Perguntas frequentes do Amazon VPC Lattice

O Amazon VPC Lattice é um serviço de rede de aplicações que oferece uma forma consistente de conectar, proteger e monitorar a comunicação de serviço a serviço e de serviço a recurso sem qualquer experiência prévia com redes. Com o VPC Lattice, é possível configurar acesso à rede, gerenciamento de tráfego e monitoramento de rede para permitir a comunicação de serviço a serviço e de serviço a recurso de forma consistente entre VPC e contas, independentemente do tipo de computação subjacente.

O VPC Lattice ajuda a abordar os seguintes casos de uso:

Conectar serviços e recursos em grande escala: conecte milhares de serviços e recursos em VPC e contas sem aumentar a complexidade da rede.

Aplicar permissões de acesso granulares: aprimore a segurança de serviço a serviço e de serviço a recurso, oferecendo suporte a arquiteturas de confiança zero com controles centralizados de acesso, autenticação e autorização específica do contexto.

Implementar controles de tráfego avançados: aplique controles de tráfego granulares, como roteamento em nível de solicitação e destinos ponderados para implantações azul/verde e canário.

Observar interações de serviço a serviço e de serviço a recurso: monitore e solucione problemas de comunicação de serviço a serviço e de serviço a recurso para tipo de solicitação, volume de tráfego, erros, tempo de resposta, dentre outros.

O VPC Lattice ajuda a conectar desenvolvedores e administradores de nuvem, fornecendo recursos e funcionalidades específicas do perfil. O VPC Lattice atrairá desenvolvedores que não querem aprender e executar tarefas comuns de infraestrutura e rede necessárias para colocar aplicações modernas em funcionamento rapidamente. Os desenvolvedores devem ser capazes de se concentrar em criar aplicações, não redes. O VPC Lattice também atrairá administradores de nuvem e rede que queiram melhorar o procedimento de segurança de sua organização, permitindo autenticação, autorização e criptografia de modo consistente em ambientes de computação mistos (instâncias, contêineres, tecnologia sem servidor) e em VPCs e contas.

Você pode usar o VPC Lattice para criar redes lógicas de aplicações chamadas de redes de serviço, que permitem a comunicação de serviço a serviço e de serviço a recurso entre nuvens privadas virtuais (VPC) e limites de conta, abstraindo a complexidade da rede. Ele oferece conectividade por meio dos protocolos HTTP/HTTPS, gRPC e TCP por meio de um plano de dados dedicado dentro do VPC Lattice. Esse plano de dados é exposto por meio de endpoints locais de link que podem ser acessados somente de dentro da sua VPC e endpoints da VPC do tipo rede de serviços que podem ser acessados de dentro e fora da sua VPC.

Os administradores podem usar o AWS Resource Access Manager (AWS RAM) para controlar quais contas e VPCs poderão estabelecer comunicação por meio de uma rede de serviço. Quando uma VPC é associada a uma rede de serviços, os clientes dentro da VPC podem descobrir e conectar-se automaticamente à coleção de serviços e recursos na rede de serviços. Proprietários de serviços podem usar integrações de computação do VPC Lattice para integrar serviços do Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate e AWS Lambda, além de escolher uma ou mais redes de serviços para associar. Os proprietários de serviços também podem configurar regras avançadas de gerenciamento de tráfego e definir como uma solicitação deve ser processada para oferecer suporte a padrões comuns, como implantações azul/verde e estilo canário. Os proprietários podem compartilhar seus recursos, como bancos de dados do RDS, entre contas e adicioná-los às redes de serviços. Além do gerenciamento de tráfego, os proprietários e administradores de serviços e recursos podem implementar outros controles de acesso aplicando autenticação e autorização por meio da política de autenticação do VPC Lattice. Os administradores podem impor barreiras de proteção no nível da rede de serviço e aplicar controles de acesso refinados a serviços e recursos individuais. O VPC Lattice foi criado para não ser invasivo e funcionar com padrões de arquitetura existentes, permitindo que as equipes de desenvolvimento de sua organização integrem serviços e recursos de maneira incremental e progressiva ao longo do tempo.

O VPC Lattice apresenta seis componentes principais:

Serviço: uma unidade de software implementável de modo independente que fornece uma tarefa ou função específica. O serviço pode residir em qualquer VPC ou conta e pode ser executado em instâncias, contêineres ou computação com tecnologia sem servidor. O serviço consiste em receptores, regras e grupos de destino, semelhantes a um AWS Application Load Balancer.

Diretório de serviço: um registro centralizado de todos os serviços que foram registrados com o VPC Lattice que você criou ou que foram compartilhados com sua conta pelo AWS RAM.

Configuração de recursos: uma configuração de recursos representa um recurso baseado em TCP que reside em uma VPC ou on-premises, como um banco de dados do RDS, um destino de nome de domínio ou um endereço IP. Uma configuração de recursos pode ser compartilhada entre contas. Quando a configuração de recursos é compartilhada com outra conta, ela pode acessar o recurso de forma privada.

Gateway de recursos: um gateway de recursos é um ponto de entrada em uma VPC para tráfego destinado a recursos de TCP compartilhados em uma configuração de recursos.

Rede de serviços: um mecanismo de agrupamento lógico para simplificar o modo como os usuários habilitam a conectividade e aplicam políticas comuns a uma coleção de serviços e recursos. As redes de serviços podem ser compartilhadas entre contas com o AWS RAM e associadas a VPC para habilitar a conectividade a um grupo de serviços e recursos.

Política de autenticação: a política de autenticação é uma política de recursos do AWS Identity and Access Management (IAM) que pode ser associada a uma rede de serviços e a serviços e recursos individuais para definir controles de acesso. A política Auth usa o IAM, e é possível especificar perguntas avançadas no estilo entidade principal-ação-recurso-condição (PARC) para impor a autorização específica do contexto nos serviços do VPC Lattice. Normalmente, uma organização aplica políticas de autenticação detalhadas na rede de serviços, como “somente solicitações autenticadas dentro da ID da minha organização são permitidas”, além de políticas mais granulares no nível de serviço e recurso.

O VPC Lattice está atualmente disponível nas seguintes regiões da AWS: Leste dos EUA (Ohio), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califórnia), África (Cidade do Cabo), Ásia-Pacífico (Mumbai), Ásia-Pacífico (Singapura), Ásia-Pacífico (Sydney), Ásia-Pacífico (Seul), Ásia-Pacífico (Tóquio), Canadá (Central), Europa (Irlanda), Europa (Frankfurt), Europa (Londres), Europa (Londres), Europa (Milão), Europa (Paris), Europa (Estocolmo) e América do Sul (São Paulo).

O Lattice é um recurso da VPC e não exige uma avaliação/contagem separada. Os recursos dos serviços dentro do escopo são considerados “avaliados/cobertos” e também estão declarados em Serviços da AWS no escopo por programa de conformidade. A menos que sejam especificamente excluídos, os recursos geralmente disponíveis de cada um dos serviços são considerados no escopo dos programas de garantia.

Não há cobranças adicionais de transferência de dados entre AZs para o Amazon VPC Lattice. A transferência de dados entre zonas de disponibilidade é coberta pela dimensão de processamento de dados dos preços de serviços do VPC Lattice.

Para monitorar os fluxos de tráfego e a acessibilidade, você pode usar os logs de acesso nos níveis de serviço, recurso e rede de serviços. Para ter total observabilidade de seu ambiente, você também pode visualizar métricas para seus serviços e grupos-alvo do VPC Lattice. Os registros de rede de serviços, serviços e níveis de recursos podem ser exportados para registros do Amazon CloudWatch, Amazon Simple Storage Service (S3) ou Amazon Data Firehose. Além disso, outros recursos de observabilidade da AWS, como o VPC Flow Logs e o AWS X-Ray, podem ser utilizados para rastrear fluxos de rede, interações de serviços e chamadas de API.

Quando um serviço VPC Lattice é criado, um nome de domínio totalmente qualificado (FQDN) é criado em uma zona pública hospedada do Route 53 gerenciada pela AWS. Você pode usar esses nomes DNS nos registros CNAME Alias em suas próprias zonas hospedadas privadas, associadas às VPCs associadas à rede de serviços. É possível especificar um nome de domínio personalizado para resolver nomes de serviços personalizados. Se você especificar um nome de domínio personalizado, deverá configurar o roteamento de DNS após a criação do serviço. Você deve configurar o roteamento de DNS após a criação do serviço. Isso serve para mapear consultas de DNS do nome de domínio personalizado para o endpoint do VPC Lattice. Se você estiver usando o Route 53 como serviço de DNS, poderá configurar um registro de Alias CNAME dentro das suas zonas hospedadas públicas ou privadas do Amazon Route 53. Para HTTPS, você também deve especificar um certificado SSL/TLS que corresponda ao nome de domínio personalizado.

Sim, o Amazon VPC Lattice oferece suporte a HTTPs e também gera um certificado para cada serviço, gerenciado por meio do Amazon Certificate Manager (ACM). Para autenticação no lado do cliente, o Lattice usa o AWS SigV4.

Sim, o Amazon VPC Lattice é um serviço regional altamente disponível e distribuído. Quando você registra um serviço no VPC Lattice, é uma prática recomendada que os destinos sejam distribuídos por várias zonas de disponibilidade. O VPC Lattice Service garantirá que o tráfego seja roteado para destinos íntegros, com base nas regras e condições configuradas.

O Amazon VPC Lattice se integra de forma nativa ao Amazon Elastic Kubernets Service (EKS) e às workloads autogerenciadas do Kubernetes por meio do AWS Gateway API Controller, que é uma implementação da API do Kubernetes Gateway. Isso facilita o registro de serviços existentes ou novos no Lattice e o mapeamento dinâmico de rotas HTTP para recursos do Kubernetes.

Os serviços, recursos, configurações de recursos e redes de serviços do Amazon VPC Lattice são componentes regionais. Se você tiver um ambiente multirregional, poderá ter serviços, recursos, configurações de recursos e redes de serviços em todas as regiões. Para padrões de comunicação entre regiões e on-premises, atualmente você pode contar com os serviços de conectividade global da AWS, como emparelhamento de VPC entre regiões, AWS Transit Gateway, AWS Direct Connect ou AWS Cloud WAN. Consulte este blog, que detalha os padrões de conectividade entre regiões.

Sim, o Amazon VPC Lattice oferece suporte a IPv6 e pode realizar a conversão de endereços de rede entre espaços de endereços IPv4 e IPv6 sobrepostos em serviços e recursos do VPC Lattice em VPC e contas. O Amazon VPC Lattice ajuda você a conectar serviços e recursos de IPv4 e IPv6 com segurança e monitorar fluxos de comunicação, de forma simples e consistente, em vários tipos de computação. Ele fornece interoperabilidade nativa entre serviços e recursos de IP, independentemente do endereçamento IP subjacente, o que pode ajudar a facilitar a adoção de IPv6 em todos os serviços e recursos na AWS. Consulte este blog para obter mais detalhes.

Sim, etiquetas podem ser usadas para automatizar a adição e a remoção de associações de recursos do Amazon VPC Lattice e compartilhamentos de recursos entre contas usando o Amazon EventBridge, o AWS Lambda, o AWS CloudTrail e o AWS Resource Access Manager (AWS RAM). Esses métodos podem ser usados em uma única Organização da AWS ou em várias Contas da AWS, dando suporte a vários casos de uso, como aplicações de fornecedor/cliente. Consulte este blog para obter mais detalhes e exemplos de implementação.

O design da distribuição da sua rede de serviços deve ser mapeado de acordo com a estrutura organizacional e o modelo operacional. Você pode escolher ter uma rede de serviços específica de domínio em toda a organização e configurar as políticas de acesso adequadamente. Ou pode ter uma abordagem mais segmentada às redes de serviços, associando-as a cada um dos seus domínios de roteamento e às unidades de negócios independentes da sua organização.

Sim, serviços e recursos podem ser acessados on-premises usando endpoints da VPC (desenvolvidos pelo AWS PrivateLink). Você pode colocar seus serviços e recursos em uma rede de serviços e criar um endpoint da VPC (do tipo “rede de serviços”) para permitir a conectividade entre esses serviços e recursos on-premises.

Você pode registrar várias redes de serviços em uma VPC usando endpoints da VPC. Você pode criar vários endpoints da VPC do tipo “rede de serviços”, cada um deles conectado a uma rede de serviços diferente.