View a markdown version of this page

Was ist Amazon VPC Lattice? - Amazon VPC Lattice

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist Amazon VPC Lattice?

Amazon VPC Lattice ist ein vollständig verwalteter Anwendungsnetzwerkservice, mit dem Sie die Services und Ressourcen für Ihre Anwendung verbinden, sichern und überwachen. Sie können VPC Lattice mit einer einzelnen Virtual Private Cloud (VPC) oder über mehrere VPCs von einem oder mehreren Konten aus verwenden.

Moderne Anwendungen können aus mehreren kleinen und modularen Komponenten bestehen, die oft als Microservices bezeichnet werden, wie z. B. einer HTTP-API, Ressourcen wie Datenbanken und benutzerdefinierten Ressourcen, die aus DNS- und IP-Adressendpunkten bestehen. Die Modernisierung hat zwar ihre Vorteile, kann aber auch zu Netzwerkkomplexitäten und Herausforderungen führen, wenn Sie diese Microservices und Ressourcen miteinander verbinden. Wenn die Entwickler beispielsweise auf verschiedene Teams verteilt sind, können sie Microservices und Ressourcen für mehrere Konten oder VPCs erstellen und bereitstellen.

In VPC Lattice bezeichnen wir einen Microservice als Service und stellen eine Ressource nur als Ressourcenkonfiguration dar. Dies sind die Begriffe, die Sie im VPC Lattice-Benutzerhandbuch finden und verwenden werden.

Zentrale Komponenten

Um Amazon VPC Lattice verwenden zu können, sollten Sie mit den wichtigsten Komponenten vertraut sein.

Service

Eine unabhängig einsetzbare Softwareeinheit, die eine bestimmte Aufgabe oder Funktion erfüllt. Ein Dienst kann auf EC2-Instances oder ECS/EKS/Fargate Containern oder als Lambda-Funktionen innerhalb eines Kontos oder einer Virtual Private Cloud (VPC) ausgeführt werden. Ein VPC Lattice-Dienst besteht aus den folgenden Komponenten: Zielgruppen, Listener und Regeln.

Ein Service mit einem Listener und zwei Zielgruppen.
Zielgruppe

Eine Sammlung von Ressourcen, auch Ziele genannt, die Ihre Anwendung oder Ihren Dienst ausführen. Diese ähneln den Zielgruppen, die Elastic Load Balancing bietet, sind jedoch nicht austauschbar. Zu den unterstützten Zieltypen gehören EC2-Instances, IP-Adressen, Lambda-Funktionen, Application Load Balancers, Amazon ECS-Aufgaben und Kubernetes Pods.

Zuhörer

Ein Prozess, der nach Verbindungsanfragen sucht und diese an Ziele in einer Zielgruppe weiterleitet. Sie konfigurieren einen Listener mit einem Protokoll und einer Portnummer.

Regel

Eine Standardkomponente eines Listeners, der Anfragen an die Ziele in einer VPC Lattice-Zielgruppe weiterleitet. Jede Rolle besteht aus einer Priorität, mindestens einer Aktion und mindestens einer Bedingung. Regeln bestimmen, wie der Listener Client-Anfragen weiterleitet.

Ressource

Eine Ressource ist eine Entität wie eine Amazon Relational Database Service (Amazon RDS) -Datenbank, eine Amazon EC2 EC2-Instance, ein Anwendungsendpunkt, ein Domainnamenziel oder eine IP-Adresse. Sie können eine Ressource in Ihrer VPC gemeinsam nutzen, indem Sie eine Ressourcenfreigabe in AWS Resource Access Manager (AWS RAM) erstellen, ein Ressourcen-Gateway erstellen und eine Ressourcenkonfiguration definieren.

Ressourcen-Gateway

Ein Ressourcen-Gateway ist ein Zugangspunkt in die VPC, in dem sich Ressourcen befinden.

Konfiguration der Ressourcen

Eine Ressourcenkonfiguration ist ein logisches Objekt, das entweder eine einzelne Ressource oder eine Gruppe von Ressourcen darstellt. Eine Ressource kann eine IP-Adresse, ein Domainnamenziel oder eine Amazon RDS-Datenbank sein.

Servicenetzwerk

Eine logische Grenze für eine Sammlung von Diensten und Ressourcenkonfigurationen. Ein Client kann sich in einer VPC befinden, die dem Servicenetzwerk zugeordnet ist. Clients und Dienste, die demselben Servicenetzwerk zugeordnet sind, können miteinander kommunizieren, sofern sie dazu autorisiert sind.

In der folgenden Abbildung können die Clients mit beiden Diensten kommunizieren, da die VPC und die Dienste demselben Dienstnetzwerk zugeordnet sind.

Ein Servicenetzwerk mit Servern und Clients.
Dienstverzeichnis

Eine zentrale Registrierung aller VPC Lattice-Dienste, die Ihnen gehören oder über die Sie mit Ihrem Konto geteilt werden. AWS RAM

Richtlinien für die Authentifizierung

Fine-grained Autorisierungsrichtlinien, mit denen der Zugriff auf Dienste definiert werden kann. Sie können einzelnen Diensten oder dem Dienstnetzwerk separate Authentifizierungsrichtlinien zuordnen. Sie können beispielsweise eine Richtlinie dafür erstellen, wie ein Zahlungsdienst, der auf einer Auto Scaling-Gruppe von EC2-Instances ausgeführt wird, mit einem Rechnungsdienst interagieren soll, der in AWS Lambda läuft.

Auth-policies werden in Ressourcenkonfigurationen nicht unterstützt. Die Authentifizierungsrichtlinien eines Dienstnetzwerks gelten nicht für Ressourcenkonfigurationen im Dienstnetzwerk.

Rollen und Zuständigkeiten

Eine Rolle bestimmt, wer für die Einrichtung und den Informationsfluss innerhalb von Amazon VPC Lattice verantwortlich ist. In der Regel gibt es zwei Rollen, den Eigentümer des Servicenetzwerks und den Eigentümer des Dienstes, und ihre Zuständigkeiten können sich überschneiden.

Eigentümer des Servicenetzwerks — Der Eigentümer des Servicenetzwerks ist normalerweise der Netzwerkadministrator oder der Cloud-Administrator in einer Organisation. Besitzer des Servicenetzwerks erstellen, teilen und stellen das Servicenetzwerk bereit. Sie verwalten auch, wer auf das Servicenetzwerk oder die Dienste innerhalb von VPC Lattice zugreifen kann. Der Eigentümer des Servicenetzwerks kann grobe Zugriffseinstellungen für die mit dem Servicenetzwerk verknüpften Dienste definieren. Diese Steuerelemente werden verwendet, um die Kommunikation zwischen Clients und Diensten mithilfe von Authentifizierungs- und Autorisierungsrichtlinien zu verwalten. Der Besitzer des Dienstnetzwerks kann eine Dienst- oder Ressourcenkonfiguration auch einem einzelnen oder mehreren Dienstnetzwerken zuordnen, wenn die Dienst- oder Ressourcenkonfiguration mit dem Konto des Dienstenetzwerkbesitzers gemeinsam genutzt wird.

Rolle und Verantwortung des Eigentümers des Servicenetzwerks

Service Owner — Der Service Owner ist in der Regel ein Softwareentwickler in einer Organisation. Dienstbesitzer erstellen Dienste innerhalb von VPC Lattice, definieren Routing-Regeln und verknüpfen Dienste auch mit dem Dienstnetzwerk. Sie können auch detaillierte Zugriffseinstellungen definieren, mit denen der Zugriff nur auf authentifizierte und autorisierte Dienste und Clients beschränkt werden kann.

Rolle und Verantwortung des Serviceinhabers

Ressourcenbesitzer — Der Ressourcenbesitzer ist normalerweise ein Softwareentwickler in einer Organisation und fungiert als Administrator für eine Ressource wie eine Datenbank. Der Ressourcenbesitzer erstellt eine Ressourcenkonfiguration für die Ressource, definiert Zugriffseinstellungen für die Ressourcenkonfiguration und ordnet die Ressourcenkonfiguration Servicenetzwerken zu.

Rolle und Verantwortung des Ressourcenbesitzers

Features

Im Folgenden sind die Kernfunktionen aufgeführt, die VPC Lattice bietet.

Serviceerkennung

Alle Clients und Dienste in VPCs, die dem Servicenetzwerk zugeordnet sind, können mit anderen Diensten innerhalb desselben Dienstnetzwerks kommunizieren. DNS leitet den Client-to-Service- und Service-to-Service-Verkehr über den VPC-Lattice-Endpunkt weiter. Wenn ein Client eine Anfrage an einen Dienst senden möchte, verwendet er den DNS-Namen des Dienstes. Der Route 53 Resolver sendet den Datenverkehr an VPC Lattice, das dann den Zieldienst identifiziert.

Konnektivität

Client-to-service und die Konnektivität zwischen Client und Ressource wird innerhalb der Netzwerkinfrastruktur hergestellt. AWS Wenn Sie eine VPC mit dem Servicenetzwerk verknüpfen, kann jeder Client innerhalb der VPC eine Verbindung zu Diensten und Ressourcen (über Ressourcenkonfigurationen) im Dienstnetzwerk herstellen, sofern er über den erforderlichen Zugriff verfügt. VPC Lattice unterstützt die überlappende CIDR-Technologie.

Zugriff vor Ort

Sie können die Konnektivität zu einem Servicenetzwerk von einer VPC aus mithilfe eines VPC-Endpunkts (powered byAWS PrivateLink) aktivieren. Mit einem VPC-Endpunkt vom Typ Servicenetzwerk können Sie den Zugriff auf Dienste und Ressourcen im Servicenetzwerk von lokalen Netzwerken aus über Direct Connect und VPN ermöglichen. Datenverkehr, der VPC-Peering durchläuft oder auch über einen VPC-Endpunkt auf Ressourcen und Dienste zugreifen AWS Transit Gateway kann.

Beobachtbarkeit

VPC Lattice generiert Metriken und Protokolle für jede Anfrage und Antwort, die das Servicenetzwerk durchquert, um Sie bei der Überwachung und Fehlerbehebung von Anwendungen zu unterstützen. Standardmäßig werden Metriken auf dem Konto des Dienstbesitzers veröffentlicht. Service- und Ressourcenbesitzer haben die Möglichkeit, die Protokollierung zu aktivieren und Protokolle für alle Clients access/requests zu ihren Diensten und Ressourcen zu erhalten. Besitzer von Dienstnetzwerken können auch die Protokollierung im Dienstnetzwerk aktivieren, access/requests um alle Dienste und Ressourcen von Clients in VPCs zu protokollieren, die mit dem Dienstnetzwerk verbunden sind.

VPC Lattice unterstützt Sie mit den folgenden Tools bei der Überwachung und Fehlerbehebung Ihrer Services: Amazon CloudWatch Protokollgruppen, Firehose-Lieferdatenströme und Amazon S3 S3-Buckets.

Sicherheit

VPC Lattice bietet ein Framework, mit dem Sie eine Verteidigungsstrategie auf mehreren Ebenen des Netzwerks implementieren können. Die erste Schicht ist die Kombination aus Dienst, Ressourcenkonfiguration, VPC-Zuordnung und VPC-Endpunkt vom Typ Dienstnetzwerk. Ohne eine VPC und eine Service Association oder einen VPC-Endpunkt vom Typ Service Network können Clients nicht auf Dienste zugreifen. Ebenso können Clients ohne eine VPC- und Ressourcenkonfiguration und eine Dienstzuordnung oder einen VPC-Endpunkt vom Typ Dienstnetzwerk nicht auf Ressourcen zugreifen.

Die zweite Schicht ermöglicht es Benutzern, Sicherheitsgruppen an die Verbindung zwischen der VPC und dem Servicenetzwerk anzuhängen. Die dritte und vierte Ebene sind Authentifizierungsrichtlinien, die individuell auf der Dienstnetzwerkebene und der Dienstebene angewendet werden können.

Affinität zur Verfügbarkeitszone

VPC Lattice unterstützt die Availability Zone (AZ) -Affinität für das Routing von Datenverkehr. Wenn ein Client eine Anfrage an VPC Lattice sendet, antwortet VPC Lattice mit der IP-Adresse für den Dienst oder die Ressource von derselben AZ wie der Client. Wenn diese AZ nicht verfügbar ist, antwortet VPC Lattice mit IP-Adressen von anderen AZs. Von VPC Lattice zum Ziel erfolgt das Routing zu Zielen, die möglicherweise auf mehrere AZs verteilt sind. Darüber hinaus fallen in VPC Lattice keine Inter-AZ-Datenübertragungsgebühren an.

Zugreifen auf VPC Lattice

Sie können VPC Lattice über eine der folgenden Schnittstellen erstellen, darauf zugreifen und sie verwalten:

  • AWS-Managementkonsole— Stellt eine Weboberfläche bereit, über die Sie auf VPC Lattice zugreifen können.

  • AWS Command Line Interface(AWS CLI) — Stellt Befehle für eine Vielzahl von AWS Diensten bereit, einschließlich VPC Lattice. Das AWS CLI wird unter Windows, MacOS und Linux unterstützt. Weitere Informationen zur CLI finden Sie unter AWS Command Line Interface. Weitere Informationen zu den APIs finden Sie unter Amazon VPC Lattice API Reference.

  • VPC Lattice Controller für Kubernetes — Verwaltet VPC-Lattice-Ressourcen für einen Kubernetes-Cluster. Weitere Informationen zur Verwendung von VPC Lattice mit Kubernetes finden Sie im AWSGateway API Controller User Guide.

  • CloudFormation— Hilft Ihnen bei der Modellierung und Einrichtung Ihrer Ressourcen. AWS Weitere Informationen finden Sie in der Referenz zum Amazon VPC Lattice-Ressourcentyp.

VPC-Lattice-Dienstendpunkte

Ein Endpunkt ist eine URL, die als Einstiegspunkt für einen AWS Webdienst dient. VPC Lattice unterstützt die folgenden Endpunkttypen:

Wenn Sie eine Anfrage stellen, können Sie den zu verwendenden Endpunkt angeben. Wenn Sie keinen Endpunkt festlegen, wird standardmäßig der IPv4-Endpunkt verwendet. Um einen anderen Endpunkttyp zu verwenden, müssen Sie ihn in Ihrer Anforderung angeben. Beispiele für diese Vorgehensweise finden Sie unter Angeben von Endpunkten. Eine Tabelle der verfügbaren Endpunkte finden Sie unter Amazon VPC Lattice Endpoints.

IPv4-Endpunkte

IPv4 Endpunkte unterstützen nur IPv4-Datenverkehr. IPv4-Endpunkte sind für alle Regionen verfügbar.

Wenn Sie den allgemeinen Endpunkt, vpc-lattice.amazonaws.com, angeben, verwenden wir den Endpunkt für us-east-1. Um eine andere Region zu verwenden, geben Sie den zugehörigen Endpunkt an. Wenn Sie beispielsweise vpc-lattice.us-east-2.amazonaws.com als Endpunkt angeben, leiten wir Ihre Anfrage an den us-east-2-Endpunkt weiter.

IPv4-Endpunktnamen verwenden die folgende Namenskonvention:

  • vpc-lattice.region.amazonaws.com

Beispielsweise ist der IPv4 -Endpunktname für die Region eu-west-1 vpc-lattice.eu-west-1.amazonaws.com.

Dualstack-Endpunkte (IPv4 und IPv6)

Dualstack-Endpunkte unterstützen sowohl IPv4- als auch IPv6-Verkehr. DualStack-Endpunkte sind für alle Regionen verfügbar. Wenn Sie eine Anfrage an einen Dualstack-Endpunkt stellen, löst die Endpunkt-URL eine IPv6- oder eine IPv4-Adresse auf, je nachdem, welches Protokoll Ihr Netzwerk und Ihr Client verwendet.

Dual-stack Endpunktnamen verwenden die folgende Benennungskonvention:

  • vpc-lattice.region.api.aws

Beispielsweise ist der Dual-Stack-Endpunktname für die Region eu-west-1 vpc-lattice.eu-west-1.api.aws.

Angeben von Endpunkten

Die folgenden Beispiele zeigen, wie Sie mithilfe von for einen Endpunkt AWS CLI für die us-east-2 Region angebenvpc-lattice.

  • IPv4

    aws vpc-lattice get-service --service-identifier svc-0285b53b2eEXAMPLE --region us-east-2 --endpoint-url https://vpc-lattice.us-east-2.amazonaws.com
  • Dualstack

    aws vpc-lattice get-service --service-identifier svc-0285b53b2eEXAMPLE --region us-east-2 --endpoint-url https://vpc-lattice.us-east-2.api.aws

Preisgestaltung

Mit VPC Lattice zahlen Sie für die Zeit, für die ein Service bereitgestellt wird, für die Datenmenge, die über jeden Service übertragen wird, und für die Anzahl der Anfragen. Als Ressourcenbesitzer zahlen Sie für die Daten, die zu und von jeder Ressource übertragen werden. Als Eigentümer eines Servicenetzwerks zahlen Sie stündlich für Ressourcenkonfigurationen, die mit Ihrem Servicenetzwerk verknüpft sind. Als Verbraucher, der eine VPC mit einem Servicenetzwerk verknüpft hat, zahlen Sie für Daten, die von Ihrer VPC zu und von Ressourcen im Servicenetzwerk übertragen werden. Weitere Informationen finden Sie unter Amazon VPC Lattice Pricing.