原標(biāo)題:使用亞馬遜云科技Amazon VPC Lattice簡化服務(wù)間的連接����、安全和監(jiān)控
在亞馬遜云科技re:Invent 2022中,亞馬遜云科技介紹了Amazon VPC Lattice預(yù)覽版���,這是Amazon Virtual Private Cloud(Amazon VPC)的一項新功能�����,可通過一致的方式連接�����、保護和監(jiān)控服務(wù)之間的通信��。借助Amazon VPC Lattice�����,可以定義網(wǎng)絡(luò)訪問����、流量管理和監(jiān)控策略,以在實例����、容器和無服務(wù)器應(yīng)用程序之間連接計算服務(wù)。
4月10日��,亞馬遜云科技宣布Amazon VPC Lattice現(xiàn)已正式推出�。與預(yù)覽版相比,有以下新功能:
除了Amazon VPC Lattice自動生成的域名外����,服務(wù)還可以使用自定義域名。使用HTTPS時����,可以配置與自定義域名匹配的SSL/TLS證書。
可以部署開源AWS Gateway API控制器�,使用帶有Kubernetes原生體驗的Amazon VPC Lattice��。該工具使用Kubernetes Gateway API來連接多個Kubernetes集群的服務(wù)以及在EC2實例����、容器和無服務(wù)器函數(shù)上運行的服務(wù)����。
可以使用應(yīng)用程序負載均衡器(ALB)或網(wǎng)絡(luò)負載均衡器(NLB)作為服務(wù)的目標(biāo)。
IP地址目標(biāo)類型現(xiàn)在支持IPv6連接���。
使用Amazon VPC Lattice實現(xiàn)服務(wù)間的連接
如何使用Amazon VPC Lattice實現(xiàn)電子商務(wù)應(yīng)用程序服務(wù)的相互通信���。為簡單起見�,只考慮四種服務(wù):
訂單服務(wù),作為Lambda函數(shù)運行���。
庫存服務(wù)�����,作為Amazon Elastic Container Service(Amazon ECS)部署在支持IPv6的雙堆棧Amazon VPC中�。
配送服務(wù)���,作為ECS服務(wù)部署��,并使用ALB向服務(wù)任務(wù)分配流量���。
付款服務(wù)�����,在EC2實例上運行�。
首先����,創(chuàng)建一個服務(wù)網(wǎng)絡(luò)。訂單服務(wù)需要致電庫存服務(wù)(檢查商品是否可供購買)�����、配送服務(wù)(組織商品配送)和付款服務(wù)(轉(zhuǎn)賬)���。這些服務(wù)在不同的亞馬遜云科技賬戶和多個Amazon VPC中運行�。Amazon VPC Lattice可以處理跨越Amazon VPC邊界設(shè)置連接和跨賬戶權(quán)限的復(fù)雜性��,因此服務(wù)間的通信就像HTTP/HTTPS調(diào)用一樣簡單�。
訂單服務(wù)在連接到Amazon VPC的Lambda函數(shù)中運行�����。由于圖表中的所有Amazon VPC都與服務(wù)網(wǎng)絡(luò)相關(guān)聯(lián)�����,因此訂單服務(wù)能夠調(diào)用其他服務(wù)(庫存�、配送和付款)�,即使這些服務(wù)部署在不同的亞馬遜云科技賬戶和IP地址重疊的Amazon VPC中亦是如此。
使用網(wǎng)絡(luò)負載均衡器(NLB)作為目標(biāo)
庫存服務(wù)在雙堆棧Amazon VPC中運行���。它作為帶有NLB的ECS服務(wù)部署��,用于向服務(wù)中的任務(wù)分配流量����。為了獲取NLB的IPv6地址��,在EC2控制臺中查找NLB使用的網(wǎng)絡(luò)接口�����。
為庫存服務(wù)創(chuàng)建目標(biāo)組時�����,在基本配置下�����,選擇IP地址作為目標(biāo)類型���。然后��,選擇IPv6作為IP地址類型��。
使用應(yīng)用程序負載均衡器(ALB)作為目標(biāo)
使用ALB作為目標(biāo)甚至更容易操作����。為配送服務(wù)創(chuàng)建目標(biāo)組時��,在基本配置下��,選擇新的應(yīng)用程序負載均衡器目標(biāo)類型���。選擇要在其中查找ALB的Amazon VPC并選擇協(xié)議版本����。
在下一步中,選擇立即注冊��,然后從下拉列表中選擇ALB�。使用目標(biāo)組使用的默認端口����。Amazon VPC Lattice不為ALB提供額外的運行狀況檢查。但是��,負載均衡器已經(jīng)配置自己的運行狀況檢查���。
為服務(wù)使用自定義域名
要調(diào)用這些服務(wù)�,使用自定義域名����。例如,在Amazon VPC控制臺中創(chuàng)建付款服務(wù)時����,選擇指定自定義域配置,輸入自定義域名��,然后為HTTPS偵聽器選擇SSL/TLS證書�����。自定義SSL/TLS證書下拉列表顯示來自AWS Certificate Manager(ACM)的可用證書����。
保護服務(wù)間通信
現(xiàn)在已經(jīng)創(chuàng)建目標(biāo)組,看看如何保護服務(wù)間的通信�����。為了實現(xiàn)零信任身份驗證和授權(quán)�,使用AWS Identity and Access Management(IAM)。創(chuàng)建服務(wù)時��,選擇AWS IAM作為身份驗證類型���。
選擇僅允許經(jīng)過身份驗證的訪問策略模板�����,因此服務(wù)請求需要使用簽名版本4進行簽名�,這與AWS API使用的簽名協(xié)議相同�。通過這種方式,服務(wù)之間的請求由其IAM證書進行身份驗證,并且不必管理密鑰來保護它們的通信�����。
或者��,可以更 地使用身份驗證策略�,該策略僅提供對某些服務(wù)或服務(wù)特定URL路徑的訪問權(quán)限。例如����,可以將以下身份驗證策略應(yīng)用于訂單服務(wù),為Lambda函數(shù)提供這些權(quán)限:
對庫存服務(wù)/stock URL路徑的只讀訪問權(quán)限(GET方法)��。
對配送服務(wù)/delivery URL路徑的完全訪問權(quán)限(任何HTTP方法)�����。
使用Amazon VPC Lattice�,快速配置電子商務(wù)應(yīng)用程序服務(wù)之間的通信�����,包括安全和監(jiān)控�����,F(xiàn)在�,可以專注于業(yè)務(wù)邏輯,而不是管理服務(wù)之間的通信方式���。
Amazon VPC Lattice現(xiàn)已在以下亞馬遜云科技區(qū)域推出:美國東部(俄亥俄州)�、美國東部(弗吉尼亞州北部)�、美國西部(俄勒岡州)、亞太地區(qū)(新加坡)����、亞太地區(qū)(悉尼)、亞太地區(qū)(東京)和歐洲地區(qū)(愛爾蘭)�����。
亞馬遜云科技設(shè)計Amazon VPC Lattice的目的是允許隨著時間的推移逐步加入更多團隊���。您組織中的每個團隊都可以選擇是否以及何時使用Amazon VPC Lattice����。其他應(yīng)用程序可以使用HTTP和HTTPS等標(biāo)準(zhǔn)協(xié)議連接到Amazon VPC Lattice服務(wù)���。通過使用Amazon VPC Lattice�,您可以專注于應(yīng)用程序邏輯,通過對實例�����、容器和無服務(wù)器計算的一致支持來提高生產(chǎn)力和部署靈活性�����。
使用Amazon VPC Lattice簡化連接�����、保護和監(jiān)控服務(wù)的方式�����。
投稿郵箱:chuanbeiol@163.com 詳情請訪問川北在線:http://sanmuled.cn/
