¿Qué es Amazon VPC Lattice? - Amazon VPC Lattice

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué es Amazon VPC Lattice?

Amazon VPC Lattice es un servicio de redes de aplicaciones totalmente gestionado que se utiliza para conectar, proteger y supervisar los servicios y recursos de su aplicación. Puede usar VPC Lattice con una única nube privada virtual (VPC) o en varias VPCs de una o más cuentas.

Las aplicaciones modernas pueden constar de varios componentes pequeños y modulares que suelen denominarse microservicios, como una API HTTP, recursos, como bases de datos, y recursos personalizados compuestos por puntos finales de direcciones IP y DNS. Si bien la modernización tiene sus ventajas, también puede introducir complejidades y desafíos en la red al conectar estos microservicios y recursos. Por ejemplo, si los desarrolladores están repartidos en diferentes equipos, podrían crear e implementar microservicios y recursos en varias cuentas o. VPCs

En VPC Lattice, nos referimos a un microservicio como un servicio y representamos un recurso solo como una configuración de recursos. Estos son los términos que aparecen en la guía del usuario de VPC Lattice.

Componentes principales

Para utilizar Amazon VPC Lattice, debe estar familiarizado con sus componentes principales.

Servicio

Una unidad de software que se puede implementar de forma independiente y que ofrece una tarea o función específica. Un servicio puede ejecutarse en EC2 instancias o ECS/EKS/Fargate contenedores, o como funciones Lambda, dentro de una cuenta o una nube privada virtual (VPC). Un servicio de VPC Lattice tiene los siguientes componentes: grupos de destino, oyentes y reglas.

Un servicio con un oyente y dos grupos de destino.
Grupo de destino

Conjunto de recursos, también conocidos como destinos, que ejecutan la aplicación o el servicio. Son similares a los grupos de destino que proporciona Elastic Load Balancing, pero no son intercambiables. Los tipos de destino compatibles incluyen EC2 instancias, direcciones IP, funciones Lambda, balanceadores de carga de aplicaciones, tareas de Amazon ECS y pods de Kubernetes.

Oyente

Proceso que comprueba las solicitudes de conexión y las enruta a los destinos de un grupo de destino. El listener se configura con un protocolo y un número de puerto.

Regla

Componente predeterminado de un oyente que reenvía las solicitudes a los destinos de un grupo de destino de VPC Lattice. Cada regla consta de una prioridad, una o más acciones y una o más condiciones. Las reglas determinan la forma en que el oyente enruta las solicitudes de clientes.

Recurso

Un recurso es una entidad como una base de datos del Amazon Relational Database Service (Amazon RDS), una instancia de EC2 Amazon, un punto final de aplicación, un destino de nombre de dominio o una dirección IP. Para compartir un recurso en su VPC, cree un recurso compartido en AWS Resource Access Manager (AWS RAM), cree una puerta de enlace de recursos y defina una configuración de recursos.

Puerta de enlace de recursos

Una puerta de enlace de recursos es un punto de entrada a la VPC en la que residen los recursos.

Configuración de recursos

Una configuración de recursos es un objeto lógico que representa un único recurso o un grupo de recursos. Un recurso puede ser una dirección IP, un destino de nombre de dominio o una base de datos de Amazon RDS.

Red de servicios

Límite lógico para un conjunto de configuraciones de servicios y recursos. Un cliente puede estar en una VPC asociada a la red de servicio. Los clientes y los servicios que están asociados a la misma red de servicios pueden comunicarse entre sí si están autorizados a hacerlo.

En la siguiente figura, los clientes pueden comunicarse con ambos servicios, ya que la VPC y los servicios están asociados a la misma red de servicios.

Una red de servicios con servidores y clientes.
Directorio de servicios

Un registro central de todos los servicios de VPC Lattice que posees o a través de los cuales compartes con tu cuenta. AWS RAM

Políticas de autorización

Políticas de autorización detalladas que se pueden utilizar para definir el acceso a los servicios. Puede asociar políticas de autorización independientes a los servicios individuales o a la red de servicios. Por ejemplo, puedes crear una política sobre cómo un servicio de pago que se ejecuta en un grupo de EC2 instancias con escalado automático debe interactuar con un servicio de facturación que se ejecuta en él AWS Lambda.

Las políticas de autenticación no se admiten en las configuraciones de recursos. Las políticas de autenticación de una red de servicios no se aplican a las configuraciones de recursos de la red de servicios.

Funciones y responsabilidades

Un rol determina quién es responsable de la configuración y el flujo de información dentro de Amazon VPC Lattice. Por lo general, hay dos roles: propietario de la red de servicios y propietario del servicio, y sus responsabilidades pueden superponerse.

Propietario de la red de servicios: el propietario de la red de servicios suele ser el administrador de la red o el administrador de la nube de una organización. Los propietarios de la red de servicios crean, comparten y aprovisionan la red de servicios. También administran quién puede acceder a la red o los servicios dentro de VPC Lattice. El propietario de la red de servicio puede definir una configuración de acceso detallada para los servicios asociados a la red de servicios. Estos controles se utilizan para administrar la comunicación entre los clientes y los servicios mediante políticas de autenticación y autorización. El propietario de la red de servicio también puede asociar una configuración de servicio o recurso a una o varias redes de servicio, si la configuración del servicio o recurso se comparte con la cuenta del propietario de la red de servicio.

Rol y responsabilidad del propietario de la red de servicios

Propietario del servicio: el propietario del servicio suele ser un desarrollador de software de una organización. Los propietarios de servicios crean servicios dentro de VPC Lattice, definen las reglas de enrutamiento y también asocian los servicios a la red de servicios. También pueden definir una configuración de acceso detallada, que puede restringir el acceso únicamente a los servicios y clientes autenticados y autorizados.

Rol y responsabilidad del propietario del servicio

Propietario del recurso: el propietario del recurso suele ser un desarrollador de software en una organización y actúa como administrador de un recurso, como una base de datos. El propietario del recurso crea una configuración de recursos para el recurso, define los ajustes de acceso para la configuración del recurso y asocia la configuración del recurso a las redes de servicio.

Función y responsabilidad del propietario del recurso

Características

Las siguientes son las características principales que ofrece VPC Lattice.

Detección de servicios

Todos los clientes y servicios VPCs asociados a la red de servicios pueden comunicarse con otros servicios dentro de la misma red de servicios. Direcciones de DNS client-to-service y service-to-service tráfico a través del punto final de VPC Lattice. Cuando un cliente quiere enviar una solicitud a un servicio, utiliza el nombre de DNS del servicio. El solucionador de Route 53 envía el tráfico a VPC Lattice, que luego identifica el servicio de destino.

Conectividad

Client-to-service y la client-to-resource conectividad se establece dentro de la infraestructura de AWS red. Al asociar una VPC a la red de servicio, cualquier cliente de la VPC puede conectarse con los servicios y recursos (mediante configuraciones de recursos) de la red de servicios, si tiene el acceso necesario.

Acceso local

Puede habilitar la conectividad a una red de servicio desde una VPC mediante un punto final de VPC (con tecnología). AWS PrivateLink Un punto final de VPC de tipo red de servicio le permite habilitar el acceso a los servicios y recursos de la red de servicios desde redes locales a través de Direct Connect y VPN. Tráfico que atraviesa el emparejamiento de VPC AWS Transit Gateway o que también puede acceder a los recursos y servicios a través de un punto final de VPC.

Observabilidad

VPC Lattice genera métricas y registros para cada solicitud y respuesta que atraviesa la red de servicios, para ayudarlo a monitorear y solucionar problemas de las aplicaciones. De forma predeterminada, las métricas se publican en la cuenta del propietario del servicio. Los propietarios de los servicios y los propietarios de los recursos tienen la opción de activar el registro y recibir los registros de todos los clientes access/requests to their services and resources. Service network owners can also turn on logging on the service network, to log all access/requests de los servicios y recursos de los clientes VPCs que están conectados a la red de servicios.

VPC Lattice funciona con las siguientes herramientas para ayudarle a supervisar sus servicios y solucionar sus problemas: Amazon CloudWatch grupos de registros, transmisiones de entrega de Firehose y buckets de Amazon S3.

Seguridad

VPC Lattice proporciona un marco que puede utilizar para implementar una estrategia de defensa en varios niveles de la red. La primera capa es la combinación de servicio, configuración de recursos, asociación de VPC y punto final de VPC de tipo red de servicio. Sin una VPC y una asociación de servicios o un punto final de VPC de tipo red de servicio, los clientes no pueden acceder a los servicios. Del mismo modo, sin una VPC y una configuración de recursos y una asociación de servicios o un punto final de VPC del tipo red de servicio, los clientes no pueden acceder a los recursos.

La segunda capa permite a los usuarios asociar grupos de seguridad a la asociación entre la VPC y la red de servicios. La tercera y cuarta capa son políticas de autorización que se pueden aplicar individualmente a nivel de red de servicios y a nivel de servicio.

Acceso a VPC Lattice

Puede crear, acceder y administrar VPC Lattice con cualquiera de las siguientes interfaces:

  • AWS Management Console: proporciona una interfaz web que puede utilizar para acceder a VPC Lattice.

  • AWS Command Line Interface (AWS CLI): proporciona comandos para un amplio conjunto de AWS servicios, incluido VPC Lattice. AWS CLI Es compatible con Windows, macOS y Linux. Para obtener más información acerca de la CLI, consulte AWS Command Line Interface. Para obtener más información sobre la APIs, consulte la referencia de la API Amazon VPC Lattice.

  • Controlador de VPC Lattice para Kubernetes: administra los recursos de VPC Lattice para un clúster de Kubernetes. Para obtener más información sobre el uso de VPC Lattice con Kubernetes, consulte la Guía del usuario del controlador de AWS Gateway API.

  • AWS CloudFormation: lo ayuda a diseñar y configurar sus recursos de AWS . Para obtener más información, consulte la referencia del tipo de recurso de Amazon VPC Lattice.

Precios

Con VPC Lattice, paga por el tiempo que se aprovisiona un servicio, la cantidad de datos transferidos a través de cada servicio y el número de solicitudes. Como propietario de un recurso, usted paga por los datos transferidos desde y hacia cada recurso. Como propietario de una red de servicios, paga por hora las configuraciones de recursos asociadas a su red de servicios. Como consumidor que tiene una VPC asociada a una red de servicio, usted paga por los datos transferidos desde y hacia los recursos de la red de servicio desde su VPC. Para obtener más información, consulte Precios de Amazon VPC Lattice.