原標(biāo)題:使用亞馬遜云科技Amazon VPC Lattice簡(jiǎn)化服務(wù)間的連接���、安全和監(jiān)控
在亞馬遜云科技re:Invent 2022中,亞馬遜云科技介紹了Amazon VPC Lattice預(yù)覽版���,這是Amazon Virtual Private Cloud(Amazon VPC)的一項(xiàng)新功能�,可通過(guò)一致的方式連接���、保護(hù)和監(jiān)控服務(wù)之間的通信�����。借助Amazon VPC Lattice�����,可以定義網(wǎng)絡(luò)訪問(wèn)��、流量管理和監(jiān)控策略��,以在實(shí)例����、容器和無(wú)服務(wù)器應(yīng)用程序之間連接計(jì)算服務(wù)。
4月10日��,亞馬遜云科技宣布Amazon VPC Lattice現(xiàn)已正式推出��。與預(yù)覽版相比��,有以下新功能:
除了Amazon VPC Lattice自動(dòng)生成的域名外�����,服務(wù)還可以使用自定義域名��。使用HTTPS時(shí)�,可以配置與自定義域名匹配的SSL/TLS證書(shū)。
可以部署開(kāi)源AWS Gateway API控制器�����,使用帶有Kubernetes原生體驗(yàn)的Amazon VPC Lattice����。該工具使用Kubernetes Gateway API來(lái)連接多個(gè)Kubernetes集群的服務(wù)以及在EC2實(shí)例�、容器和無(wú)服務(wù)器函數(shù)上運(yùn)行的服務(wù)。
可以使用應(yīng)用程序負(fù)載均衡器(ALB)或網(wǎng)絡(luò)負(fù)載均衡器(NLB)作為服務(wù)的目標(biāo)��。
IP地址目標(biāo)類型現(xiàn)在支持IPv6連接。
使用Amazon VPC Lattice實(shí)現(xiàn)服務(wù)間的連接
如何使用Amazon VPC Lattice實(shí)現(xiàn)電子商務(wù)應(yīng)用程序服務(wù)的相互通信����。為簡(jiǎn)單起見(jiàn),只考慮四種服務(wù):
訂單服務(wù)��,作為L(zhǎng)ambda函數(shù)運(yùn)行���。
庫(kù)存服務(wù)����,作為Amazon Elastic Container Service(Amazon ECS)部署在支持IPv6的雙堆棧Amazon VPC中�����。
配送服務(wù)����,作為ECS服務(wù)部署,并使用ALB向服務(wù)任務(wù)分配流量���。
付款服務(wù)�,在EC2實(shí)例上運(yùn)行��。
首先,創(chuàng)建一個(gè)服務(wù)網(wǎng)絡(luò)����。訂單服務(wù)需要致電庫(kù)存服務(wù)(檢查商品是否可供購(gòu)買(mǎi))、配送服務(wù)(組織商品配送)和付款服務(wù)(轉(zhuǎn)賬)���。這些服務(wù)在不同的亞馬遜云科技賬戶和多個(gè)Amazon VPC中運(yùn)行�。Amazon VPC Lattice可以處理跨越Amazon VPC邊界設(shè)置連接和跨賬戶權(quán)限的復(fù)雜性�����,因此服務(wù)間的通信就像HTTP/HTTPS調(diào)用一樣簡(jiǎn)單���。
訂單服務(wù)在連接到Amazon VPC的Lambda函數(shù)中運(yùn)行��。由于圖表中的所有Amazon VPC都與服務(wù)網(wǎng)絡(luò)相關(guān)聯(lián)���,因此訂單服務(wù)能夠調(diào)用其他服務(wù)(庫(kù)存、配送和付款)�,即使這些服務(wù)部署在不同的亞馬遜云科技賬戶和IP地址重疊的Amazon VPC中亦是如此。
使用網(wǎng)絡(luò)負(fù)載均衡器(NLB)作為目標(biāo)
庫(kù)存服務(wù)在雙堆棧Amazon VPC中運(yùn)行����。它作為帶有NLB的ECS服務(wù)部署,用于向服務(wù)中的任務(wù)分配流量��。為了獲取NLB的IPv6地址���,在EC2控制臺(tái)中查找NLB使用的網(wǎng)絡(luò)接口��。
為庫(kù)存服務(wù)創(chuàng)建目標(biāo)組時(shí)���,在基本配置下,選擇IP地址作為目標(biāo)類型��。然后���,選擇IPv6作為IP地址類型��。
使用應(yīng)用程序負(fù)載均衡器(ALB)作為目標(biāo)
使用ALB作為目標(biāo)甚至更容易操作�。為配送服務(wù)創(chuàng)建目標(biāo)組時(shí)�,在基本配置下,選擇新的應(yīng)用程序負(fù)載均衡器目標(biāo)類型����。選擇要在其中查找ALB的Amazon VPC并選擇協(xié)議版本。
在下一步中,選擇立即注冊(cè)���,然后從下拉列表中選擇ALB����。使用目標(biāo)組使用的默認(rèn)端口��。Amazon VPC Lattice不為ALB提供額外的運(yùn)行狀況檢查�。但是,負(fù)載均衡器已經(jīng)配置自己的運(yùn)行狀況檢查����。
為服務(wù)使用自定義域名
要調(diào)用這些服務(wù),使用自定義域名���。例如�����,在Amazon VPC控制臺(tái)中創(chuàng)建付款服務(wù)時(shí)���,選擇指定自定義域配置,輸入自定義域名�����,然后為HTTPS偵聽(tīng)器選擇SSL/TLS證書(shū)。自定義SSL/TLS證書(shū)下拉列表顯示來(lái)自AWS Certificate Manager(ACM)的可用證書(shū)���。
保護(hù)服務(wù)間通信
現(xiàn)在已經(jīng)創(chuàng)建目標(biāo)組,看看如何保護(hù)服務(wù)間的通信���。為了實(shí)現(xiàn)零信任身份驗(yàn)證和授權(quán)�����,使用AWS Identity and Access Management(IAM)�。創(chuàng)建服務(wù)時(shí)���,選擇AWS IAM作為身份驗(yàn)證類型�����。
選擇僅允許經(jīng)過(guò)身份驗(yàn)證的訪問(wèn)策略模板���,因此服務(wù)請(qǐng)求需要使用簽名版本4進(jìn)行簽名,這與AWS API使用的簽名協(xié)議相同��。通過(guò)這種方式,服務(wù)之間的請(qǐng)求由其IAM證書(shū)進(jìn)行身份驗(yàn)證��,并且不必管理密鑰來(lái)保護(hù)它們的通信�����。
或者��,可以更 地使用身份驗(yàn)證策略�����,該策略僅提供對(duì)某些服務(wù)或服務(wù)特定URL路徑的訪問(wèn)權(quán)限���。例如�,可以將以下身份驗(yàn)證策略應(yīng)用于訂單服務(wù)�����,為L(zhǎng)ambda函數(shù)提供這些權(quán)限:
對(duì)庫(kù)存服務(wù)/stock URL路徑的只讀訪問(wèn)權(quán)限(GET方法)���。
對(duì)配送服務(wù)/delivery URL路徑的完全訪問(wèn)權(quán)限(任何HTTP方法)���。
使用Amazon VPC Lattice��,快速配置電子商務(wù)應(yīng)用程序服務(wù)之間的通信����,包括安全和監(jiān)控����,F(xiàn)在,可以專注于業(yè)務(wù)邏輯�����,而不是管理服務(wù)之間的通信方式��。
Amazon VPC Lattice現(xiàn)已在以下亞馬遜云科技區(qū)域推出:美國(guó)東部(俄亥俄州)����、美國(guó)東部(弗吉尼亞州北部)����、美國(guó)西部(俄勒岡州)、亞太地區(qū)(新加坡)�、亞太地區(qū)(悉尼)、亞太地區(qū)(東京)和歐洲地區(qū)(愛(ài)爾蘭)�����。
亞馬遜云科技設(shè)計(jì)Amazon VPC Lattice的目的是允許隨著時(shí)間的推移逐步加入更多團(tuán)隊(duì)。您組織中的每個(gè)團(tuán)隊(duì)都可以選擇是否以及何時(shí)使用Amazon VPC Lattice���。其他應(yīng)用程序可以使用HTTP和HTTPS等標(biāo)準(zhǔn)協(xié)議連接到Amazon VPC Lattice服務(wù)�����。通過(guò)使用Amazon VPC Lattice�����,您可以專注于應(yīng)用程序邏輯��,通過(guò)對(duì)實(shí)例���、容器和無(wú)服務(wù)器計(jì)算的一致支持來(lái)提高生產(chǎn)力和部署靈活性。
使用Amazon VPC Lattice簡(jiǎn)化連接�、保護(hù)和監(jiān)控服務(wù)的方式。
投稿郵箱:chuanbeiol@163.com 詳情請(qǐng)?jiān)L問(wèn)川北在線:http://www.sanmuled.cn/
