Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
¿Qué es Amazon VPC Lattice?
Amazon VPC Lattice es un servicio de redes de aplicaciones totalmente gestionado que se utiliza para conectar, proteger y supervisar los servicios y recursos de su aplicación. Puede usar VPC Lattice con una única nube privada virtual (VPC) o en varias VPCs de una o más cuentas.
Las aplicaciones modernas pueden constar de varios componentes pequeños y modulares que suelen denominarse microservicios, como una API HTTP, recursos, como bases de datos, y recursos personalizados compuestos por puntos finales de direcciones IP y DNS. Si bien la modernización tiene sus ventajas, también puede introducir complejidades y desafíos en la red al conectar estos microservicios y recursos. Por ejemplo, si los desarrolladores están repartidos en diferentes equipos, podrían crear e implementar microservicios y recursos en varias cuentas o. VPCs
En VPC Lattice, nos referimos a un microservicio como un servicio y representamos un recurso solo como una configuración de recursos. Estos son los términos que aparecen en la guía del usuario de VPC Lattice.
Contenido
Componentes principales
Para utilizar Amazon VPC Lattice, debe estar familiarizado con sus componentes principales.
- Servicio
-
Una unidad de software que se puede implementar de forma independiente y que ofrece una tarea o función específica. Un servicio puede ejecutarse en EC2 instancias o ECS/EKS/Fargate contenedores, o como funciones Lambda, dentro de una cuenta o una nube privada virtual (VPC). Un servicio de VPC Lattice tiene los siguientes componentes: grupos de destino, oyentes y reglas.
- Grupo de destino
-
Conjunto de recursos, también conocidos como destinos, que ejecutan la aplicación o el servicio. Son similares a los grupos de destino que proporciona Elastic Load Balancing, pero no son intercambiables. Los tipos de destino compatibles incluyen EC2 instancias, direcciones IP, funciones Lambda, balanceadores de carga de aplicaciones, tareas de Amazon ECS y pods de Kubernetes.
- Oyente
-
Proceso que comprueba las solicitudes de conexión y las enruta a los destinos de un grupo de destino. El listener se configura con un protocolo y un número de puerto.
- Regla
-
Componente predeterminado de un oyente que reenvía las solicitudes a los destinos de un grupo de destino de VPC Lattice. Cada regla consta de una prioridad, una o más acciones y una o más condiciones. Las reglas determinan la forma en que el oyente enruta las solicitudes de clientes.
- Recurso
-
Un recurso es una entidad como una base de datos del Amazon Relational Database Service (Amazon RDS), una instancia de EC2 Amazon, un punto final de aplicación, un destino de nombre de dominio o una dirección IP. Para compartir un recurso en su VPC, cree un recurso compartido en AWS Resource Access Manager (AWS RAM), cree una puerta de enlace de recursos y defina una configuración de recursos.
- Puerta de enlace de recursos
-
Una puerta de enlace de recursos es un punto de entrada a la VPC en la que residen los recursos.
- Configuración de recursos
-
Una configuración de recursos es un objeto lógico que representa un único recurso o un grupo de recursos. Un recurso puede ser una dirección IP, un destino de nombre de dominio o una base de datos de Amazon RDS.
- Red de servicios
-
Límite lógico para un conjunto de configuraciones de servicios y recursos. Un cliente puede estar en una VPC asociada a la red de servicio. Los clientes y los servicios que están asociados a la misma red de servicios pueden comunicarse entre sí si están autorizados a hacerlo.
En la siguiente figura, los clientes pueden comunicarse con ambos servicios, ya que la VPC y los servicios están asociados a la misma red de servicios.
- Directorio de servicios
-
Un registro central de todos los servicios de VPC Lattice que posees o a través de los cuales compartes con tu cuenta. AWS RAM
- Políticas de autorización
-
Políticas de autorización detalladas que se pueden utilizar para definir el acceso a los servicios. Puede asociar políticas de autorización independientes a los servicios individuales o a la red de servicios. Por ejemplo, puedes crear una política sobre cómo un servicio de pago que se ejecuta en un grupo de EC2 instancias con escalado automático debe interactuar con un servicio de facturación que se ejecuta en él AWS Lambda.
Las políticas de autenticación no se admiten en las configuraciones de recursos. Las políticas de autenticación de una red de servicios no se aplican a las configuraciones de recursos de la red de servicios.
Funciones y responsabilidades
Un rol determina quién es responsable de la configuración y el flujo de información dentro de Amazon VPC Lattice. Por lo general, hay dos roles: propietario de la red de servicios y propietario del servicio, y sus responsabilidades pueden superponerse.
Propietario de la red de servicios: el propietario de la red de servicios suele ser el administrador de la red o el administrador de la nube de una organización. Los propietarios de la red de servicios crean, comparten y aprovisionan la red de servicios. También administran quién puede acceder a la red o los servicios dentro de VPC Lattice. El propietario de la red de servicio puede definir una configuración de acceso detallada para los servicios asociados a la red de servicios. Estos controles se utilizan para administrar la comunicación entre los clientes y los servicios mediante políticas de autenticación y autorización. El propietario de la red de servicio también puede asociar una configuración de servicio o recurso a una o varias redes de servicio, si la configuración del servicio o recurso se comparte con la cuenta del propietario de la red de servicio.
Propietario del servicio: el propietario del servicio suele ser un desarrollador de software de una organización. Los propietarios de servicios crean servicios dentro de VPC Lattice, definen las reglas de enrutamiento y también asocian los servicios a la red de servicios. También pueden definir una configuración de acceso detallada, que puede restringir el acceso únicamente a los servicios y clientes autenticados y autorizados.
Propietario del recurso: el propietario del recurso suele ser un desarrollador de software en una organización y actúa como administrador de un recurso, como una base de datos. El propietario del recurso crea una configuración de recursos para el recurso, define los ajustes de acceso para la configuración del recurso y asocia la configuración del recurso a las redes de servicio.
Características
Las siguientes son las características principales que ofrece VPC Lattice.
- Detección de servicios
-
Todos los clientes y servicios VPCs asociados a la red de servicios pueden comunicarse con otros servicios dentro de la misma red de servicios. Direcciones de DNS client-to-service y service-to-service tráfico a través del punto final de VPC Lattice. Cuando un cliente quiere enviar una solicitud a un servicio, utiliza el nombre de DNS del servicio. El solucionador de Route 53 envía el tráfico a VPC Lattice, que luego identifica el servicio de destino.
- Conectividad
-
Client-to-service y la client-to-resource conectividad se establece dentro de la infraestructura de AWS red. Al asociar una VPC a la red de servicio, cualquier cliente de la VPC puede conectarse con los servicios y recursos (mediante configuraciones de recursos) de la red de servicios, si tiene el acceso necesario. VPC Lattice admite la tecnología CIDR superpuesta.
- Acceso local
-
Puede habilitar la conectividad a una red de servicio desde una VPC mediante un punto final de VPC (con tecnología). AWS PrivateLink Un punto final de VPC de tipo red de servicio le permite habilitar el acceso a los servicios y recursos de la red de servicios desde redes locales a través de Direct Connect y VPN. El tráfico que atraviesa el emparejamiento de VPC AWS Transit Gateway o que también puede acceder a los recursos y servicios a través de un punto final de VPC.
- Observabilidad
-
VPC Lattice genera métricas y registros para cada solicitud y respuesta que atraviesa la red de servicios, para ayudarlo a monitorear y solucionar problemas de las aplicaciones. De forma predeterminada, las métricas se publican en la cuenta del propietario del servicio. Los propietarios de los servicios y los propietarios de los recursos tienen la opción de activar el registro y recibir los registros de todos los clientes access/requests to their services and resources. Service network owners can also turn on logging on the service network, to log all access/requests de los servicios y recursos de los clientes VPCs que están conectados a la red de servicios.
VPC Lattice funciona con las siguientes herramientas para ayudarle a supervisar sus servicios y solucionar sus problemas: Amazon CloudWatch grupos de registros, transmisiones de entrega de Firehose y buckets de Amazon S3.
- Seguridad
-
VPC Lattice proporciona un marco que puede utilizar para implementar una estrategia de defensa en varios niveles de la red. La primera capa es la combinación de servicio, configuración de recursos, asociación de VPC y punto final de VPC de tipo red de servicio. Sin una VPC y una asociación de servicios o un punto final de VPC de tipo red de servicio, los clientes no pueden acceder a los servicios. Del mismo modo, sin una VPC y una configuración de recursos y una asociación de servicios o un punto final de VPC de tipo red de servicio, los clientes no pueden acceder a los recursos.
La segunda capa permite a los usuarios asociar grupos de seguridad a la asociación entre la VPC y la red de servicios. La tercera y cuarta capa son políticas de autorización que se pueden aplicar individualmente a nivel de red de servicios y a nivel de servicio.
Acceso a VPC Lattice
Puede crear, acceder y administrar VPC Lattice con cualquiera de las siguientes interfaces:
-
AWS Management Console: proporciona una interfaz web que puede utilizar para acceder a VPC Lattice.
-
AWS Command Line Interface (AWS CLI): proporciona comandos para un amplio conjunto de AWS servicios, incluido VPC Lattice. AWS CLI Es compatible con Windows, macOS y Linux. Para obtener más información acerca de la CLI, consulte AWS Command Line Interface
. Para obtener más información sobre la APIs, consulte la referencia de la API Amazon VPC Lattice. -
Controlador de VPC Lattice para Kubernetes: administra los recursos de VPC Lattice para un clúster de Kubernetes. Para obtener más información sobre el uso de VPC Lattice con Kubernetes, consulte la Guía del usuario del controlador de AWS Gateway API
. -
AWS CloudFormation: lo ayuda a diseñar y configurar sus recursos de AWS . Para obtener más información, consulte la referencia del tipo de recurso de Amazon VPC Lattice.
Puntos finales del servicio VPC Lattice
Un punto final es una URL que sirve como punto de entrada para un AWS servicio web. VPC Lattice admite los siguientes tipos de puntos finales:
-
Puntos finales de Dualstack (compatibles con y) IPv4 IPv6
Al realizar una solicitud, puede especificar el punto de conexión que se va a utilizar. Si no especifica un punto final, se usa el IPv4 punto final de forma predeterminada. Para utilizar un tipo de punto de conexión diferente, debe especificarlo en la solicitud. Para ver ejemplos prácticos, consulte Especificación de puntos de conexión. Para ver una tabla de los puntos de enlace disponibles, consulte los puntos de enlace de Amazon VPC Lattice.
IPv4 puntos de enlace
IPv4 los puntos finales solo admiten IPv4 tráfico. IPv4 los puntos finales están disponibles en todas las regiones.
Si especifica el punto de conexión general vpc-lattice.amazonaws.com, utilizamos el punto de conexión para us-east-1. Para utilizar una región diferente, especifique su punto de conexión asociado. Por ejemplo, si especifica vpc-lattice.us-east-2.amazonaws.com como punto de conexión, dirigimos su solicitud al punto de conexión us-east-2.
IPv4 los nombres de los puntos finales utilizan la siguiente convención de nomenclatura:
-
vpc-lattice.region.amazonaws.com
Por ejemplo, el nombre del IPv4 punto final de la eu-west-1 región esvpc-lattice.eu-west-1.amazonaws.com.
Puntos finales de Dualstack (IPv4 y IPv6)
Los puntos finales de Dualstack admiten tanto el tráfico como el tráfico. IPv4 IPv6 Los puntos de conexión de Dualstack están disponibles para todas las regiones. Al realizar una solicitud a un punto final de doble pila, la URL del punto final pasa a ser una IPv6 o una IPv4 dirección, según el protocolo utilizado por la red y el cliente.
Los nombres de puntos de conexión de doble pila utilizan la siguiente convención de nomenclatura:
-
vpc-lattice.region.api.aws
Por ejemplo, el nombre del punto de conexión de doble pila para la región eu-west-1 es vpc-lattice.eu-west-1.api.aws.
Especificación de puntos de conexión
En los siguientes ejemplos se muestra cómo especificar un punto final para la us-east-2 región mediante el AWS CLI comando for. vpc-lattice
-
IPv4
aws vpc-lattice get-service --service-identifier svc-0285b53b2eEXAMPLE --region us-east-2 --endpoint-url https://vpc-lattice.us-east-2.amazonaws.com -
Pila doble
aws vpc-lattice get-service --service-identifier svc-0285b53b2eEXAMPLE --region us-east-2 --endpoint-url https://vpc-lattice.us-east-2.api.aws
Precios
Con VPC Lattice, paga por el tiempo que se aprovisiona un servicio, la cantidad de datos transferidos a través de cada servicio y el número de solicitudes. Como propietario de un recurso, usted paga por los datos transferidos desde y hacia cada recurso. Como propietario de una red de servicios, paga por hora las configuraciones de recursos asociadas a su red de servicios. Como consumidor que tiene una VPC asociada a una red de servicio, usted paga por los datos transferidos desde y hacia los recursos de la red de servicio desde su VPC. Para obtener más información, consulte Precios de Amazon VPC Lattice
