Häufig gestellte Fragen zu Amazon VPC Lattice

Amazon VPC Lattice ist ein Netzwerkservice auf Anwendungsebene, der Ihnen eine konsistente Methode zur Verbindung, Sicherung und Überwachung der Service-to-Service- und Service-to-Ressource-Kommunikation ohne vorherige Netzwerkkenntnisse bietet. Mit VPC Lattice können Sie den Netzwerkzugriff, das Verkehrsmanagement und die Netzwerküberwachung konfigurieren, um eine konsistente Service-to-Service- und Service-to-Resource-Kommunikation über VPCs und Konten hinweg zu ermöglichen, unabhängig vom zugrunde liegenden Rechentyp.

VPC Lattice hilft Ihnen bei der Bewältigung der folgenden Anwendungsfälle:

Skalierbare Verbindung von Services und Ressourcen – Verbinden Sie Tausende Services und Ressourcen über VPCs und Konten hinweg, ohne die Netzwerkkomplexität zu erhöhen.

Wenden Sie granulare Zugriffsberechtigungen an – Verbessern Sie die Sicherheit zwischen den Services und Ressourcen und unterstützen Sie Zero-Trust-Architekturen mit zentralisierten Zugriffskontrollen, Authentifizierung und kontextspezifischer Autorisierung.

Implementieren Sie erweiterte Datenverkehrskontrollen – Wenden Sie granulare Datenverkehrskontrollen an, z. B. Weiterleitung auf Anforderungsebene und gewichtete Ziele für Blau/Grün- und Canary-Bereitstellungen.

Beobachten Sie die Interaktionen zwischen den Services und Ressourcen – Überwachen Sie die Kommunikation zwischen den Services und Ressourcen hinsichtlich Anforderungstyp, Verkehrsaufkommen, Fehlern, Antwortzeit usw. und führen Sie eine Fehlersuche durch.

VPC Lattice hilft, die Lücke zwischen Entwicklern und Cloud-Administratoren zu schließen, indem es rollenspezifische Funktionen und Möglichkeiten bereitstellt. VPC Lattice richtet sich an Entwickler, die nicht die üblichen Infrastruktur- und Netzwerkaufgaben erlernen und durchführen wollen, die für die schnelle Inbetriebnahme moderner Anwendungen erforderlich sind. Entwickler sollten sich auf die Entwicklung von Anwendungen und nicht von Netzwerken konzentrieren können. VPC Lattice ist auch für Cloud- und Netzwerkadministratoren interessant, die die Sicherheitslage ihres Unternehmens verbessern möchten. Dazu müssen sie Authentifizierung, Autorisierung und Verschlüsselung auf konsistente Weise in gemischten Compute-Umgebungen ( Instances, Container, Serverless) sowie über VPCs und Konten hinweg ermöglichen.

Mit VPC Lattice können Sie logische Netzwerke der Anwendungsschicht, so genannte Servicenetzwerke, erstellen, die eine Service-to-Service- und Service-to-Ressource-Kommunikation über Virtual Private Clouds (VPCs) und Kontogrenzen hinweg ermöglichen und die Netzwerkkomplexität abstrahieren. Es bietet Konnektivität über HTTP/HTTPS-, gRPC- und TCP-Protokolle durch eine dedizierte Datenebene innerhalb der VPC Lattice. Diese Datenebene wird sowohl über link-lokale Endpunkte, auf die nur von Ihrer VPC aus zugegriffen werden kann, als auch über VPC-Endpunkte vom Typ Servicenetzwerk, auf die von innerhalb Ihrer VPC sowie von außerhalb Ihrer VPC zugegriffen werden kann, verfügbar gemacht.

Administratoren können AWS Resource Access Manager (AWS RAM) verwenden, um zu bestimmen, welche Konten und VPCs über ein Servicenetzwerk kommunizieren dürfen. Wenn eine VPC mit einem Servicenetzwerk verknüpft ist, können die Clients innerhalb der VPC automatisch die Service- und Ressourcensammlung im Servicenetzwerk erkennen und sich mit ihr verbinden. Servicebesitzer können die Datenverarbeitungsintegrationen von VPC Lattice nutzen, um ihre Services von Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate und AWS Lambda einzubinden, und ein oder mehrere Servicenetzwerke auswählen, denen beigetreten werden soll. Servicebesitzer können auch erweiterte Regeln für das Datenverkehrsmanagement konfigurieren, um festzulegen, wie eine Anfrage verarbeitet werden soll, um gängige Muster wie Blau/Grün- und Canary-Bereitstellungen zu unterstützen. Ressourcenbesitzer können Ressourcen wie RDS-Datenbanken zwischen Konten gemeinsam nutzen und diese Ressourcen zu Servicenetzwerken hinzufügen. Neben der Verwaltung des Datenverkehrs können Service- und Ressourcenbesitzer und Administratoren zusätzliche Zugriffskontrollen implementieren, indem sie die Authentifizierung und Autorisierung über die Authentifizierungsrichtlinie von VPC Lattice durchsetzen. Administratoren können Integritätsschutz auf der Ebene des Servicenetzwerks durchsetzen und fein abgestufte Zugriffskontrollen auf einzelne Services und Ressourcen anwenden. VPC Lattice ist so konzipiert, dass es nicht invasiv ist und mit bestehenden Architekturmustern zusammenarbeitet, damit Entwicklungsteams in Ihrem Unternehmen ihre Services und Ressourcen im Laufe der Zeit nach und nach einbinden können.

VPC Lattice umfasst sechs Schlüsselkomponenten:

Service – Eine unabhängig einsetzbare Softwareeinheit, die eine bestimmte Aufgabe oder Funktion erfüllt. Ein Service kann in einer beliebigen VPC oder einem beliebigen Konto betrieben werden und kann auf Instances, Containern oder Serverless Compute laufen. Ein Service besteht aus Listenern, Regeln und Zielgruppen, vergleichbar mit einem AWS Application Load Balancer.

Serviceverzeichnis – Ein zentrales Verzeichnis aller Services, die bei VPC Lattice registriert wurden, die Sie erstellt haben oder die über AWS RAM für Ihr Konto freigegeben wurden.

Ressourcenkonfiguration – Eine Ressourcenkonfiguration stellt eine TCP-basierte Ressource dar, die sich in einer VPC oder vor Ort befindet, z. B. eine RDS-Datenbank, ein Domainnamenziel oder eine IP-Adresse. Eine Ressourcenkonfiguration kann von Konten gemeinsam genutzt werden. Wenn die Ressourcenkonfiguration mit einem anderen Konto geteilt wird, kann dieses Konto privat auf die Ressource zugreifen.

Ressourcen-Gateway – Ein Ressourcen-Gateway ist ein Eingangspunkt in einer VPC für Datenverkehr, der für TCP-Ressourcen bestimmt ist, die in einer Ressourcenkonfiguration gemeinsam genutzt werden.

Servicenetzwerk – Ein logischer Gruppierungsmechanismus zur Vereinfachung der Art und Weise, wie Benutzer Konnektivität aktivieren und gemeinsame Richtlinien auf eine Sammlung von Services und Ressourcen anwenden. Servicenetzwerke können über mehrere Konten mit AWS RAM gemeinsam genutzt und mit VPCs verknüpft werden, um die Konnektivität mit einer Gruppe von Services und Ressourcen zu ermöglichen.

Authentifizierungsrichtlinie – Die Authentifizierungsrichtlinie ist eine AWS Identity and Access Management (IAM)-Ressourcenrichtlinie, die Sie mit einem Servicenetzwerk und einzelnen Services und Ressourcen verknüpfen können, um Zugriffskontrollen zu definieren. Die Authentifizierungsrichtlinie verwendet IAM. Sie können umfangreiche Fragen im PARC-Stil (Principal-Action-Resource-Condition) angeben, um eine kontextspezifische Autorisierung für die Services von VPC Lattice durchzusetzen. Üblicherweise wendet eine Organisation grobkörnige Authentifizierungsrichtlinien auf das Servicenetzwerk an, wie beispielsweise „nur authentifizierte Anfragen innerhalb meiner Org-ID sind erlaubt“, und granularere Richtlinien auf der Service- und Ressourcenebene.

VPC Lattice ist derzeit in den folgenden AWS-Regionen verfügbar: USA Ost (Ohio), USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), Afrika (Kapstadt), Asien-Pazifik (Mumbai), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney), Asien-Pazifik (Seoul), Asien-Pazifik (Tokio), Kanada (Zentral), Europa (Irland), Europa (Frankfurt), Europa (London), Europa (Mailand), Europa (Paris), Europa (Stockholm) und Südamerika (Sao Paulo).

Lattice ist ein Feature von VPC und erfordert keine separate Bewertung/keinen separaten Aufruf. Die Features der im Leistungsumfang enthaltenen Services gelten als „bewertet/abgedeckt“ und sind auch AWS-Services im Rahmen des Compliance-Programms. Sofern nicht explizit ausgeschlossen, werden die allgemein verfügbaren Funktionen der einzelnen Services im Rahmen der Sicherheitsgewährleistungsprogramme berücksichtigt.

Für Amazon VPC Lattice fallen keine zusätzlichen Gebühren für AZ-übergreifende Datenübertragungen an. Die Datenübertragung zwischen Availability Zones wird durch die Datenverarbeitungsdimension der VPC-Lattice-Servicepreise abgedeckt.

Um den Datenverkehrsfluss und die Erreichbarkeit zu überwachen, können Sie Zugriffsprotokolle auf Service-, Ressourcen- und auf Servicenetzwerkebene verwenden. Um eine vollständige Beobachtbarkeit Ihrer Umgebung zu gewährleisten, können Sie sich auch Metriken für Ihre Services- und VPC-Lattice-Zielgruppen anzeigen lassen. Protokolle auf Servicenetzwerk-, Service- und Ressourcenebene können in Amazon-CloudWatch-Protokolle, Amazon Simple Storage Service (S3) oder Amazon Data Firehose exportiert werden. Zusätzlich können andere Features zur Beobachtbarkeit von AWS, wie z. B. VPC Flow Logs und AWS X-Ray genutzt werden, um Netzwerkflüsse, Service-Interaktionen und API-Aufrufe zu verfolgen.

Wenn ein VPC-Lattice-Service erstellt wird, wird ein vollständig qualifizierter Domain-Name (FQDN) in einer öffentlichen Hosting-Zone von Route 53 erstellt, die von AWS verwaltet wird. Sie können diese DNS-Namen in CNAME-Datensätzen in Ihren eigenen privaten gehosteten Zonen verwenden, die mit den VPCs verknüpft sind, welche dem Service Network zugeordnet sind. Sie können einen benutzerdefinierten Domain-Namen angeben, um benutzerdefinierte Servicenamen aufzulösen. Wenn Sie einen benutzerdefinierten Domain-Namen angeben, müssen Sie das DNS-Routing konfigurieren, nachdem Ihr Service erstellt wurde. Dies dient dazu, DNS-Anfragen für den benutzerdefinierten Domain-Namen dem VPC Lattice-Endpunkt zuzuordnen. Wenn Sie Route 53 als DNS-Service verwenden, können Sie einen CNAME-Alias-Datensatz innerhalb Ihrer von Amazon Route 53 gehosteten öffentlichen oder privaten Zonen konfigurieren. Für HTTPS müssen Sie außerdem ein SSL/TLS-Zertifikat angeben, das dem benutzerdefinierten Domain-Namen entspricht.

Ja, Amazon VPC Lattice unterstützt HTTPs und generiert auch ein Zertifikat für jeden Service, das über Amazon Certificate Manager (ACM) verwaltet wird. Für die clientseitige Authentifizierung verwendet Lattice AWS SIGv4.

Ja, Amazon VPC Lattice ist ein hochverfügbarer, verteilter, regionaler Service. Wenn Sie einen Service in VPC Lattice registrieren, empfiehlt es sich, Ziele auf mehrere Availability Zones zu verteilen. Der VPC Lattice Service stellt sicher, dass der Datenverkehr auf der Grundlage der konfigurierten Regeln und Bedingungen an gesunde Ziele weitergeleitet wird.

Amazon VPC Lattice lässt sich nativ mit Ihrem Amazon Elastic Kubernets Service (EKS) und selbstverwalteten Kubernetes-Workloads über den AWS Gateway API Controller integrieren, der eine Implementierung der Kubernetes Gateway API ist. Dies erleichtert die Registrierung vorhandener oder neuer Dienste bei Lattice und die dynamische Zuordnung von HTTP-Routen zu Kubernetes-Ressourcen.

Amazon-VPC-Lattice-Dienste, Ressourcen, Ressourcenkonfigurationen und Servicenetzwerke sind regionale Komponenten. Wenn Sie eine Umgebung mit mehreren Regionen haben, können Sie in jeder Region Dienste, Ressourcen, Ressourcenkonfigurationen und Servicenetzwerke haben. Für regionsübergreifende und On-Premises-Kommunikationsmuster können Sie derzeit auf globale AWS-Konnektivitätsdienste wie regionsübergreifendes VPC Peering, AWS Transit Gateway, AWS Direct Connect oder AWS-Cloud-WAN zugreifen. Bitte lesen Sie diesen Blog, in dem die regionsübergreifenden Konnektivitätsmuster detailliert beschrieben werden.

Ja, Amazon VPC Lattice unterstützt IPv6 und kann eine Netzwerkadressübersetzung zwischen sich überschneidenden IPv4- und IPv6-Adressräumen über VPC-Lattice-Services und -Ressourcen und VPCs hinweg durchführen. Amazon VPC Lattice hilft Ihnen, sowohl IPv4- als auch IPv6-Services sicher zu verbinden und Kommunikationsflüsse auf einfache und konsistente Weise über verschiedene Rechentypen hinweg zu überwachen. Es bietet native Interoperabilität zwischen IP-Services und -Ressourcen, unabhängig von der zugrunde liegenden IP-Adressierung, was die Einführung von IPv6 bei allen Services in AWS erleichtern kann. Weitere Details finden Sie in diesem Blog.

Ja, Tags können verwendet werden, um das Hinzufügen und Entfernen von Ressourcenzuordnungen zu Amazon VPC Lattice und kontoübergreifenden Ressourcenfreigaben mit Amazon EventBridge, AWS Lambda, AWS CloudTrail und AWS Resource Access Manager (AWS RAM) zu automatisieren. Diese Methoden können innerhalb einer einzelnen AWS-Organisation oder über mehrere AWS-Konten hinweg verwendet werden und unterstützen mehrere Anwendungsfälle, z. B. Anwendungen von Anbietern und Kunden. Weitere Informationen und Implementierungsbeispiele finden Sie in diesem Blog.

Der Aufbau Ihres Servicenetzwerks sollte sich an Ihrer Organisationsstruktur und Ihrem Betriebsmodell orientieren. Sie können sich für ein organisationsweites Domain-spezifisches Servicenetzwerk entscheiden und die Zugriffsrichtlinien entsprechend konfigurieren. Sie können aber auch einen stärker segmentierten Ansatz für Servicenetzwerke wählen, indem Sie sie jeder Ihrer Routing-Domänen und unabhängigen Geschäftseinheiten in Ihrem Unternehmen zuordnen.

Ja, auf Dienste und Ressourcen kann lokal mithilfe von VPC-Endpunkten (unterstützt von AWS PrivateLink) zugegriffen werden. Sie können Ihre Services und Ressourcen in ein Servicenetzwerk integrieren und einen VPC-Endpunkt (Typ „Servicenetzwerk“) erstellen, um die Konnektivität zwischen diesen Diensten und Ressourcen von vor Ort aus zu ermöglichen.

Mithilfe von VPC-Endpunkten können Sie mehrere Servicenetzwerke bei einer VPC registrieren. Sie können mehrere VPC-Endpunkte vom Typ „Servicenetzwerk“ erstellen, von denen jeder mit einem anderen Servicenetzwerk verbunden ist.