本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
VPC Lattice 中的服务网络
服务网络是服务集合的逻辑边界。可以授权与网络关联的服务,用于发现、连接、可访问性和可观测性。要向网络中的服务发出请求,您的服务或客户端必须位于与服务网络关联的 VPC 中。
下图显示了 Amazon VPC Lattice 中典型服务网络的关键组件。箭头上的复选标记表示服务和 VPC 与服务网络关联。与服务网络关联的 VPC 中的客户端可以通过服务网络与两个服务通信。
您可以将一个或多个服务与多个服务网络关联。还可以将多个 VPC 与一个服务网络关联。但是每个 VPC 只能与一个服务网络关联。
在下图中,箭头表示服务和服务网络之间的关联,以及 VPC 和服务网络之间的关联。您可以看到,多个服务关联到多个服务网络,且每个服务网络关联到多个 VPC。但图中红色 x 标记表明,每个 VPC 与服务网络的关联不能超过一个。
有关更多信息,请参阅 Amazon VPC Lattice 的配额。
创建服务网络
使用控制台创建服务网络,并可选择为其配置服务、关联、访问设置和访问日志。
要使用控制台创建服务网络
通过 https://console.aws.amazon.com/vpc/
打开 Amazon VPC 控制台。 -
在导航窗格中的 VPC Lattice 下,选择服务网络。
-
选择创建服务网络。
-
对于标识符,输入名称、可选描述和可选标签。名称长度必须介于 3 到 63 个字符之间。您可以使用小写字母、数字和连字符。名称必须以字母或数字开头和结尾。不要使用连续的连字符。描述最多可包含 256 个字符。要添加标签,请选择添加新标签,然后指定标签键和标签值。
-
(可选)要关联服务,请从服务关联和服务中选择服务。该列表包含您账户中的服务,以及从其他账户与您共享的任何服务。如果列表中没有任何服务,您可以选择创建 VPC Lattice 服务来创建服务。
或者,要在创建服务网络后关联服务,请参阅 管理服务关联。
-
(可选)要关联 VPC,请选择添加 VPC 关联。从 VPC 中选择要关联的 VPC,然后从安全组中最多选择 5 个安全组。要创建安全组,请选择创建新安全组。
或者,要在创建服务网络后关联 VPC,请参阅 管理 VPC 关联。
-
对于网络访问,如果您希望关联 VPC 中的客户端访问该服务网络中的服务,则可以保留默认的验证类型无。要应用验证策略来控制对服务的访问,请选择 AWS IAM,然后对验证策略执行以下操作之一:
-
在输入字段中输入策略。对于可以复制和粘贴的示例策略,请选择策略示例。
-
选择应用策略模板,然后选择允许已验证和未验证访问模板。此模板允许来自其他账户的客户端通过签署请求(表示已验证),或以匿名方式(表示未验证)访问服务。
-
选择应用策略模板,然后选择允许仅限已验证访问模板。此模板允许来自其他账户的客户端通过签署请求(表示已验证)访问服务。
-
-
(可选)要开启访问日志,请选择访问日志切换开关,并按如下方式指定访问日志的目标:
-
选择CloudWatch 日志组,然后选择一个 CloudWatch 日志组。要创建日志组,请选择在中创建日志组 CloudWatch。
-
选择 S3 存储桶并输入 S3 存储桶路径,包括任何前缀。要搜索 S3 存储桶,请选择浏览 S3。
-
选择 Kinesis Data Firehose 传输流,然后选择一个传输流。要创建传输流,请选择在 Kinesis 中创建传输流。
-
-
(可选)要与其他账户共享您的服务网络,请从 AWS RAM 资源共享中选择资源共享。要创建资源共享,请选择在 RAM 控制台中创建资源共享。
-
在摘要部分查看您的配置,然后选择创建服务网络。
要使用创建服务网络 AWS CLI
使用 create-service-network 命令。此命令仅创建基本服务网络。要创建功能齐全的服务网络,还必须使用创建服务关联、VPC 关联和访问设置的命令。
删除服务网络
删除服务网络之前,必须先删除该服务网络与任何服务或 VPC 之间的所有关联。删除服务网络时,我们还会删除与服务网络相关的所有资源,例如资源策略、验证策略和访问日志订阅。
要使用控制台删除服务网络
通过 https://console.aws.amazon.com/vpc/
打开 Amazon VPC 控制台。 -
在导航窗格中的 VPC Lattice 下,选择服务网络。
-
选中服务网络的复选框,然后依次选择操作和删除服务网络。
-
提示进行确认时,输入
confirm
,然后选择 Delete(删除)。
要使用删除服务网络 AWS CLI
使用 delete-service-network 命令。