC Lattice com uma única nuvem privada virtual (VPC) ou em várias VPCs de uma ou mais contas.

Os aplicativos modernos podem consistir em vários componentes pequenos e modulares, geralmente chamados de microsserviços, como uma API HTTP, recursos como bancos de dados e recursos personalizados que consistem em endpoints de endereço IP e DNS. Embora a modernização tenha suas vantagens, ela também pode introduzir complexidades e desafios de rede quando você conecta esses microsserviços e recursos. Por exemplo, se os desenvolvedores estiverem espalhados por equipes diferentes, eles poderão criar e implantar microsserviços e recursos em várias contas ou VPCs.

No VPC Lattice, nos referimos a um microsserviço como um serviço e representamos um recurso somente como uma configuração de recurso. Esses são os termos que você vê no guia do usuário do VPC Lattice.

Componentes principais

Para usar o Amazon VPC Lattice, é necessário que você esteja familiarizado com seus principais componentes.

Serviço

Uma unidade de software implantável de maneira independente que fornece uma tarefa ou função específica. Um serviço pode ser executado em EC2 instâncias ou ECS/EKS/Fargate contêineres, ou como funções Lambda, em uma conta ou em uma nuvem privada virtual (VPC). Um serviço VPC Lattice tem os seguintes componentes: grupos de destino, receptores e regras.

Um serviço com um receptor e dois grupos de destino.
Grupo de destino

Uma coleção de recursos, também conhecidos como destinos, que executam sua aplicação ou serviço. Eles são semelhantes aos grupos de destino fornecidos pelo Elastic Load Balancing, mas não são intercambiáveis. Os tipos de destino compatíveis incluem EC2 instâncias, endereços IP, funções Lambda, Application Load Balancers, tarefas do Amazon ECS e Kubernetes Pods.

Receptor

Um processo que verifica as solicitações de conexão e as encaminha para destinos em um grupo de destino. Você configura um ouvinte com um protocolo e um número de porta.

Regra

Um componente padrão de um receptor que encaminha solicitações para os destinos em um grupo de destinos do VPC Lattice. Cada regra consiste em uma prioridade, uma ou mais ações e uma ou mais condições. As regras determinam como o receptor encaminha as solicitações do cliente.

Recurso

Um recurso é uma entidade como um banco de dados do Amazon Relational Database Service (Amazon RDS), uma instância da EC2 Amazon, um endpoint de aplicativo, um destino de nome de domínio ou um endereço IP. Você pode compartilhar um recurso em sua VPC criando um compartilhamento de recursos em AWS Resource Access Manager (AWS RAM), criando um gateway de recursos e definindo uma configuração de recursos.

Gateway de recursos

Um gateway de recursos é um ponto de entrada na VPC em que os recursos residem.

Configuração de recursos

Uma configuração de recurso é um objeto lógico que representa um único recurso ou um grupo de recursos. Um recurso pode ser um endereço IP, um destino de nome de domínio ou um banco de dados do Amazon RDS.

Rede de serviços

Um limite lógico para uma coleção de configurações de serviços e recursos. Um cliente pode estar em uma VPC associada à rede de serviços. Clientes e serviços associados à mesma rede de serviços podem se comunicar entre eles se estiverem autorizados a fazer isso.

Na figura a seguir, os clientes podem se comunicar com os dois serviços, porque a VPC e os serviços estão associados à mesma rede de serviços.

Uma rede de serviços com servidores e clientes.
Diretório de serviços

Um registro central de todos os serviços do VPC Lattice que você possui ou por meio dos quais são compartilhados com sua conta. AWS RAM

Políticas de autenticação

Políticas de autorização refinadas que podem ser usadas para definir o acesso aos serviços. Você pode anexar políticas de autenticação distintas a serviços individuais ou à rede de serviços. Por exemplo, você pode criar uma política de como um serviço de pagamento executado em um grupo de EC2 instâncias de auto scaling deve interagir com um serviço de faturamento em execução. AWS Lambda

As políticas de autenticação não são suportadas nas configurações de recursos. As políticas de autenticação de uma rede de serviços não são aplicáveis às configurações de recursos na rede de serviços.

Perfis e responsabilidades

Um perfil determina quem é responsável pela configuração e pelo fluxo de informações no Amazon VPC Lattice. Normalmente, há dois perfis, proprietário da rede de serviços e proprietário do serviço, e suas responsabilidades podem se sobrepor.

Proprietário da rede de serviços: em geral, o proprietário da rede de serviços é o administrador da rede ou o administrador da nuvem em uma organização. Os proprietários da rede de serviços criam, compartilham e provisionam a rede de serviços. Eles também gerenciam quem pode acessar a rede de serviços ou os serviços no VPC Lattice. O proprietário da rede de serviços pode definir configurações de acesso gerais para os serviços associados à rede de serviços. Esses controles são usados para gerenciar a comunicação entre clientes e serviços usando políticas de autenticação e autorização. O proprietário da rede de serviços também pode associar uma configuração de serviço ou recurso a uma ou várias redes de serviços, se a configuração do serviço ou recurso for compartilhada com a conta do proprietário da rede de serviços.

Perfil e responsabilidade do proprietário da rede de serviços

Proprietário do serviço — O proprietário do serviço geralmente é um desenvolvedor de software em uma organização. Os proprietários de serviço criam serviços no VPC Lattice, definem regras de roteamento e também associam serviços à rede de serviços. Eles também podem definir configurações de acesso refinadas, que podem restringir o acesso somente a serviços e clientes autenticados e autorizados.

Perfil e responsabilidade do proprietário do serviço

Proprietário do recurso — O proprietário do recurso geralmente é um desenvolvedor de software em uma organização e atua como administrador de um recurso, como um banco de dados. O proprietário do recurso cria uma configuração de recurso para o recurso, define as configurações de acesso para a configuração do recurso e associa a configuração do recurso às redes de serviços.

Papel e responsabilidade do proprietário do recurso

Atributos

Veja a seguir os principais recursos que o VPC Lattice fornece.

Descoberta de serviço

Todos os clientes e serviços VPCs associados à rede de serviços podem se comunicar com outros serviços dentro da mesma rede de serviços. Direcionamentos client-to-service e service-to-service tráfego de DNS por meio do endpoint VPC Lattice. Quando um cliente deseja enviar uma solicitação para um serviço, ele usa o nome de DNS do serviço. O Route 53 Resolver envia o tráfego para o VPC Lattice, que então identifica o serviço de destino.

Conectividade

Client-to-service e a client-to-resource conectividade é estabelecida dentro da infraestrutura AWS de rede. Quando você associa uma VPC à rede de serviços, qualquer cliente dentro da VPC pode se conectar com serviços e recursos (por meio de configurações de recursos) na rede de serviços, se tiver o acesso necessário.

Acesso no local

Você pode habilitar a conectividade com uma rede de serviços a partir de uma VPC usando um VPC endpoint (alimentado por). AWS PrivateLink Um endpoint VPC do tipo rede de serviços permite que você habilite o acesso a serviços e recursos na rede de serviços a partir de redes locais por meio do Direct Connect e da VPN. Tráfego que atravessa o emparelhamento de VPC ou que também AWS Transit Gateway pode acessar recursos e serviços por meio de um VPC endpoint.

Observabilidade

O VPC Lattice gera métricas e logs para cada solicitação e resposta que atravessa a rede de serviços, ajudando você a monitorar e solucionar problemas de aplicações. Por padrão, as métricas são publicadas na conta do proprietário do serviço. Proprietários de serviços e proprietários de recursos têm a opção de ativar o registro e receber registros de todos os clientes access/requests to their services and resources. Service network owners can also turn on logging on the service network, to log all access/requests nos VPCs serviços e recursos dos clientes conectados à rede de serviços.

O VPC Lattice trabalha com as seguintes ferramentas para ajudar você a monitorar e solucionar problemas em seus serviços: Amazon CloudWatch grupos de log, streams de entrega do Firehose e buckets Amazon S3.

Segurança

O VPC Lattice fornece uma estrutura que você pode usar para implementar uma estratégia de defesa em várias camadas da rede. A primeira camada é a combinação de serviço, configuração de recursos, associação de VPC e ponto de extremidade VPC do tipo rede de serviços. Sem uma VPC e uma associação de serviços ou um endpoint VPC do tipo rede de serviços, os clientes não podem acessar os serviços. Da mesma forma, sem uma VPC e uma configuração de recursos e uma associação de serviços ou um endpoint VPC do tipo rede de serviços, os clientes não podem acessar os recursos.

A segunda camada permite que os usuários anexem grupos de segurança à associação entre a VPC e a rede de serviços. A terceira e a quarta camadas são políticas de autenticação que podem ser aplicadas individualmente no nível da rede de serviços e no nível do serviço.

Como acessar o VPC Lattice

É possível criar, acessar e gerenciar o VPC Lattice usando qualquer uma das seguintes interfaces:

  • AWS Management Console: fornece uma interface da Web que você pode usar para acessar o VPC Lattice.

  • AWS Command Line Interface (AWS CLI) — Fornece comandos para um amplo conjunto de AWS serviços, incluindo o VPC Lattice. O AWS CLI é compatível com Windows, macOS e Linux. Para obter mais informações sobre a CLI, consulte AWS Command Line Interface. Para obter mais informações sobre o APIs, consulte Amazon VPC Lattice API Reference.

  • VPC Lattice Controller para Kubernetes:"gerencia os recursos do VPC Lattice para um cluster Kubernetes. Para obter mais informações sobre como usar o VPC Lattice com o Kubernetes, consulte o Guia do usuário do AWS Gateway API Controller.

  • AWS CloudFormation: ajuda você a modelar e configurar os recursos da AWS . Para obter mais informações, consulte Referência de tipo de recursos do Amazon VPC Lattice.

Preços

No VPC Lattice, você paga pelo tempo que um serviço fica provisionado, pela quantidade de dados transferidos por cada serviço e pelo número de solicitações. Como proprietário do recurso, você paga pelos dados transferidos de e para cada recurso. Como proprietário da rede de serviços, você paga por hora pelas configurações de recursos associadas à sua rede de serviços. Como consumidor que tem uma VPC associada a uma rede de serviços, você paga pelos dados transferidos de e para os recursos na rede de serviços da sua VPC. Para obter mais informações, consulte Preços do Amazon VPC Lattice.