本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
VPC Lattice 的工作原理
VPC Lattice旨在帮助您轻松有效地发现、保护、连接和监控其中的所有服务和资源。VPC Lattice 中的每个组件根据组件与服务网络的关联以及访问设置,在服务网络内进行单向或双向通信。访问设置由此通信所需的验证和授权策略组成。
以下摘要描述了 VPC Lattice 内组件之间的通信:
-
VPC 可以通过两种方式连接到服务网络:通过 VPC 关联和通过服务网络类型的 VPC 终端节点。
-
与服务网络关联的服务和资源可以接收来自 VPCs 也连接到服务网络的客户端的请求。
-
只有当客户端位于连接到同一服务网络的 VPC 中时,该客户端才能向与服务网络关联的服务和资源发送请求。仅当 VPC 通过 VPC 终端节点连接到服务网络时,通过 VPC 对等连接、传输网关、Direct Connect 或 VPN 的客户端流量才能到达资源和服务。
-
中 VPCs 与服务网络关联的服务的目标也是客户端,可以向与服务网络关联的其他服务和资源发送请求。
-
中 VPCs 与服务网络无关的服务的目标不是客户端,也无法向与服务网络关联的其他服务和资源发送请求。
-
VPCs 中拥有资源但 VPC 未与服务网络关联的客户端不是客户端,也无法向与服务网络关联的其他服务和资源发送请求。
以下流程图使用示例场景解释 VPC Lattice 内组件之间的信息流和通信方向。有两个服务与服务网络关联。这两个服务以及所有服务都 VPCs 是在与服务网络相同的帐户中创建的。这两个服务都配置为允许来自服务网络的流量。
![VPC 服务网络流](images/how-it-works.png)
服务 1 是在一组实例上运行的计费应用程序,这些实例已在 VPC 1 的目标组 1 中注册。服务 2 是在一组实例上运行的支付应用程序,这些实例已在 VPC 2 的目标组 2 中注册。VPC 3 处于同一账户中,有客户端但没有服务。资源 1 是一个在 VPC 4 中包含客户数据的数据库。
以下列表按顺序描述了 VPC Lattice 的典型任务工作流。
-
创建服务网络
服务网络所有者创建服务网络。
-
创建服务
服务所有者创建相应的服务:服务 1 和服务 2。在创建过程中,服务所有者会添加侦听器,并为每项服务定义将请求路由到目标组的规则。
-
定义路由
服务所有者为每个服务创建目标组(目标组 1 和目标组 2)。他们通过指定运行服务的目标实例来做到这一点。它们还指定 VPCs 了这些目标所在的。
在上图中,从服务指向目标组的虚线箭头表示从每个服务流向相应目标组的流量。虚线箭头表示服务和目标组之间的通信方向。
-
将服务与服务网络关联
服务网络所有者或服务所有者将服务与服务网络关联。这些关联显示为带有复选标记的箭头,从服务指向服务网络。当您将服务与服务网络关联时,与该服务网络关联的其他服务以及 VPCs 连接到该服务网络的客户端可以发现该服务。
服务和服务网络之间的双向虚线箭头表示关联后的双向通信。从服务网络到服务的虚线箭头表示从客户端接收请求的服务。相反方向的虚线箭头(从服务到服务网络)表示,通过服务网络响应客户端请求的服务。
-
创建资源网关
资源所有者在 VPC4 中创建资源网关,以便能够实现从客户端到资源 1 的连接。
-
创建资源配置
资源所有者创建代表资源 1 的资源配置,并为资源 1 指定资源网关。
-
将资源配置与服务网络相关联
服务网络所有者或资源所有者将资源配置与服务网络相关联。关联显示为带有复选标记的箭头,指向资源配置中的服务网络。当您将资源配置与服务网络关联时,与该服务网络关联的其他服务和 VPCs 连接到服务网络的客户机可以发现该资源配置。从服务网络到资源的虚线箭头表示接收来自客户端的请求的资源。相反方向的虚线箭头(从服务到服务网络)表示,通过服务网络响应客户端请求的服务。
-
Connect VPCs 与服务网络连接
VPCs 可以通过两种方式与服务网络连接:将 VPC 关联到服务网络,或者创建 VPC 终端节点。在这里,服务网络所有者将 VPC 1 和 VPC 3 与服务网络关联。这些关联显示为带有复选标记的箭头,指向服务网络。有了这些关联,这些关联中的目标 VPCs 就会成为客户端,并且可以向关联的服务发出请求。VPC 3 和服务网络之间的双向虚线箭头表示,关联后 VPC 3 中的客户端(例如实例)和服务网络之间的双向通信。同样,从目标组 1 指向服务网络的虚线箭头表示,客户端向与该服务网络关联的其他服务发出请求。
注意,VPC 2 没有表示关联的箭头或复选标记。这意味着服务网络所有者或服务所有者尚未将 VPC 2 与服务网络关联。这是因为在本例中,服务 2 只需要使用相同的请求来接收请求和发送响应。换句话说,服务 2 的目标不是客户端,不需要向服务网络中的其他服务发出请求。
同样,VPC 4 没有代表关联的箭头或复选标记。这意味着服务网络所有者或资源所有者尚未将 VPC 4 与服务网络关联。这是因为资源 1 仅使用相同的请求接收请求和发送响应。它无法向服务网络中的其他服务和资源发出请求。