[SEO 副标题]
本指南演示了在多账户环境中使用自定义域名创建 Amazon VPC Lattice 服务时,创建所需的 DNS 解析的自动化方法。该方法根据 Amazon VPC Lattice 服务的创建和删除操作,通过自动设置 Amazon Route 53 DNS,简化了配置流程,从而减少了大规模创建资源的运营工作。通过允许应用程序透明地访问所需的 DNS 解析,您可以获益于跨多个 AWS 账户连接服务的简化方法。
注意:[免责声明]
架构图
[架构图描述]
步骤 1
当新分支账户部署自动化资源时,Amazon EventBridge 规则会检查系统是否已使用正确标签创建新的 Amazon Simple Notification Service(Amazon SNS)主题。
步骤 4
新 VPC Lattice 服务 EventBridge 规则会检查 Amazon VPC Lattice 中是否存在正确标签。
步骤 5
调用 VPC Lattice 服务信息 Lambda 函数来获取 Amazon VPC Lattice 的 DNS 信息,并将该信息发布到分支账户中的 SNS 主题。
步骤 6
分支账户中的 SNS 主题通过 Amazon SQS 队列将 Amazon VPC Lattice DNS 信息发送到联网账户。
步骤 7
到达 Amazon SQS 队列的消息将调用创建/更新别名记录 Lambda 函数。
步骤 8
未成功处理的消息会存储在 Amazon SQS 死信队列(DLQ)中进行监控。
步骤 9
创建/更新别名记录 Lambda 函数将在 Amazon Route 53 私有托管区中创建或更新相应的别名记录。
步骤 10
使用 AWS Systems Manager 和 AWS Resource Access Manager(AWS RAM)进行参数存储和跨账户数据共享。
步骤 1
当新分支账户部署自动化资源时,Amazon EventBridge 规则会检查系统是否已使用正确标签创建新的 Amazon Simple Notification Service(Amazon SNS)主题。
步骤 4
新 VPC Lattice 服务 EventBridge 规则会检查 Amazon VPC Lattice 中是否存在正确标签。
步骤 5
调用 VPC Lattice 服务信息 Lambda 函数来获取 Amazon VPC Lattice 的 DNS 信息,并将该信息发布到分支账户中的 SNS 主题。
步骤 6
分支账户中的 SNS 主题通过 Amazon SQS 队列将 Amazon VPC Lattice DNS 信息发送到联网账户。
步骤 7
到达 Amazon SQS 队列的消息将调用创建/更新别名记录 Lambda 函数。
步骤 8
未成功处理的消息会存储在 Amazon SQS 死信队列(DLQ)中进行监控。
步骤 9
创建/更新别名记录 Lambda 函数将在 Amazon Route 53 私有托管区中创建或更新相应的别名记录。
步骤 10
使用 AWS Systems Manager 和 AWS Resource Access Manager(AWS RAM)进行参数存储和跨账户数据共享。
Well-Architected 支柱
当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。
上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。
-
卓越运营阅读“卓越运营”白皮书
EventBridge 会自动执行 Amazon VPC Lattice 创建流程,调用 Lambda 函数来检索 DNS 信息,并将其发送到 Amazon SNS。在拥有 DNS 配置的 AWS 账户中,Amazon SQS 将跨账户订阅 SNS 主题,然后调用 Lambda 函数来自动创建别名记录。这一自动化方式减少了运营开销,为您的消费者服务提供透明的 DNS 解析,尤其在多账户环境和大规模环境中。
-
安全性阅读“安全性”白皮书
通过定义仅向指定账户、组织或资源授予访问权限的资源策略,保护您的 Amazon SQS 和 Amazon SNS 资源。您的 Lambda 函数的 AWS Identity and Access Management(IAM)角色可限制对 EventBridge、Amazon SQS 和 Amazon SNS 等相应资源的访问。
AWS RAM 仅与 AWS 组织内的 AWS 账户安全地共享 SQS 队列和 EventBridge 总线等资源。通过最小权限执行最低权限原则有助于确保对 Amazon VPC Lattice DNS 解析自动化的访问权限仅限于必要的配置资源和相关的 AWS 账户。
-
可靠性阅读“可靠性”白皮书
Amazon SQS 和 Amazon SNS 提供持久的扩展机制,以便可靠地处理 Lambda 和 EventBridge 事件。Amazon SQS 中的 DLQ 会监控和重试未成功处理的消息,以此提高自动化的韧性。Lambda、Amazon SNS 和 Amazon SQS 作为托管服务,可以降低故障可能性,保持 Amazon VPC Lattice DNS 解析自动化处于运行状态,而不会造成停机时间。
-
性能效率阅读“性能效率”白皮书
EventBridge 的实时事件处理功能以及 Lambda 、Amazon SNS 和 Amazon SQS 的区域无服务器特性可提供最佳性能,同时将运营开销降至最低。跨账户设置有助于确保尽可能减少处理时间,从而在创建 Amazon VPC Lattice 服务后立即实现消费者与 Amazon VPC Lattice 服务之间的无缝连接。
-
成本优化阅读“成本优化”白皮书
EventBridge、Lambda、Amazon SNS 和 Amazon SQS 资源仅在创建新 Amazon VPC Lattice 服务时使用,从而避免了长时间运行的流程所带来的不必要成本。这些计算资源遵循无服务器模式,在这种模式下,只有所需的特定操作才需要计算容量,因此可实现经济高效的运营。
-
可持续性阅读“可持续性”白皮书
EventBridge、Lambda、Amazon SNS 和 Amazon SQS 完全托管的特性均基于事件,因此可在短时间内提供高效和低成本性能。使用这些精简的计算服务和实时事件处理可以减少总体资源消耗和环境足迹。
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。
本指南中提及第三方服务或组织并不意味着 Amazon 或 AWS 与第三方之间存在认可、赞助或从属关系。AWS 的指导是一个技术起点,您可以在部署架构时自定义与第三方服务的集成。