Amazon VPC Lattice Hakkında SSS

Sayfa konuları

Genel

Genel

Amazon VPC Lattice, ağ iletişimi konusunda uzmanlık gerektirmeden hizmetler arasında iletişim kurmanıza, bu iletişimi güvenli hale getirmenize ve izlemenize olanak tanıyan tutarlı bir yöntem sunan ve uygulama katmanında çalışan bir ağ iletişimi hizmetidir. VPC Lattice ile ağ erişimini, trafik yönetimini ve ağ izleme sürecini yapılandırarak hizmetler arasındaki iletişimin temel alınan işlem türünden bağımsız olarak farklı VPC'lerde ve hesaplarda tutarlı bir şekilde çalışmasını sağlayabilirsiniz.

VPC Lattice, aşağıdaki kullanım örneklerinin ele alınmasına yardımcı olur:

Hizmetleri geniş ölçekte bağlayın: Ağın karmaşıklık düzeyini artırmadan farklı VPC'ler ve hesaplarda bulunan binlerce hizmet arasında bağlantı kurun.

Ayrıntılı erişim izinleri uygulayın: Merkezi erişim denetimleri, kimlik doğrulama ve bağlama özgü yetkilendirme desteğiyle hizmetler arasındaki güvenlik ve destek odaklı Sıfır Güven mimarilerini iyileştirin.

Gelişmiş trafik denetimleri uygulayın: Mavi/yeşil ve kanarya dağıtımları için hem talep düzeyinde yönlendirme hem de ağırlıklı hedefler gibi ayrıntılı trafik denetimleri uygulayın.

Hizmetler arasındaki etkileşimleri gözlemleyin: Hizmetler arasındaki iletişimi talep türü, trafik hacmi, hata sayısı ve yanıt süresi gibi birçok farklı ölçüte göre izleyip olası sorunları giderin.

VPC Lattice, role özgü özellikler ve yetenekler sunarak geliştiriciler ile bulut yöneticileri arasındaki mesafenin kapatılmasına yardımcı olur. VPC Lattice, modern uygulamaların kısa sürede kullanıma sunulması için gereken yaygın altyapı ve ağ iletişimi görevlerini öğrenmek ve gerçekleştirmek istemeyen geliştiricilerin ilgisini çekecektir. Geliştiriciler ağ tasarımına değil uygulama tasarımına odaklanabilmelidir. VPC Lattice ayrıca kimlik doğrulaması, yetkilendirme ve şifreleme süreçlerini farklı işlem ortamlarında (bulut sunucuları, container'lar, sunucusuz) ve farklı VPC'ler ile hesaplar arasında tutarlı bir şekilde uygulayarak kuruluşlarının güvenlik duruşunu iyileştirmek isteyen bulut ve ağ yöneticilerinin de ilgisini çekecektir.

VPC Lattice ile hizmetlerin farklı sanal özel bulutlar (VPC) ve hesaplar arasında iletişim kurarak karmaşık ağ yapısını ortadan kaldıran ve hizmet ağı olarak adlandırılan mantıksal uygulama katmanı ağları oluşturabilirsiniz. VPC içindeki özel bir veri düzlemi aracılığıyla HTTP/HTTPS ve gRPC protokolleri üzerinden bağlantı sunar. Bu veri düzlemine yalnızca sizin VPC ortamınızdan erişim sağlanabilen yerel bağlantılı bir uç nokta aracılığıyla erişilebilir.

Yöneticiler, AWS Kaynak Erişim Yöneticisi (AWS RAM) ile hizmet ağı üzerinden iletişim kurabilecek hesapları ve VPC'leri belirleyebilir. Bir hizmet ağıyla ilişkilendirilen VPC'nin içindeki kaynaklar, hizmet ağındaki hizmet koleksiyonunu otomatik olarak keşfeder ve bu hizmetlere otomatik olarak bağlanır. Hizmet sahipleri VPC Lattice işlem entegrasyonlarını kullanarak Amazon Esnek İşlem Bulutu (Amazon EC2), Amazon Esnek Kubernetes Hizmeti (Amazon EKS) ve AWS Lambda ortamlarındaki hizmetlerini ekleyebilir ve bir veya daha fazla hizmet ağına katılabilir. Hizmet sahipleri ayrıca gelişmiş trafik yönetimi kurallarını yapılandırarak mavi/yeşil ve kanarya stili dağıtımları destekleme amacıyla isteklerin nasıl işleneceğini tanımlayabilir. Hizmet sahipleri ve yöneticiler trafik yönetimine ek olarak VPC Lattice kimlik doğrulama politikasıyla kimlik doğrulaması ve yetkilendirme uygulayarak ek erişim denetimlerini uygulamaya alabilir. Yöneticiler, hizmet ağı düzeyinde bütünlük koruması uygulayabilir ve belirli hizmetler için ayrıntılı erişim denetimi sağlayabilir. VPC Lattice, mevcut hizmetlerin çalışmasını etkilemeyecek ve var olan mimari modelleriyle birlikte çalışacak şekilde tasarlanmıştır. Bu sayede kuruluşunuzdaki geliştirme ekipleri geliştirdikleri hizmetleri zaman içinde kademeli olarak dahil edebilir.

VPC Lattice dört temel bileşenden oluşur:

Hizmet: Belirli bir görev veya işlevi yerine getiren ve bağımsız olarak dağıtılabilen yazılım birimidir. Bir hizmet herhangi bir VPC veya hesap altında bulunabilir ve bulut sunucuları, container'lar ya da sunucusuz işlem altyapısı üzerinde çalışabilir. Bir hizmetin içinde, AWS Uygulama Yük Dengeleyici'de olduğu gibi dinleyiciler, kurallar ve hedef grupları bulunur.

Hizmet dizini: Kendi oluşturduğunuz veya AWS RAM üzerinden hesabınızla paylaşılmış, VPC Lattice hizmetine kayıtlı tüm hizmetlerin merkezi kayıt defteridir.

Hizmet ağı: Kullanıcıların birden çok hizmete bağlantı sağlayıp ortak politikaları uygulamasını kolaylaştıran mantıksal gruplama mekanizmasıdır. Hizmet ağları, AWS RAM aracılığıyla farklı hesaplarla paylaşılabilir ve VPC'lerle ilişkilendirilerek bir grup hizmet için bağlantı sağlanabilir.

Kimlik doğrulama politikası: Kimlik doğrulama politikası, erişim denetimleri tanımlamak üzere hem hizmet ağı hem de bağımsız hizmetlerle ilişkilendirebileceğiniz bir AWS Kimlik ve Erişim Yönetimi (IAM) kaynak politikasıdır. Kimlik doğrulama politikası, IAM hizmetini kullanır ve VPC Lattice hizmetlerinizde bağlama özgü yetkilendirme gerçekleştirme amacıyla zengin sorumlu-eylem-kaynak-koşul (PARC) stili sorular belirtebilirsiniz. Genellikle kuruluşlar hizmet ağında daha genel kimlik doğrulaması politikaları uygularken (örneğin, kuruluş kapsamında yalnızca kimliği doğrulanmış isteklere izin verilir) hizmet düzeyinde daha ayrıntılı politikaları tercih eder.

VPC Lattice şu anda şu AWS Bölgelerinde kullanılabilir: ABD Doğu (Ohio), ABD Doğu (K. Virginia), ABD Batı (Oregon), ABD Batı (Kuzey Kaliforniya), Afrika (Cape Town), Asya Pasifik (Mumbai), Asya Pasifik (Singapur), Asya Pasifik (Sidney), Asya Pasifik (Seul), Asya Pasifik (Tokyo), Kanada (Orta), Avrupa (İrlanda), Avrupa (Frankfurt), Avrupa (Londra), Avrupa (Milano), Avrupa (Paris), Avrupa (Stokholm) ve Güney Amerika (Sao Paulo).

Lattice, VPC'nin bir özelliğidir ve ayrı bir değerlendirme/çağrı gerektirmez. Kapsam içi hizmetlerin özellikleri "değerlendirilmiş/kapsanmış" olarak kabul edilir ve aynı zamanda Mevzuat Uygunluğu Programı Kapsamındaki AWS Hizmetleri dahilinde de belirtilmiştir. Özel olarak hariç tutulmadığı sürece her hizmetin genel olarak erişilebilir özellikleri, güvence programlarının kapsamındadır.

Amazon VPC Lattice için ek AZ arası veri aktarım ücreti alınmaz. Erişilebilirlik alanları arasındaki veri aktarımı, VPC Lattice hizmet fiyatlandırmasının veri işleme boyutu kapsamındadır.

Trafik akışlarını ve ulaşılabilirliğini izlemek için, hem Hizmet Ağı hem de Hizmet düzeyinde Erişim Günlükleri'nden yararlanabilirsiniz. Ortamınız için tam gözlemlenebilirliğe sahip olmak üzere, Hizmetler ve Lattice hedef gruplarınızın ölçümlerini de görüntüleyebilirsiniz. Hizmet Ağı ve Hizmet düzeyi günlükleri CloudWatch Günlükleri, S3 veya Kinesis Data Firehose'a dışarı aktarılabilir. Ek olarak, ağ akışlarını, hizmet etkileşimlerini ve API çağrılarını izlemek için VPC Akış Günlükleri ve AWS X-Ray gibi diğer AWS gözlemlenebilirlik özellikleri kullanılabilir.

Bir VPC Lattice hizmeti oluşturulduğunda, AWS tarafından yönetilen Route 53 genel barındırılan alanında bir tam etki alanı adı (FQDN) oluşturulur. Bu DNS adlarını, Hizmet Ağı ile ilişkili VPC'lerle ilişkilendirilmiş kendi Özel Barındırılan Alanlarınızda yer alan CNAME Takma Adı kayıtlarında kullanabilirsiniz. Özel hizmet adlarını çözümlemek için özel bir etki alanı adı belirtebilirsiniz. Özel bir etki alanı adı belirtirseniz hizmetiniz oluşturulduktan sonra DNS yönlendirmesini yapılandırmanız gerekir. Bu, özel etki alanı adı için DNS sorgularını VPC Lattice uç noktasına eşlemek içindir. DNS hizmeti olarak Route 53'ü kullanıyorsanız Amazon Route 53 genel veya özel barındırılan alanlarınızda bir CNAME Takma Adı kaydı yapılandırabilirsiniz. HTTPS için özel etki alanı adıyla eşleşen bir SSL/TLS sertifikası da belirtmeniz gerekir.

Evet. Amazon VPC Lattice, HTTP'leri destekler ve ayrıca Amazon Sertifika Yöneticisi (ACM) aracılığıyla yönetilen her Hizmet için bir sertifika oluşturur. Lattice, istemci tarafı kimlik doğrulaması için AWS SIGv4'ü kullanır.

Evet, Amazon VPC Lattice yüksek oranda erişilebilir, dağıtılmış, Bölgesel bir hizmettir. Bir Hizmeti VPC Lattice'e kaydettiğinizde, hedeflerin birden çok Erişilebilirlik Alanına yayılması en iyi uygulamadır. VPC Lattice Hizmeti, yapılandırılmış kural ve koşullara göre trafiğin sağlıklı hedeflere yönlendirilmesini sağlayacaktır.

Amazon VPC Lattice, Kubernetes Ağ Geçidi API'sinin bir uygulaması olan AWS Ağ Geçidi API Denetleyicisi aracılığıyla Amazon Esnek Kubernets Hizmetiniz (EKS) ve kendi kendine yönetilen Kubernetes iş yüklerinizle yerel olarak entegre olur. Bu, mevcut veya yeni Hizmetlerin Lattice'e kaydedilmesini ve HTTP Yollarının Kubernetes kaynaklarına dinamik olarak eşlenmesini kolaylaştırır.

Amazon VPC Lattice hizmetleri ve hizmet ağları Bölgesel bileşenlerdir. Çok Bölgeli bir ortamınız varsa her Bölgede Hizmetler'e ve Hizmet Ağları'na sahip olabilirsiniz. Bölgeler arası ve şirket içi iletişim düzenleri için mevcut durumda Bölgeler Arası VPC Eşleme, AWS Transit Ağ Geçidi, AWS Direct Connect veya AWS Bulut WAN gibi AWS küresel bağlantı hizmetlerine güvenebilirsiniz. Lütfen Bölgeler arası bağlantı düzenlerini detaylandıran bu bloga göz atın.

Evet. Amazon VPC Lattice, IPv6'yı destekler ve VPC Lattice hizmetleri ve VPC'ler genelinde örtüşen IPv4 ve IPv6 adres alanları arasında ağ adresi çevirisi gerçekleştirebilir. Amazon VPC Lattice, hem IPv4 hem de IPv6 hizmetlerini güvenli bir şekilde bağlamanıza ve çeşitli bilgi işlem türleri genelinde basit ve tutarlı bir şekilde iletişim akışlarını izlemenize yardımcı olur. Temel IP adreslemeden bağımsız olarak IP hizmetleri arasında yerel birlikte çalışabilirlik sağlar ve bu da AWS'deki hizmetler arasında IPv6'nın benimsenmesini kolaylaştırmaya yardımcı olabilir. Daha ayrıntılı bilgi için lütfen bu blogu inceleyin.

Evet, Amazon VPC Lattice kaynak ilişkilendirmelerinin ve Amazon EventBridge, AWS Lambda, AWS CloudTrail ve AWS Resource Access Manager (AWS RAM) aracılığıyla hesaplar arası kaynak paylaşımlarının eklenmesi ve kaldırılmasını otomatikleştirmek için etiketler kullanılabilir. Bu yöntemler tek bir AWS Kuruluşunda veya birden çok AWS Hesabı arasında kullanılabilir ve satıcı/istemci uygulamaları gibi birçok kullanım örneğini destekler. Daha ayrıntılı bilgi ve uygulama örnekleri için lütfen bu bloga göz atın.

Hizmet Ağı dağıtımınızın tasarımı, kuruluş yapınız ve operasyon modeliniz ile eşleşmelidir. Kuruluş çapında bir etki alanına özgü Hizmet Ağına sahip olmayı seçebilir ve Erişim Politikalarını buna göre yapılandırabilirsiniz. Alternatif olarak, Hizmet Ağlarına yönelik olarak daha segmentlere ayrılmış bir yaklaşıma sahip olabilir, bunları yönlendirme alanlarınızın her biriyle ve kuruluşunuzdaki bağımsız İş Birimleri arasında ilişkilendirebilirsiniz. Bir VPC tek seferde bir Hizmet Ağı ile ilişkilendirilebilirken, bir Hizmet birden çok Hizmet Ağına kaydedilebilir.