VPC Lattice 的運作方式 - Amazon VPC Lattice

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC Lattice 的運作方式

VPC Lattice 旨在協助您輕鬆有效地探索、保護、連線和監控其中的所有服務和資源。VPC Lattice 中的每個元件會根據與服務網路的關聯及其存取設定,在服務網路內進行單向或雙向通訊。存取設定包含此通訊所需的身分驗證和授權政策。

下列摘要說明 VPC Lattice 內元件之間的通訊:

  • VPC 有兩種方式可以連接到服務網路:透過 VPC 關聯,以及透過 VPC 端點類型服務網路。

  • 與服務網路相關聯的服務和資源,可以接收來自其 VPCs 也連接至服務網路之用戶端的請求。

  • 只有當用戶端位於連接到相同服務網路的 VPC 中時,才能將請求傳送至與服務網路相關聯的服務和資源。只有當 VPC 透過 VPC 端點連接到服務網路時,才能周遊 VPC 對等互連連線、傳輸閘道、Direct Connect 或 VPN 的用戶端流量連線到資源和服務。

  • 與服務網路相關聯的 VPCs中的服務目標也是用戶端,並且可以將請求傳送至與服務網路相關聯的其他 服務和資源。

  • VPCs 中與服務網路無關的服務目標不是用戶端,無法將請求傳送至與服務網路相關聯的其他服務和資源。

  • VPCs中的用戶端具有資源,但其中 VPC 與服務網路沒有關聯,並非用戶端,且無法將請求傳送至與服務網路相關聯的其他 服務和資源。

下列流程圖使用範例案例來說明 VPC Lattice 內元件之間的資訊和通訊方向流程。服務網路有兩個相關聯的服務。服務和所有 VPCs 都是在與服務網路相同的帳戶中建立。這兩個服務都設定為允許來自服務網路的流量。

VPC 服務網路流程

Service 1 是在 VPC 1 中向目標群組 1 註冊的一組執行個體上執行的計費應用程式。Service 2 是在 VPC 2 中向目標群組 2 註冊的一組執行個體上執行的付款應用程式。VPC 3 位於相同的 帳戶中,且具有用戶端,但沒有 服務。資源 1 是在 VPC 4 中具有客戶資料的資料庫。

下列清單依序說明 VPC Lattice 的一般任務工作流程。

  1. 建立服務網路

    服務網路擁有者會建立服務網路。

  2. 建立服務

    服務擁有者會建立各自的服務、服務 1 和服務 2。在建立期間,服務擁有者會新增接聽程式,並定義將請求路由到每個服務目標群組的規則。

  3. 定義路由

    服務擁有者會為每個服務建立目標群組 (目標群組 1 和目標群組 2)。他們透過指定服務執行所在的目標執行個體來執行此操作。它們也會指定這些目標所在的 VPCs。

    在上圖中,指向服務目標群組的虛線箭頭代表從每個服務流向其個別目標群組的流量。虛線箭頭代表服務與目標群組之間的通訊方向。

  4. 將服務與服務網路建立關聯

    服務網路擁有者或服務擁有者會將服務與服務網路建立關聯。關聯會顯示為箭頭,其中核取記號指向服務網路。當您將服務與服務網路建立關聯時,該服務會變成可供與服務網路相關聯的其他服務,以及連接到服務網路之 VPCs中的用戶端探索。

    服務與服務網路之間的雙向虛線箭頭表示因關聯而產生的雙向通訊。從服務網路到服務的虛線箭頭代表從用戶端接收請求的服務。相反方向的虛線箭頭,即從服務到服務網路,代表透過服務網路回應用戶端請求的服務。

  5. 建立資源閘道

    資源擁有者會在 VPC4 中建立資源閘道,以便能夠從用戶端連線至資源 1。

  6. 建立資源組態

    資源擁有者會建立資源組態來代表資源 1,並指定資源 1 的資源閘道。

  7. 將資源組態與服務網路建立關聯

    服務網路擁有者或資源擁有者會將資源組態與服務網路建立關聯。關聯會顯示為箭頭,其中核取記號指向資源組態的服務網路。當您將資源組態與服務網路建立關聯時,該資源組態會變成可供與服務網路相關聯的其他 服務,以及與服務網路連線VPCs 中的用戶端探索。從服務網路到資源的虛線箭頭代表從用戶端接收請求的資源。相反方向的虛線箭頭,即從服務到服務網路,代表透過服務網路回應用戶端請求的服務。

  8. 將 VPCs與服務網路連線

    VPCs可以透過兩種方式與服務網路連線:將 VPC 與服務網路建立關聯,或建立 VPC 端點。在這裡,服務網路擁有者會將 VPC 1 和 VPC 3 與服務網路建立關聯。關聯會顯示箭頭,其核取記號指向服務網路。透過這些關聯,這些 VPCs中的目標會成為用戶端,並可以向相關聯的 服務提出請求。VPC 3 和服務網路之間的雙向虛線箭頭表示 VPC 3 中用戶端 (例如,執行個體) 與服務網路之間因關聯而產生的雙向通訊。同樣地,從目標群組 1 指向服務網路的虛線箭頭代表用戶端向與服務網路相關聯的其他服務提出請求。

    請注意,VPC 2 沒有代表關聯的箭頭或核取記號。這表示服務網路擁有者或服務擁有者尚未將 VPC 2 與服務網路建立關聯。這是因為在此範例中,服務 2 只需要接收請求並使用相同的請求傳送回應。換言之,服務 2 的目標不是用戶端,也不需要向服務網路中的其他服務提出請求。

    同樣地,VPC 4 沒有代表關聯的箭頭或核取記號。這表示服務網路擁有者或資源擁有者尚未將 VPC 4 與服務網路建立關聯。這是因為資源 1 只會接收請求,並使用相同的請求傳送回應。它無法向服務網路中的其他 服務和資源提出請求。