FAQ Amazon VPC Lattice

Amazon VPC Lattice est un service de mise en réseau d’application qui vous offre un moyen cohérent de connecter, sécuriser et surveiller les communications service à service et service à ressource, sans nécessiter de compétences préalables en réseau. Avec VPC Lattice, vous pouvez configurer l’accès au réseau, la gestion du trafic et la surveillance du réseau pour permettre des communications service à service et service à ressource de manière cohérente entre les VPC et les comptes, quel que soit le type de calcul sous-jacent.

VPC Lattice permet de répondre aux cas d'utilisation suivants :

Connecter les services et les ressources à grande échelle : connectez des milliers de services à travers les VPC et les comptes sans augmenter la complexité du réseau.

Appliquer des autorisations d’accès granulaires : améliorez la sécurité des communications service à service et de service à ressource, et prenez en charge les architectures Zero Trust grâce à des contrôles d’accès centralisés, à l’authentification et l’autorisation contextuelle.

Implémenter des contrôles de trafic avancés : appliquez des contrôles de trafic granulaires, tels que le routage au niveau de la demande et les cibles pondérées, pour les déploiements canary et bleu/vert.

Observer les interactions service à service et service à ressource : surveillez et dépannez la communication service à service et service à ressource pour le type de requête, le volume de trafic, les erreurs, le temps de réponse, et plus encore.

VPC Lattice aide à combler le fossé entre les développeurs et les administrateurs de nuages en fournissant des fonctions et des capacités spécifiques aux rôles. VPC Lattice plaira aux développeurs qui ne veulent pas apprendre et effectuer les tâches courantes d'infrastructure et de mise en réseau nécessaires pour faire fonctionner rapidement des applications modernes. Les développeurs devraient pouvoir se concentrer sur la création d'applications, et non de réseaux. VPC Lattice intéressera également les administrateurs de réseaux et de clouds qui cherchent à renforcer la sécurité de leur organisation en permettant l'authentification, l'autorisation et le chiffrement de manière cohérente dans des environnements de calcul mixtes (instances, conteneurs, sans serveur), ainsi que dans les VPC et les comptes.

Vous pouvez utiliser VPC Lattice pour créer des réseaux d’applications logiques, appelés réseaux de services, qui permettent la communication service à service et service à ressource à travers des clouds privés virtuels (VPC) et les limites des comptes, tout en simplifiant la complexité du réseau. Il offre une connectivité sur les protocoles HTTP/HTTPS, gRPC et TCP grâce à un plan de données dédié au sein du VPC Lattice. Ce plan de données est exposé à la fois via des points de terminaison locaux de liaison accessibles uniquement depuis votre VPC et des points de terminaison d’un VPC de type réseau de service accessibles depuis votre VPC et également depuis l’extérieur de votre VPC.

Les administrateurs peuvent utiliser AWS Resource Access Manager (AWS RAM) pour contrôler quels comptes et quels VPC peuvent établir une communication via un réseau de services. Lorsqu’un VPC est associé à un réseau de services, les clients au sein de ce VPC peuvent automatiquement découvrir et se connecter à l’ensemble des services et des ressources du réseau de services. Les propriétaires de services peuvent utiliser les intégrations de calcul de VPC Lattice pour intégrer leurs services depuis Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate et AWS Lambda, et choisir un ou plusieurs réseaux de services à rejoindre. Les propriétaires de services peuvent également configurer des règles avancées de gestion du trafic pour définir la manière dont une demande doit être traitée afin de prendre en charge les modèles courants tels que les déploiements de type canary et bleu/vert. Les propriétaires de ressources peuvent partager des ressources telles que des bases de données RDS entre des comptes et ajouter ces ressources aux réseaux de service. Outre la gestion du trafic, les propriétaires et administrateurs de services et de ressources peuvent mettre en place des contrôles d’accès supplémentaires en appliquant l’authentification et l’autorisation par le biais de la politique VPC Lattice Auth. Les administrateurs peuvent appliquer des garde-fous au niveau du réseau de services et appliquer des contrôles d’accès à grain fin sur les services et ressources individuels. VPC Lattice est conçu pour être non invasif et fonctionner parallèlement aux modèles d’architecture existants, permettant aux équipes de développement de votre organisation d’intégrer progressivement leurs services et leurs ressources au fil du temps.

VPC Lattice présente six composants clés :

Service : une unité de logiciel déployable indépendamment qui fournit une tâche ou une fonction spécifique. Un service peut vivre dans n'importe quel VPC ou compte et peut s'exécuter sur des instances, des conteneurs ou un calcul sans serveur. Un service se compose d'écouteurs, de règles et de groupes de cibles, de manière similaire à Application Load Balancer AWS.

Répertoire de services : un registre centralisé de tous les services enregistrés auprès de VPC Lattice que vous avez créés ou qui ont été partagés avec votre compte via AWS RAM.

Configuration des ressources : une configuration de ressources représente une ressource basée sur le protocole TCP qui réside dans un VPC ou sur site, telle qu’une base de données RDS, une cible de nom de domaine ou une adresse IP. Une configuration de ressources peut être partagée entre les comptes. Lorsque la configuration des ressources est partagée avec un autre compte, celui-ci peut accéder à la ressource en privé.

Passerelle de ressources : une passerelle de ressources est un point d’entrée dans un VPC pour le trafic destiné aux ressources TCP partagées dans une configuration de ressources.

Réseau de services : mécanisme de regroupement logique visant à simplifier la façon dont les utilisateurs activent la connectivité et appliquent des politiques communes à une collection de services et de ressources. Les réseaux de services peuvent être partagés entre les comptes avec AWS RAM et associés aux VPC pour permettre la connectivité à un groupe de services et de ressources.

Politique Auth : la politique Auth est une politique de ressources AWS Identity et Access Management (IAM) que vous pouvez associer à un réseau de services et à des services et des ressources individuels pour définir les contrôles d’accès. La politique Auth utilise IAM, et vous pouvez spécifier des questions riches de type principal-action-ressource-condition (PARC) pour appliquer l'autorisation spécifique au contexte sur les services VPC Lattice. En général, une organisation applique des politiques Auth à grain large au niveau du réseau de services, telles que « seules les requêtes authentifiées dans mon org-id sont autorisées », et des politiques plus granulaires au niveau du service et des ressources.

VPC Lattice est actuellement disponible dans les régions AWS suivantes : USA Est (Ohio), USA Est (Virginie du Nord), USA Ouest (Oregon), USA Ouest (Californie du Nord), Afrique (Le Cap), Asie‑Pacifique (Mumbai), Asie‑Pacifique (Singapour), Asie‑Pacifique (Sydney), Asie‑Pacifique (Séoul), Asie‑Pacifique (Tokyo), Canada (Centre), Europe (Irlande), Europe (Francfort), Europe (Londres), Europe (Milan), Europe (Paris), Europe (Stockholm) et Amérique du Sud (São Paulo).

Lattice est une fonctionnalité de VPC qui ne nécessite pas d’évaluation/d’appel séparée. Les fonctionnalités des services concernés sont considérées comme « évaluées/couvertes » et sont également indiquées dans les services AWS concernés par le programme de conformité. Sauf si elles sont spécifiquement exclues, les fonctionnalités généralement disponibles de chaque service sont considérées comme étant concernées par les programmes d’assurance.

Il n’y a pas de frais supplémentaires de transfert de données inter-AZ pour Amazon VPC Lattice. Le transfert de données entre les zones de disponibilité est couvert par la dimension de traitement des données de la tarification du service VPC Lattice.

Pour surveiller les flux de trafic et l’accessibilité, vous pouvez utiliser les journaux d’accès au niveau du service, de la ressource et du réseau de services. Pour bénéficier d’une observabilité complète de votre environnement, vous pouvez également consulter les statistiques relatives à vos groupes cibles Services et VPC Lattice. Les journaux de niveau de service, de service et de ressource peuvent être exportés vers Amazon CloudWatch Logs, Amazon Simple Storage Service (S3) ou Amazon Data Firehose. En outre, d’autres fonctionnalités d’observabilité d’AWS, telles que les journaux de flux VPC et AWS X-Ray, peuvent être utilisées pour suivre les flux réseau, les interactions entre les services et les appels d’API.

Lorsqu’un service VPC Lattice est créé, un nom de domaine complet (FQDN) est créé dans une zone hébergée publique avec Route 53 gérée par AWS. Vous pouvez utiliser ces noms DNS dans les enregistrements d’alias CNAME de vos propres zones hébergées privées, associées aux VPC associés au réseau de services. Vous pouvez spécifier un nom de domaine personnalisé pour résoudre les noms de service personnalisés. Si vous spécifiez un nom de domaine personnalisé, vous devez configurer le routage DNS après la création de votre service. Il s’agit de mapper les requêtes DNS pour le nom de domaine personnalisé au point de terminaison VPC Lattice. Si vous utilisez Route 53 comme service DNS, vous pouvez configurer un enregistrement d’alias CNAME dans vos zones hébergées publiques ou privées Amazon Route 53. Pour HTTPS, vous devez également spécifier un certificat SSL/TLS correspondant au nom de domaine personnalisé.

Oui, Amazon VPC Lattice prend en charge le protocole HTTPs et génère également un certificat pour chaque service, géré via Amazon Certificate Manager (ACM). Pour l’authentification côté client, Lattice utilise AWS Sigv4.

Oui, Amazon VPC Lattice est un service régional distribué et hautement disponible. Lorsque vous enregistrez un service dans VPC Lattice, il est recommandé de répartir les cibles sur plusieurs zones de disponibilité. Le service VPC Lattice veillera à ce que le trafic soit acheminé vers des cibles saines, en fonction des règles et conditions configurées.

Amazon VPC Lattice s’intègre de manière native à votre Amazon Elastic Kubernets Service (EKS) et à vos charges de travail Kubernetes autogérées via le contrôleur d’API AWS Gateway, qui est une implémentation de l’API Kubernetes Gateway. Cela facilite l’enregistrement de services existants ou nouveaux sur Lattice et le mappage dynamique des routes HTTP vers les ressources Kubernetes.

Les services, les ressources, les configurations de ressources et les réseaux de services Amazon VPC Lattice sont des composants régionaux. Si vous disposez d’un environnement multi-régional, vous pouvez disposer de services, de ressources, de configurations de ressources et de réseaux de services dans chaque région. Pour les modèles de communication entre régions et sur site, vous pouvez actuellement compter sur les services de connectivité mondiaux AWS tels que le peering VPC entre régions, AWS Transit Gateway, AWS Direct Connect ou Cloud WAN AWS. Consultez ce blog, pour tous les détails sur les modèles de connectivité interrégionaux.

Oui, Amazon VPC Lattice prend en charge IPv6 et peut effectuer une traduction d’adresses réseau entre des espaces d’adresses IPv4 et IPv6 qui se chevauchent pour les services et ressources VPC Lattice à travers des VPC et des comptes. Amazon VPC Lattice vous permet de connecter les services et les ressources IPv4 et IPv6 en toute sécurité et de surveiller les flux de communication de manière simple et cohérente sur différents types de calcul. Il fournit une interopérabilité native entre les services et les ressources IP quel que soit l’adressage IP sous-jacent, ce qui peut contribuer à faciliter l’adoption d’IPv6 entre les services et les ressources sur AWS. Consultez ce blog pour plus de détails.

Oui, les balises peuvent être utilisées pour automatiser l’ajout et la suppression d’associations de ressources Amazon VPC Lattice et les partages de ressources entre comptes à l’aide d’Amazon EventBridge, AWS Lambda, AWS CloudTrail et AWS Resource Access Manager (AWS RAM). Ces méthodes peuvent être utilisées au sein d’une seule organisation AWS ou sur plusieurs comptes AWS, car elles prennent en charge de multiples cas d’utilisation tels que les applications fournisseur/client. Consultez ce blog pour plus de détails et des exemples d’implantation.

La conception de la distribution de votre réseau de services doit correspondre à la structure de votre organisation et à votre modèle opérationnel. Vous pouvez choisir de disposer d’un réseau de services spécifique à un domaine à l’échelle de l’organisation et configurer les politiques d’accès en conséquence. Vous pouvez également adopter une approche plus segmentée des réseaux de services, en les associant à chacun de vos domaines de routage et à des unités commerciales indépendantes de votre organisation.

Oui, les services et les ressources sont accessibles depuis les locaux à l’aide de points de terminaison d’un VPC (alimentés par AWS PrivateLink). Vous pouvez placer vos services et ressources dans un réseau de services et créer un point de terminaison VPC (type « réseau de services ») pour permettre la connectivité entre ces services et ces ressources depuis votre site.

Vous pouvez enregistrer plusieurs réseaux de service auprès d’un VPC à l’aide de points de terminaison d’un VPC. Vous pouvez créer plusieurs points de terminaison VPC de type « réseau de service », chacun d’entre eux se connectant à un réseau de service différent.