Qu'est-ce qu'Amazon VPC Lattice ? - Amazon VPC Lattice
Composants clésRôles et responsabilitésFonctionnalitésAccès à VPC LatticeTarification

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Qu'est-ce qu'Amazon VPC Lattice ?

Amazon VPC Lattice est un service de mise en réseau d'applications entièrement géré que vous utilisez pour connecter, sécuriser et surveiller les services de votre application. Vous pouvez utiliser VPC Lattice avec un seul cloud privé virtuel (VPC) ou sur plusieurs VPC à partir d'un ou de plusieurs comptes.

Les applications modernes peuvent consister en plusieurs petits services modulaires, souvent appelés microservices. Bien que la modernisation présente des avantages, elle peut également introduire des complexités et des défis en matière de réseau lorsque vous connectez ces microservices. Par exemple, si les développeurs sont répartis dans différentes équipes, ils peuvent créer et déployer des microservices sur plusieurs comptes ou VPC.

Dans VPC Lattice, nous faisons référence à un microservice en tant que service. C'est le libellé que vous voyez dans la documentation de VPC Lattice.

Table des matières

Composants clés

Pour utiliser Amazon VPC Lattice, vous devez connaître ses principaux composants.

Service

Unité logicielle déployable indépendamment qui exécute une tâche ou une fonction spécifique. Un service peut être exécuté sur des instances EC2 ou des conteneurs ECS, ou en tant que fonctions Lambda, au sein d'un compte ou d'un cloud privé virtuel (VPC). Un service VPC Lattice comporte les composants suivants : groupes cibles, auditeurs et règles.

Un service avec un auditeur et deux groupes cibles.
Groupe cible

Ensemble de ressources, également appelées cibles, qui exécutent votre application ou votre service. Les cibles peuvent être des instances EC2, des adresses IP, des fonctions Lambda, des équilibreurs de charge d'application ou des pods Kubernetes. Ils sont similaires aux groupes cibles fournis par Elastic Load Balancing, mais ils ne sont pas interchangeables.

Listener

Processus qui vérifie les demandes de connexion et les achemine vers les cibles d'un groupe cible. Vous configurez un écouteur avec un protocole et un numéro de port.

Règle

Composant par défaut d'un écouteur qui transmet les demandes aux cibles d'un groupe cible VPC Lattice. Chaque règle comprend une priorité, une ou plusieurs actions et une ou plusieurs conditions. Les règles déterminent la manière dont l'écouteur achemine les demandes des clients.

Réseau de services

Une limite logique pour un ensemble de services. Un client est une ressource déployée dans un VPC associée au réseau de services. Les clients et les services associés au même réseau de services peuvent communiquer entre eux s'ils y sont autorisés.

Dans la figure suivante, les clients peuvent communiquer avec les deux services, car le VPC et les services sont associés au même réseau de services.

Un réseau de services avec des serveurs et des clients.
Répertoire des services

Un registre central de tous les services VPC Lattice que vous possédez ou que vous partagez avec votre compte via AWS Resource Access Manager ().AWS RAM

Politiques d'authentification

Politiques d'autorisation précises qui peuvent être utilisées pour définir l'accès aux services. Vous pouvez associer des politiques d'authentification distinctes à des services individuels ou au réseau de services. Par exemple, vous pouvez créer une politique concernant la manière dont un service de paiement exécuté sur un groupe d'instances EC2 à dimensionnement automatique doit interagir avec un service de facturation intégré. AWS Lambda

Rôles et responsabilités

Un rôle détermine qui est responsable de la configuration et du flux d'informations au sein d'Amazon VPC Lattice. Il existe généralement deux rôles, celui de propriétaire du réseau de services et celui de propriétaire du service, et leurs responsabilités peuvent se chevaucher.

Propriétaire du réseau de services : le propriétaire du réseau de services est généralement l'administrateur réseau ou l'administrateur cloud d'une organisation. Les propriétaires de réseaux de services créent, partagent et fournissent le réseau de service. Ils gèrent également qui peut accéder au réseau de services ou aux services au sein de VPC Lattice. Le propriétaire du réseau de service peut définir des paramètres d'accès grossiers pour les services associés au réseau de service. Ces contrôles sont utilisés pour gérer les communications entre les clients et les services à l'aide de politiques d'authentification et d'autorisation. Le propriétaire du réseau de service peut également associer un service au réseau de service, si le service est partagé avec le compte du propriétaire du réseau de service.

Rôle et responsabilité du propriétaire du réseau de services

Propriétaire du service — Le propriétaire du service est généralement un développeur de logiciels au sein d'une organisation. Les propriétaires de services créent des services au sein de VPC Lattice, définissent des règles de routage et associent également des services au réseau de services. Ils peuvent également définir des paramètres d'accès précis, qui peuvent restreindre l'accès aux seuls services et clients authentifiés et autorisés.

Rôle et responsabilité du responsable du service

Fonctionnalités

Voici les principales fonctionnalités fournies par VPC Lattice.

Découverte de service

Tous les clients et services des VPC associés au réseau de services peuvent communiquer avec d'autres services au sein du même réseau de services. Directions DNS client-to-service et service-to-service trafic via le point de terminaison VPC Lattice. Lorsqu'un client souhaite envoyer une demande à un service, il utilise le nom DNS du service. Le résolveur Route 53 envoie le trafic à VPC Lattice, qui identifie ensuite le service de destination.

Connectivité

lient-to-service La connectivité C est établie à l'aide du plan de données VPC Lattice au sein de l' AWS infrastructure réseau. Lorsque vous associez un VPC au réseau de services, tous les clients du VPC peuvent se connecter aux services du réseau de services, s'ils disposent de l'accès requis.

Observabilité

VPC Lattice génère des métriques et des journaux pour chaque demande et réponse traversant le réseau de services, afin de vous aider à surveiller et à dépanner les applications. Par défaut, VPC Lattice publie les métriques dans le compte du propriétaire du service et vous donne la possibilité d'activer la journalisation. Si les clients sont également associés au même réseau de service, le propriétaire du réseau de service reçoit les journaux de tous les services associés au réseau de service. Le propriétaire du service reçoit les journaux de tous les clients qui font des demandes à son service.

VPC Lattice utilise les outils suivants pour vous aider à surveiller et à dépanner vos services : CloudWatch groupes de journaux, flux de diffusion Firehose et compartiments S3.

Sécurité

VPC Lattice fournit un cadre que vous pouvez utiliser pour mettre en œuvre une stratégie de défense sur plusieurs couches du réseau. La première couche est l'association entre le service et le VPC. Sans association de VPC et de service, les clients ne peuvent pas accéder au service. La deuxième couche permet aux utilisateurs d'associer des groupes de sécurité à l'association entre le VPC et le réseau de services. Les troisième et quatrième couches sont des politiques d'authentification qui peuvent être appliquées individuellement au niveau du réseau de service et au niveau du service.

Accès à VPC Lattice

Vous pouvez créer, accéder et gérer VPC Lattice à l'aide de l'une des interfaces suivantes :

Tarification

Avec VPC Lattice, vous payez en fonction de la durée de mise en service d'un service, de la quantité de données transférée via chaque service et du nombre de demandes. Pour plus d'informations, consultez la section Tarification d'Amazon VPC Lattice.