原標(biāo)題:使用亞馬遜云科技Amazon VPC Lattice簡(jiǎn)化服務(wù)間的連接、安全和監(jiān)控
在亞馬遜云科技re:Invent 2022中,亞馬遜云科技介紹了Amazon VPC Lattice預(yù)覽版,這是Amazon Virtual Private Cloud(Amazon VPC)的一項(xiàng)新功能,可通過(guò)一致的方式連接、保護(hù)和監(jiān)控服務(wù)之間的通信。借助Amazon VPC Lattice,可以定義網(wǎng)絡(luò)訪問(wèn)、流量管理和監(jiān)控策略,以在實(shí)例、容器和無(wú)服務(wù)器應(yīng)用程序之間連接計(jì)算服務(wù)。
4月10日,亞馬遜云科技宣布Amazon VPC Lattice現(xiàn)已正式推出。與預(yù)覽版相比,有以下新功能:
除了Amazon VPC Lattice自動(dòng)生成的域名外,服務(wù)還可以使用自定義域名。使用HTTPS時(shí),可以配置與自定義域名匹配的SSL/TLS證書(shū)。
可以部署開(kāi)源AWS Gateway API控制器,使用帶有Kubernetes原生體驗(yàn)的Amazon VPC Lattice。該工具使用Kubernetes Gateway API來(lái)連接多個(gè)Kubernetes集群的服務(wù)以及在EC2實(shí)例、容器和無(wú)服務(wù)器函數(shù)上運(yùn)行的服務(wù)。
可以使用應(yīng)用程序負(fù)載均衡器(ALB)或網(wǎng)絡(luò)負(fù)載均衡器(NLB)作為服務(wù)的目標(biāo)。
IP地址目標(biāo)類型現(xiàn)在支持IPv6連接。
使用Amazon VPC Lattice實(shí)現(xiàn)服務(wù)間的連接
如何使用Amazon VPC Lattice實(shí)現(xiàn)電子商務(wù)應(yīng)用程序服務(wù)的相互通信。為簡(jiǎn)單起見(jiàn),只考慮四種服務(wù):
訂單服務(wù),作為L(zhǎng)ambda函數(shù)運(yùn)行。
庫(kù)存服務(wù),作為Amazon Elastic Container Service(Amazon ECS)部署在支持IPv6的雙堆棧Amazon VPC中。
配送服務(wù),作為ECS服務(wù)部署,并使用ALB向服務(wù)任務(wù)分配流量。
付款服務(wù),在EC2實(shí)例上運(yùn)行。
首先,創(chuàng)建一個(gè)服務(wù)網(wǎng)絡(luò)。訂單服務(wù)需要致電庫(kù)存服務(wù)(檢查商品是否可供購(gòu)買)、配送服務(wù)(組織商品配送)和付款服務(wù)(轉(zhuǎn)賬)。這些服務(wù)在不同的亞馬遜云科技賬戶和多個(gè)Amazon VPC中運(yùn)行。Amazon VPC Lattice可以處理跨越Amazon VPC邊界設(shè)置連接和跨賬戶權(quán)限的復(fù)雜性,因此服務(wù)間的通信就像HTTP/HTTPS調(diào)用一樣簡(jiǎn)單。
訂單服務(wù)在連接到Amazon VPC的Lambda函數(shù)中運(yùn)行。由于圖表中的所有Amazon VPC都與服務(wù)網(wǎng)絡(luò)相關(guān)聯(lián),因此訂單服務(wù)能夠調(diào)用其他服務(wù)(庫(kù)存、配送和付款),即使這些服務(wù)部署在不同的亞馬遜云科技賬戶和IP地址重疊的Amazon VPC中亦是如此。
使用網(wǎng)絡(luò)負(fù)載均衡器(NLB)作為目標(biāo)
庫(kù)存服務(wù)在雙堆棧Amazon VPC中運(yùn)行。它作為帶有NLB的ECS服務(wù)部署,用于向服務(wù)中的任務(wù)分配流量。為了獲取NLB的IPv6地址,在EC2控制臺(tái)中查找NLB使用的網(wǎng)絡(luò)接口。
為庫(kù)存服務(wù)創(chuàng)建目標(biāo)組時(shí),在基本配置下,選擇IP地址作為目標(biāo)類型。然后,選擇IPv6作為IP地址類型。
使用應(yīng)用程序負(fù)載均衡器(ALB)作為目標(biāo)
使用ALB作為目標(biāo)甚至更容易操作。為配送服務(wù)創(chuàng)建目標(biāo)組時(shí),在基本配置下,選擇新的應(yīng)用程序負(fù)載均衡器目標(biāo)類型。選擇要在其中查找ALB的Amazon VPC并選擇協(xié)議版本。
在下一步中,選擇立即注冊(cè),然后從下拉列表中選擇ALB。使用目標(biāo)組使用的默認(rèn)端口。Amazon VPC Lattice不為ALB提供額外的運(yùn)行狀況檢查。但是,負(fù)載均衡器已經(jīng)配置自己的運(yùn)行狀況檢查。
為服務(wù)使用自定義域名
要調(diào)用這些服務(wù),使用自定義域名。例如,在Amazon VPC控制臺(tái)中創(chuàng)建付款服務(wù)時(shí),選擇指定自定義域配置,輸入自定義域名,然后為HTTPS偵聽(tīng)器選擇SSL/TLS證書(shū)。自定義SSL/TLS證書(shū)下拉列表顯示來(lái)自AWS Certificate Manager(ACM)的可用證書(shū)。
保護(hù)服務(wù)間通信
現(xiàn)在已經(jīng)創(chuàng)建目標(biāo)組,看看如何保護(hù)服務(wù)間的通信。為了實(shí)現(xiàn)零信任身份驗(yàn)證和授權(quán),使用AWS Identity and Access Management(IAM)。創(chuàng)建服務(wù)時(shí),選擇AWS IAM作為身份驗(yàn)證類型。
選擇僅允許經(jīng)過(guò)身份驗(yàn)證的訪問(wèn)策略模板,因此服務(wù)請(qǐng)求需要使用簽名版本4進(jìn)行簽名,這與AWS API使用的簽名協(xié)議相同。通過(guò)這種方式,服務(wù)之間的請(qǐng)求由其IAM證書(shū)進(jìn)行身份驗(yàn)證,并且不必管理密鑰來(lái)保護(hù)它們的通信。
或者,可以更 地使用身份驗(yàn)證策略,該策略僅提供對(duì)某些服務(wù)或服務(wù)特定URL路徑的訪問(wèn)權(quán)限。例如,可以將以下身份驗(yàn)證策略應(yīng)用于訂單服務(wù),為L(zhǎng)ambda函數(shù)提供這些權(quán)限:
對(duì)庫(kù)存服務(wù)/stock URL路徑的只讀訪問(wèn)權(quán)限(GET方法)。
對(duì)配送服務(wù)/delivery URL路徑的完全訪問(wèn)權(quán)限(任何HTTP方法)。
使用Amazon VPC Lattice,快速配置電子商務(wù)應(yīng)用程序服務(wù)之間的通信,包括安全和監(jiān)控。現(xiàn)在,可以專注于業(yè)務(wù)邏輯,而不是管理服務(wù)之間的通信方式。
Amazon VPC Lattice現(xiàn)已在以下亞馬遜云科技區(qū)域推出:美國(guó)東部(俄亥俄州)、美國(guó)東部(弗吉尼亞州北部)、美國(guó)西部(俄勒岡州)、亞太地區(qū)(新加坡)、亞太地區(qū)(悉尼)、亞太地區(qū)(東京)和歐洲地區(qū)(愛(ài)爾蘭)。
亞馬遜云科技設(shè)計(jì)Amazon VPC Lattice的目的是允許隨著時(shí)間的推移逐步加入更多團(tuán)隊(duì)。您組織中的每個(gè)團(tuán)隊(duì)都可以選擇是否以及何時(shí)使用Amazon VPC Lattice。其他應(yīng)用程序可以使用HTTP和HTTPS等標(biāo)準(zhǔn)協(xié)議連接到Amazon VPC Lattice服務(wù)。通過(guò)使用Amazon VPC Lattice,您可以專注于應(yīng)用程序邏輯,通過(guò)對(duì)實(shí)例、容器和無(wú)服務(wù)器計(jì)算的一致支持來(lái)提高生產(chǎn)力和部署靈活性。
使用Amazon VPC Lattice簡(jiǎn)化連接、保護(hù)和監(jiān)控服務(wù)的方式。
投稿郵箱:chuanbeiol@163.com 詳情請(qǐng)?jiān)L問(wèn)川北在線:http://m.sanmuled.cn/