VPC 格子的工作原理 - Amazon VPC Lattice

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC 格子的工作原理

VPC 萊迪思旨在幫助您輕鬆有效地發現,保護,連接和監控其中的所有服務。VPC 萊迪思內的每個元件都會根據服務網路與服務網路的關聯及其存取設定,在服務網路內進行單向或雙向通訊。存取設定包含此通訊所需的驗證和授權原則。

以下摘要描述了 VPC 晶格內部組件之間的通信:

  • 與服務網路相關聯的服務可以接收來自 VPC 也與服務網路相關聯的用戶端的要求。

  • 只有當用戶端位於與相同服務網路相關聯的 VPC 中時,才能將要求傳送至與服務網路相關聯的服務。周遊 VPC 對等互連或傳輸閘道的用戶端流量將遭拒。

  • 用戶端無法將要求傳送至與服務網路相關聯的其他 VPC 中的用戶端。

  • VPC 中與服務網路相關聯的服務目標也是用戶端,可以將要求傳送至與服務網路相關聯的其他服務。

  • VPC 中與服務網路無關聯的服務目標不是用戶端,也無法將要求傳送至與服務網路相關聯的其他服務。

下列流程圖使用範例案例來說明 VPC 萊迪思內元件之間的資訊流程和通訊方向。有兩個服務與服務網路相關聯。服務和所有三個 VPC 都是在與服務網路相同的帳戶中建立的。這兩個服務都設定為允許來自服務網路的流量。

VPC 服務網路流程

服務 1 是在 VPC 1 中目標群組 1 註冊的執行個體群組上執行的帳單應用程式。服務 2 是在 VPC 2 中目標群組 2 註冊的一組執行個體上執行的付款應用程式。VPC 3 位於同一帳戶中,並且具有用戶端,但沒有服務。

下列清單依序說明 VPC 萊迪思的典型工作流程。

  1. 建立服務網路

    服務網路擁有者會建立服務網路。

  2. 建立服務

    服務所有者創建各自的服務,服務 1 和服務 2。在建立期間,服務擁有者會新增接聽程式,並定義將要求路由傳送至每個服務的目標群組的規則。

  3. 定義製程

    服務擁有者會為每個服務 (目標群組 1 和目標群組 2) 建立目標群組。他們透過指定執行服務的目標資源 (例如執行個體) 來執行此操作。它們也會指定這些目標所在的 VPC。

    在上圖中,從服務指向目標群組的虛線箭頭代表從每個服務流向其各自目標群組的流量。虛線箭頭代表服務與目標群組之間的通訊方向。

  4. 將服務與服務網路產生關聯

    服務網絡擁有者或服務擁有者將服務與服務網絡聯繫在一起。關聯會顯示為箭頭,並帶有勾選標記指向服務網路的服務網路。當您將服務與服務網路產生關聯時,該服務會被 VPC 中與服務網路相關聯的其他服務和用戶端進行探索。

    服務與服務網路之間的雙向虛線箭頭代表關聯所產生的雙向通訊。從服務網路到服務的虛線箭頭代表接收來自用戶端要求的服務。相反方向的虛線箭頭 (即從服務到服務網路) 代表透過服務網路回應用戶端要求的服務。

  5. 將 VPC 與服務網路建立關聯

    服務網路擁有者將 VPC 1 和 VPC 3 與服務網路相關聯。這些關聯會顯示箭頭,並帶有指向服務網路的核取標記。透過這些關聯,這些 VPC 中的目標會成為用戶端,並且可以向關聯的服務發出要求。VPC 3 和服務網路之間的雙向虛線箭頭代表 VPC 3 中用戶端 (例如執行個體) 與關聯結果的服務網路之間的雙向通訊。同樣地,從目標群組 1 指向服務網路的虛線箭頭代表從屬端向與服務網路相關聯的其他服務發出要求。

    請注意,VPC 2 沒有表示關聯的箭頭或勾選標記。這表示服務網路擁有者或服務擁有者尚未將 VPC 2 與服務網路相關聯。這是因為在此範例中,Service 2 只需要使用相同的要求接收要求並傳送回應。換句話說,服務 2 的目標不是用戶端,也不需要向服務網路中的其他服務發出要求。