الأسئلة الشائعة حول Amazon VPC Lattice

موضوعات الصفحة

عام

عام

Amazon VPC Lattice هي خدمة لشبكات طبقة التطبيقات تتيح لك إقامة الاتصالات وتأمينها ومراقبتها بين الخدمات بطريقة متسقة وبدون أي خبرة سابقة في الاتصال بالشبكات. باستخدام VPC Lattice، يمكنك تكوين الوصول إلى الشبكة وإدارة حركة الارتياد ومراقبة الشبكة بهدف تمكين الاتصال المتسق بين الخدمات وفي عدة سحابات افتراضية خاصة (VPC) وحسابات، وذلك مهما كان نوع الحساب الأساسي.

تساهم VPC Lattice في معالجة حالات الاستخدام التالية:

ربط الخدمات على نطاق واسع – ربط آلاف الخدمات عبر عدة حسابات خاصة افتراضية (VPC) وحسابات من دون زيادة تعقيد الشبكة.

تطبيق أذونات وصول دقيقة - تحسين الأمان بين الخدمات ودعم البنيات القائمة على مبدأ انعدام الثقة Zero Trust مع مركزية عناصر التحكم في الوصول والمصادقة والتفويض الخاص بالسياق.

تنفيذ عناصر تحكم متقدمة في حركة المرور - تطبيق عناصر التحكم الدقيقة في حركة المرور، مثل التوجيه على مستوى الطلب والأهداف الموزونة لعمليات blue/green deployment وعمليات نشر الكناري.

مراقبة التفاعلات بين الخدمات – مراقبة الاتصالات بين الخدمات وتحديد الأخطاء فيها وإصلاحها حسب نوع الطلب وحجم حركة المرور والثغرات وزمن الاستجابة والمزيد.

تساعد VPC Lattice على سد الفجوة بين المطورين ومسؤولي السحابة من خلال توفير ميزات وإمكانيات خاصة بالأدوار. يجذب VPC Lattice المطورين الذين لا يريدون التعلم وتنفيذ مهام البنية الأساسية والشبكات المعتادة المطلوبة لتشغيل التطبيقات الحديثة بسرعة. يجب أن يكون المطورون قادرين على التركيز على تطوير التطبيقات وليس الشبكات. ستجذب VPC Lattice أيضًا مسؤولي السحابة والشبكات الذين يتطلعون إلى زيادة الوضع الأمني لمؤسستهم من خلال تمكين المصادقة والتفويض والتشفير بطريقة متسقة في مُختلف بيئات الحوسبة المختلطة (المثيلات والحاويات وبلا خادم) وفي عدة سحابات VPC وحسابات.

يمكنك استخدام VPC Lattice في إنشاء شبكات طبقة تطبيق منطقية، تُسمى شبكات الخدمة التي تمكّن الاتصال بين الخدمات في عدة سحابات خاصة افتراضية (VPC) وحدود حسابات، ما يزيل تعقيد الشبكة. وهي توفر إمكانية الاتصال عبر بروتوكولات HTTP/HTTPS وgRPC من خلال مستوى بيانات مخصص داخل سحابة VPC. يتم عرض واجهة البيانات هذه من خلال نقطة نهاية ارتباط محلية لا يمكن الوصول إليها إلا من داخل سحابة VPC الخاصة بك.

يمكن للمسؤولين استخدام AWS Resource Access Manager (AWS RAM) للتحكم في الحسابات وسحابات VPC التي يمكنها إقامة اتصال من خلال شبكة الخدمة. عندما تكون سحابة VPC مرتبطة بشبكة خدمة، يمكن للموارد الموجودة داخل سحابة VPC اكتشاف مجموعة الخدمات في شبكة الخدمة والاتصال بها تلقائيًا. يمكن لمالكي الخدمة استخدام تكاملات الحوسبة VPC Lattice لإضافة خدماتهم من سحابة الحوسبة المرنة لـ Amazon (‏Amazon EC2)، وخدمة خدمة Kubernetes المرنة بـ Amazon (‏Amazon EKS)، وAWS Lambda، واختيار الانضمام إلى شبكة خدمة واحدة أو أكثر. يمكن لمالكي الخدمة أيضًا تكوين قواعد إدارة حركة الارتياد المتقدمة لتحديد كيفية معالجة الطلب لدعم الأنماط الشائعة، مثل عمليات النشر الزرقاء/الخضراء والكناري. بالإضافة إلى إدارة حركة الارتياد، يمكن لمالكي الخدمة والمسؤولين تنفيذ ضوابط وصول إضافية عن طريق فرض المصادقة والترخيص من خلال سياسة مصادقة VPC Lattice. يمكن للمسؤولين فرض حواجز الحماية على مستوى شبكة الخدمة وتطبيق ضوابط وصول دقيقة على الخدمات الفردية. صُممت VPC Lattice لتكون غير اجتياحية وللعمل مع أنماط البنية الحالية، ما يسمح لفرق التطوير في مؤسستك بإعداد خدماتهم تدريجيًا بمرور الوقت.

تقدّم VPC Lattice أربعة عوامل رئيسية:

الخدمة – وحدة برمجية قابلة للنشر بشكل مستقل تقدم مهمة أو وظيفة محددة. يمكن أن تبقى الخدمة في أي سحابة VPC أو حساب، ويمكن تشغيلها على مثيلات أو حاويات أو حوسبة بلا خادم. تتكون الخدمة من مستمعين وقواعد ومجموعات أهداف، على غرار AWS Application Load Balancer.

دليل الخدمة - سجل مركزي لجميع الخدمات المسجلة في VPC Lattice التي أنشأتها أو شاركتها مع حسابك من خلال AWS RAM.

شبكة الخدمة - آلية مجموعة تدفقات السجل لتبسيط كيفية تمكين المستخدمين للاتصال وتطبيق سياسات مشتركة على مجموعة من الخدمات. يمكن مشاركة شبكات الخدمة في حسابات متعددة باستخدام AWS RAM وربطها بسحابات VPC لتمكين الاتصال بمجموعة من الخدمات.

سياسة المصادقة - سياسة المصادقة هي سياسة موارد إدارة الهوية والوصول في AWS Identity and Access Management (IAM) التي يمكن ربطها بشبكة خدمة وخدمات فردية لتحديد ضوابط الوصول. تستخدم سياسة المصادقة IAM، ويمكنك تحديد أسئلة نمطية ثرية تحتوي على الكيان والإجراء والمورد والشرط (PARC) لفرض المصادقة الخاصة بالسياق على خدمات VPC Lattice. عادةً ما تطبق المؤسسات سياسات المصادقة العامة في شبكة الخدمة، مثل "غير مسموح سوى بالطلبات المصادق عليها في نطاق معرِّف مؤسستي"، وسياسات أكثر دقة على مستوى الخدمة.

تتوفر VPC Lattice حاليًا في مناطق AWS التالية: شرق الولايات المتحدة (أوهايو)، وشرق الولايات المتحدة (شمال فيرجينيا)، وغرب الولايات المتحدة (أوريجون)، وغرب الولايات المتحدة (شمال كاليفورنيا)، وأفريقيا (كيب تاون)، وآسيا والمحيط الهادئ (مومباي)، وآسيا والمحيط الهادئ (سنغافورة)، وآسيا والمحيط الهادئ (سيدني)، وآسيا والمحيط الهادئ (سيول)، وآسيا والمحيط الهادئ (طوكيو)، وكندا (الوسطى)، وأوروبا (أيرلندا)، وأوروبا (فرانكفورت)، وأوروبا (لندن)، وأوروبا (لندن)، وأوروبا (ميلان) وأوروبا (باريس) وأوروبا (ستوكهولم) وأمريكا الجنوبية (ساو باولو).

تعد Lattice إحدى ميزات VPC ولا تتطلب تقييمًا/استدعاءً منفصلًا. تعتبر ميزات الخدمات ضمن النطاق «مُقيَّمة/مغطاة» كما تم ذكرها أيضًا في خدمات AWS في النطاق من خلال برنامج الامتثال. ما لم يتم استبعادها على وجه التحديد، يتم النظر في الميزات المتاحة بشكل عام لكل خدمة في نطاق برامج الضمان.

لا توجد رسوم إضافية لنقل البيانات عبر منطقة التوافر لـ Amazon VPC Lattice. تتم تغطية نقل البيانات عبر مناطق التوافر من خلال بُعد معالجة البيانات الخاص بتسعير خدمة VPC Lattice.

لمراقبة تدفقات حركة المرور وإمكانية الوصول، يمكنك الاستفادة من سجلات الوصول (Access Logs) على كل من شبكة الخدمة ومستوى الخدمة. للحصول على إمكانية المراقبة الكاملة لبيئتك، يمكنك أيضًا عرض المقاييس للمجموعات المستهدفة للخدمات وLattice. يمكن تصدير سجلات شبكة الخدمة ومستوى الخدمة إلى CloudWatch Logs أو S3 أو Kinesis Data Firehose. بالإضافة إلى ذلك، يمكن استخدام ميزات الملاحظة الأخرى من AWS، مثل سجلات VPC Flow Logs وAWS X-Ray لتتبع تدفقات الشبكة وتفاعلات الخدمة واستدعاءات API.

عند إنشاء خدمة VPC Lattice، يتم إنشاء اسم نطاق مؤهل بالكامل (FQDN) في منطقة المسار Route 53 المستضافة العامة التي تديرها AWS. يمكنك استخدام أسماء DNS هذه في سجلات CNAME Alias في المنطقة (المناطق) المستضافة الخاصة بك، المرتبطة بالسحابة (السحابات) الخاصة الافتراضية (VPC) المرتبطة بشبكة الخدمة. يمكنك تحديد اسم مجال مخصص لحل أسماء الخدمات المخصصة. إذا قمت بتحديد اسم مجال مخصص، يجب تكوين توجيه DNS بعد إنشاء الخدمة. هذا لتعيين استعلامات DNS لاسم المجال المخصص إلى نقطة نهاية VPC Lattice. إذا كنت تستخدم Route 53 كخدمة DNS الخاصة بك، يمكنك تكوين سجل CNAME Alias داخل مناطق Amazon Route 53 المستضافة العامة أو الخاصة. بالنسبة إلى HTTPS، يجب أيضًا تحديد شهادة SSL/TLS التي تطابق اسم المجال المخصص.

نعم، Amazon VPC Lattice تدعم HTTPS وتقوم أيضًا بإنشاء شهادة لكل خدمة، تتم إدارتها من خلال Amazon Certificate Manager‏ (ACM). بالنسبة للمصادقة من جانب العميل، تستخدم Lattice AWS SIGv4.

نعم، تعد Amazon VPC Lattice خدمة إقليمية عالية التوافر وموزعة. عندما تقوم بتسجيل خدمة في VPC Lattice، فمن الأفضل أن تنتشر الأهداف عبر مناطق توافر الخدمات المتعددة. ستضمن خدمة VPC Lattice توجيه حركة المرور إلى أهداف سليمة، استنادًا إلى القواعد والشروط التي تم تكوينها.

تتكامل Amazon VPC Lattice بشكل أصلي مع خدمة Kubernetes المرنة من Amazon‏ (EKS) وأحمال عمل Kubernetes المُدارة ذاتيًا من خلال AWS Gateway API Controller التي تعد تطبيقًا لواجهة Kubernetes Gateway API. هذا يسهل تسجيل الخدمات الحالية أو الجديدة إلى Lattice، والتخطيط الديناميكي لمسارات HTTP إلى موارد Kubernetes.

تُعد خدمات Amazon VPC Lattice وشبكات الخدمة مكونات إقليمية. إذا كانت لديك بيئة متعددة المناطق، فيمكنك الحصول على الخدمات وشبكات الخدمة في كل منطقة. بالنسبة لأنماط الاتصال المحلية وعبر المناطق، يمكنك حاليًا الاعتماد على خدمات الاتصال العالمية لـ AWS مثل VPC Peering عبر المناطق أو AWS Transit Gateway أو AWS Direct Connect أو AWS Cloud WAN. يرجى الاطلاع على هذه المدونة التي توضح أنماط الاتصال عبر المناطق.

نعم، Amazon VPC Lattice تدعم IPv6 ويمكنها إجراء ترجمة عنوان الشبكة بين مساحة عناوين IPv4 وIPv6 المتداخلة عبر خدمات VPC Lattice وسحابات VPC. تساعدك Amazon VPC Lattice في توصيل خدمات IPv4 وIPv6 بأمان، ومراقبة تدفقات الاتصالات بطريقة بسيطة ومتسقة عبر أنواع الحوسبة المختلفة. وهو يوفر قابلية التشغيل البيني الأصلي بين خدمات IP بغض النظر عن عنوان IP الأساسي، والذي يمكن أن يساعد في تسهيل اعتماد IPv6 عبر الخدمات على AWS. يرجى مراجعة هذه المدونة لمزيد من التفاصيل.

نعم، يمكن استخدام العلامات لأتمتة إضافة وإزالة ارتباطات موارد Amazon VPC Lattice ومشاركات الموارد عبر الحسابات باستخدام Amazon EventBridge وAWS Lambda وAWS CloudTrail وAWS Resource Access Manager (AWS RAM). يمكن استخدام هذه الطرق داخل AWS Organization واحدة أو عبر حسابات AWS متعددة، مما يدعم حالات الاستخدام المتعددة مثل تطبيقات المورد/العميل. يرجى الاطلاع على هذه المدونة لمزيد من التفاصيل وأمثلة التنفيذ.

يجب أن يتناسب تصميم توزيع شبكة الخدمة مع هيكل مؤسستك ونموذجك التشغيلي. يمكنك اختيار امتلاك شبكة خدمة خاصة بالمجال على مستوى المؤسسة، وتكوين سياسات الوصول وفقًا لذلك. أو يمكنك اتباع نهج أكثر تجزئًا لشبكات الخدمة، وربطها بكل مجال من مجالات التوجيه الخاصة بك وعبر وحدات الأعمال المستقلة في مؤسستك. يمكن ربط VPC واحد بشبكة خدمة واحدة في كل مرة، بينما يمكن تسجيل الخدمة في شبكات خدمة متعددة.