- Amazon VPC›
- Amazon VPC Lattice›
- Câu hỏi thường gặp
Các câu hỏi thường gặp về Amazon VPC Lattice
Chủ đề trang
Thông tin chungThông tin chung
Amazon VPC Lattice là gì?
Amazon VPC Lattice là một dịch vụ kết nối mạng ứng dụng cung cấp cho bạn một cách nhất quán để kết nối, bảo mật và giám sát hoạt động giao tiếp giữa các dịch vụ và giữa dịch vụ với tài nguyên mà không cần bất kỳ kiến thức chuyên môn nào về kết nối mạng trước đó. Với VPC Lattice, bạn có thể cấu hình quyền truy cập mạng, quản lý lưu lượng và giám sát mạng để cho phép giao tiếp giữa các dịch vụ và giữa dịch vụ với tài nguyên một cách nhất quán giữa các VPC và tài khoản, bất kể loại điện toán cơ bản nào.
Amazon VPC Lattice giải quyết những trường hợp sử dụng nào?
VPC Lattice giúp giải quyết các trường hợp sử dụng sau:
Kết nối các dịch vụ và tài nguyên trên quy mô lớn – Kết nối hàng nghìn dịch vụ và tài nguyên trên các VPC và tài khoản mà không làm tăng độ phức tạp của mạng.
Áp dụng quyền truy cập chi tiết – Cải thiện bảo mật giữa các dịch vụ và giữa dịch vụ với tài nguyên cũng như hỗ trợ kiến trúc Zero Trust với các biện pháp kiểm soát truy cập tập trung, xác thực và ủy quyền theo bối cảnh cụ thể.
Thực hiện kiểm soát lưu lượng nâng cao – Áp dụng các biện pháp kiểm soát lưu lượng chi tiết như định tuyến ở cấp yêu cầu và các mục tiêu có trọng số cho chiến lược triển khai lục/lam và triển khai canary.
Quan sát tương tác giữa các dịch vụ và giữa dịch vụ với tài nguyên – Giám sát và khắc phục sự cố giao tiếp giữa các dịch vụ và giữa dịch vụ với tài nguyên đối với loại yêu cầu, lưu lượng truy cập, lỗi, thời gian phản hồi, v.v.
Tại sao tôi nên sử dụng Amazon VPC Lattice?
VPC Lattice giúp thu hẹp khoảng cách giữa nhà phát triển và quản trị viên đám mây bằng cách cung cấp các tính năng và khả năng cụ thể theo vai trò. Những nhà phát triển không muốn tìm hiểu và thực hiện các tác vụ mạng và cơ sở hạ tầng thông thường cần thiết để giúp các ứng dụng hiện đại hoạt động một cách nhanh chóng sẽ thích VPC Lattice. Nhà phát triển nên tập trung vào việc xây dựng ứng dụng chứ không phải mạng. VPC Lattice cũng sẽ thu hút các quản trị viên mạng và đám mây đang tìm cách tăng cường tình trạng bảo mật cho tổ chức của họ qua việc cho phép xác thực, ủy quyền và mã hóa theo cách nhất quán trên các môi trường điện toán hỗn hợp (phiên bản, bộ chứa, phi máy chủ) cũng như trên các VPC và tài khoản.
Amazon VPC Lattice hoạt động như thế nào?
Bạn có thể sử dụng VPC Lattice để tạo các mạng ứng dụng logic, được gọi là mạng dịch vụ, cho phép giao tiếp giữa các dịch vụ và giữa dịch vụ với tài nguyên qua các đám mây riêng ảo (VPC) và ranh giới tài khoản, lược bỏ tính phức tạp của mạng. Dịch vụ này cung cấp khả năng kết nối qua các giao thức HTTP/HTTPS, gRPC và TCP thông qua một mặt phẳng dữ liệu chuyên dụng trong VPC Lattice. Mặt phẳng dữ liệu này được hiển thị thông qua cả hai điểm cuối liên kết cục bộ chỉ có thể được truy cập từ bên trong VPC của bạn và các điểm cuối VPC thuộc loại mạng dịch vụ có thể được truy cập từ bên trong VPC của bạn cũng như từ bên ngoài VPC của bạn.
Quản trị viên có thể sử dụng Trình quản lý quyền truy cập tài nguyên AWS (AWS RAM) để kiểm soát tài khoản và VPC nào có thể thiết lập giao tiếp thông qua mạng dịch vụ. Khi VPC được liên kết với mạng dịch vụ, các máy khách trong VPC có thể tự động khám phá và kết nối với tập hợp các dịch vụ và tài nguyên trong mạng dịch vụ. Chủ sở hữu dịch vụ có thể sử dụng tích hợp điện toán VPC Lattice để tích hợp dịch vụ của họ từ Amazon Elastic Compute Cloud (Amazon EC2), Dịch vụ Kubernetes linh hoạt Amazon (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate và AWS Lambda, đồng thời chọn một hoặc nhiều mạng dịch vụ để tham gia. Chủ sở hữu dịch vụ cũng có thể định cấu hình các quy tắc quản lý lưu lượng nâng cao để xác định cách xử lý yêu cầu nhằm hỗ trợ các mẫu phổ biến như triển khai kiểu liên tục và từng phần. Chủ sở hữu tài nguyên có thể chia sẻ tài nguyên như cơ sở dữ liệu RDS giữa các tài khoản và thêm các tài nguyên này vào mạng dịch vụ. Ngoài quản lý lưu lượng, chủ sở hữu dịch vụ và tài nguyên cũng như quản trị viên có thể triển khai các biện pháp kiểm soát truy cập bổ sung bằng cách thực thi xác thực và ủy quyền thông qua Chính sách xác thực của VPC Lattice. Quản trị viên có thể thực thi các quy tắc bảo vệ ở cấp mạng dịch vụ và áp dụng các biện pháp kiểm soát truy cập chi tiết trên từng dịch vụ và tài nguyên riêng lẻ. VPC Lattice được thiết kế để không xâm lấn và hoạt động cùng với các kiểu mẫu kiến trúc hiện có, cho phép các đội ngũ phát triển trong toàn tổ chức dần tích hợp các dịch vụ và tài nguyên của họ theo thời gian.
Các thành phần chính của Amazon VPC Lattice là gì?
VPC Lattice giới thiệu sáu thành phần chính:
Dịch vụ – Một đơn vị phần mềm có thể triển khai độc lập cung cấp một tác vụ hoặc chức năng cụ thể. Một dịch vụ có thể tồn tại trong bất kỳ VPC hoặc tài khoản nào và có thể chạy trên các phiên bản, bộ chứa hoặc điện toán phi máy chủ. Một dịch vụ bao gồm các trình xử lý sự kiện, quy tắc và nhóm đối tượng tương tự như Trình cân bằng tải ứng dụng AWS.
Thư mục dịch vụ – Sổ đăng ký tập trung của tất cả dịch vụ đã được đăng ký với VPC Lattice mà bạn đã tạo hoặc được chia sẻ với tài khoản của mình thông qua AWS RAM.
Cấu hình tài nguyên – Cấu hình tài nguyên đại diện cho tài nguyên dựa trên TCP nằm trong VPC hoặc môi trường tại chỗ, chẳng hạn như cơ sở dữ liệu RDS, mục tiêu tên miền hoặc địa chỉ IP. Một cấu hình tài nguyên có thể được chia sẻ giữa các tài khoản. Khi cấu hình tài nguyên được chia sẻ với tài khoản khác, tài khoản đó có thể truy cập tài nguyên một cách riêng tư.
Cổng tài nguyên – Cổng tài nguyên là một điểm đầu vào trong VPC cho lưu lượng truy cập có đích đến là tài nguyên TCP được chia sẻ trong cấu hình tài nguyên.
Mạng dịch vụ – Một cơ chế nhóm bản ghi để đơn giản hóa cách người dùng kích hoạt kết nối và áp dụng các chính sách chung cho tập hợp các dịch vụ và tài nguyên. Mạng dịch vụ có thể được chia sẻ giữa các tài khoản có RAM AWS và được liên kết với VPC để cho phép kết nối với một nhóm dịch vụ và tài nguyên.
Chính sách xác thực – Chính sách xác thực là chính sách tài nguyên Quản lý danh tính và truy cập (IAM) trong AWS mà bạn có thể liên kết với mạng dịch vụ và các dịch vụ và tài nguyên riêng lẻ để xác định biện pháp kiểm soát truy cập. Chính sách xác thực sử dụng IAM và bạn có thể chỉ định các câu hỏi kiểu đối tượng nhận quyền-hành động-tài nguyên-điều kiện (PARC) phong phú để thực thi ủy quyền theo từng bối cảnh cụ thể trên các dịch vụ VPC Lattice. Thông thường, một tổ chức sẽ áp dụng các Chính sách xác thực chi tiết hơn ở mạng dịch vụ như “chỉ cho phép các yêu cầu được xác thực trong id tổ chức của tôi” và các chính sách chi tiết hơn ở cấp dịch vụ và tài nguyên.
Amazon VPC Lattice được cung cấp ở những Khu vực nào?
VPC Lattice hiện được cung cấp ở các Khu vực AWS sau: Miền Đông Hoa Kỳ (Ohio), Miền Đông Hoa Kỳ (Bắc Virginia), Miền Tây Hoa Kỳ (Oregon), Miền Tây Hoa Kỳ (Bắc California), Châu Phi (Cape Town), Châu Á Thái Bình Dương (Mumbai), Châu Á Thái Bình Dương (Singapore), Châu Á Thái Bình Dương (Sydney), Châu Á Thái Bình Dương (Seoul), Châu Á Thái Bình Dương (Tokyo), Canada (Miền Trung), Châu Âu (Ireland), Châu Âu (Frankfurt), Châu Âu (London), Châu Âu (Milan), Châu Âu (Paris), Châu Âu (Stockholm) và Nam Mỹ (Sao Paulo).
VPC Lattice thuộc chương trình tuân thủ nào? Làm thế nào để xác minh tính đủ điều kiện?
Lattice là một tính năng của VPC và không cần đánh giá/thiết lập giao tiếp riêng biệt. Các tính năng của các dịch vụ trong phạm vi được coi là “được đánh giá/được bao gồm” và nó cũng được nêu trong Dịch vụ AWS trong phạm vi theo Chương trình Tuân thủ. Trừ khi được loại trừ cụ thể, các tính năng thường được cung cấp của mỗi dịch vụ được coi là nằm trong phạm vi của các chương trình đảm bảo.
Có thêm phí nào cho việc truyền dữ liệu giữa các vùng sẵn sàng với Amazon VPC Lattice không?
Không có thêm phí nào cho việc truyền dữ liệu giữa các vùng sẵn sàng đối với Amazon VPC Lattice. Việc truyền dữ liệu qua các vùng sẵn sàng được tính trong chỉ số xử lý dữ liệu của giá dịch vụ VPC Lattice.
Làm thế nào để theo dõi và khắc phục sự cố về khả năng tiếp cận và lưu lượng truy cập của ứng dụng với Amazon VPC Lattice?
Để theo dõi luồng lưu lượng truy cập và khả năng tiếp cận, bạn có thể tận dụng bản ghi truy cập ở cấp dịch vụ, tài nguyên và mạng dịch vụ. Để có khả năng quan sát toàn bộ môi trường của mình, bạn cũng có thể xem các chỉ số dành cho các nhóm mục tiêu dịch vụ và VPC Lattice của mình. Bản ghi ở cấp mạng dịch vụ, dịch vụ và tài nguyên có thể được xuất sang Bản ghi Amazon CloudWatch, Amazon Simple Storage Service (S3) hoặc Amazon Data Firehose. Ngoài ra, bạn có thể sử dụng các tính năng khác về khả năng quan sát của AWS, chẳng hạn như bản ghi lưu lượng VPC và AWS X-Ray để theo dõi luồng mạng, tương tác dịch vụ và lệnh gọi API.
Quá trình đăng ký DNS Amazon VPC Lattice diễn ra như thế nào?
Khi tạo dịch vụ VPC Lattice, một tên miền đầy đủ (FQDN) sẽ được tạo ra trong vùng được lưu trữ công khai của Route 53 do AWS quản lý. Bạn có thể sử dụng các tên DNS này trong bản ghi Bí danh CNAME trong (các) Vùng được lưu trữ riêng của riêng bạn, được liên kết với (các) VPC được liên kết với Mạng dịch vụ. Bạn có thể chỉ định một tên miền tùy chỉnh để phân giải tên dịch vụ tùy chỉnh. Nếu bạn chỉ định tên miền tùy chỉnh, bạn phải cấu hình định tuyến DNS sau khi dịch vụ của bạn được tạo. Bước này là để ánh xạ các truy vấn DNS cho tên miền tùy chỉnh đến điểm cuối VPC Lattice. Nếu bạn đang sử dụng Route 53 làm dịch vụ DNS của mình, bạn có thể cấu hình bản ghi Bí danh CNAME trong vùng được lưu trữ công khai hoặc riêng tư của Amazon Route 53 của bạn. Đối với HTTPS, bạn cũng phải chỉ định chứng chỉ SSL/TLS khớp với tên miền tùy chỉnh.
Tôi có thể sử dụng Amazon VPC Lattice cho các luồng ứng dụng được mã hóa không?
Có, Amazon VPC Lattice hỗ trợ HTTPs và cũng tạo chứng chỉ cho mỗi Dịch vụ, được quản lý thông qua Trình quản lý chứng chỉ của Amazon (ACM). Để xác thực phía máy khách, Lattice sử dụng AWS SIGv4.
Tôi có thể đạt được khả năng phục hồi trên nhiều Vùng sẵn sàng cho các Dịch vụ đã đăng ký với Amazon VPC Lattice không?
Có, Amazon VPC Lattice là một dịch vụ Khu vực phân tán, có độ sẵn sàng cao. Khi bạn đăng ký Dịch vụ trong VPC Lattice, trải rộng các mục tiêu trên nhiều Vùng sẵn sàng là một phương pháp tốt nhất. Dịch vụ VPC Lattice sẽ đảm bảo lưu lượng truy cập được định tuyến đến các mục tiêu mạnh, dựa trên các quy tắc và điều kiện được cấu hình.
Amazon VPC Lattice có hỗ trợ các ứng dụng chạy trên Dịch vụ Kubernetes linh hoạt Amazon không?
Amazon VPC Lattice tích hợp theo mặc định với Dịch vụ Kubernetes linh hoạt (EKS) của Amazon và khối lượng công việc Kubernetes tự quản lý của bạn thông qua Trình điều khiển API của Cổng AWS, chính là triển khai API Cổng Kubernetes. Điều này tạo điều kiện cho việc đăng ký các Dịch vụ hiện có hoặc Dịch vụ mới cho Lattice và ánh xạ động các Tuyến HTTP đến tài nguyên Kubernetes.
Tôi có thể sử dụng Amazon VPC Lattice để hiển thị các ứng dụng trên khắp các Khu vực AWS và môi trường tại chỗ không?
Các dịch vụ, tài nguyen, cấu hình tài nguyên và mạng dịch vụ Amazon VPC Lattice là các thành phần của Khu vực. Nếu bạn có môi trường nhiều Khu vực, bạn có thể có dịch vụ, tài nguyên, cấu hình tài nguyên và mạng dịch vụ ở mọi Khu vực. Đối với các kiểu mẫu giao tiếp liên Khu vực và tại chỗ, hiện tại bạn có thể tin dùng các dịch vụ kết nối toàn cầu của AWS như Kết nối ngang hàng VPC liên Khu vực, Cổng chuyển tiếp AWS, AWS Direct Connect hoặc WAN đám mây AWS. Vui lòng xem blog này để biết chi tiết các kiểu mẫu kết nối liên Khu vực.
Amazon VPC Lattice có hỗ trợ IPv6 không và VPC Lattice có thể giúp di chuyển từ IPv4 sang IPv6 như thế nào?
Có, Amazon VPC Lattice hỗ trợ IPv6 và có thể thực hiện dịch địa chỉ mạng giữa không gian địa chỉ IPv4 và IPv6 chồng chéo đối với các dịch vụ và tài nguyên VPC Lattice trên các VCP và tài khoản. Amazon VPC Lattice giúp bạn kết nối cả dịch vụ và tài nguyên IPv4 và IPv6 một cách bảo mật và giám sát luồng giao tiếp, theo cách đơn giản và nhất quán trên các loại hình điện toán khác nhau. Dịch vụ này cung cấp khả năng tương tác gốc giữa các dịch vụ và tài nguyên IP, bất kể địa chỉ IP cơ sở là gì, giúp tạo điều kiện cho việc áp dụng IPv6 trên các dịch vụ và tài nguyên trên AWS. Vui lòng xem blog này để biết thêm chi tiết.
Làm thế nào để sử dụng Amazon VPC Lattice nhằm tự động hóa kết nối quy mô lớn giữa các ứng dụng nằm ở các tài khoản và VPC khác nhau?
Được, bạn có thể sử dụng thẻ để tự động hóa việc bổ sung và loại bỏ các liên kết tài nguyên Amazon VPC Lattice cũng như chia sẻ tài nguyên liên tài khoản bằng Amazon EventBridge, AWS Lambda, AWS CloudTrail và AWS Resource Access Manager (AWS RAM). Các phương pháp này có thể được sử dụng trong một Tổ chức AWS đơn lẻ hoặc trên nhiều Tài khoản AWS, hỗ trợ nhiều trường hợp sử dụng như ứng dụng của nhà cung cấp/khách hàng. Vui lòng xem blog này để biết thêm chi tiết và ví dụ triển khai.
Làm thế nào để tôi có thể thiết kế Amazon VPC Lattice tối ưu nhất trong khi cân nhắc cấu trúc Tổ chức và các miền định tuyến (PROD, DEV, STAGE, v.v.)?
Thiết kế phân phối mạng dịch vụ của bạn nên phù hợp với cấu trúc tổ chức và mô hình vận hành của bạn. Bạn có thể chọn thiết lập mạng dịch vụ dành riêng cho miền trên toàn tổ chức và cấu hình chính sách truy cập cho phù hợp. Hoặc bạn có thể lập ra phương pháp phân đoạn nhiều hơn đối với mạng dịch vụ, liên kết chúng với từng miền định tuyến của bạn và giữa các đơn vị kinh doanh độc lập trong tổ chức của bạn.
Tôi có thể truy cập các dịch vụ và tài nguyên từ môi trường tại chỗ không?
Có, bạn có thể truy cập các dịch vụ và tài nguyên từ môi trường tại chỗ bằng cách sử dụng các điểm cuối VPC (do AWS PrivateLink cung cấp). Bạn có thể đưa các dịch vụ và tài nguyên của mình vào mạng dịch vụ và tạo điểm cuối VPC (loại “mạng dịch vụ”) để cho phép kết nối giữa các dịch vụ và tài nguyên đó từ môi trường tại chỗ.
Tôi có thể liên kết nhiều mạng dịch vụ với một VPC không?
Bạn có thể đăng ký nhiều mạng dịch vụ cho một VPC bằng cách sử dụng các điểm cuối VPC. Bạn có thể tạo nhiều điểm cuối VPC thuộc loại “mạng dịch vụ”, mỗi điểm cuối kết nối với một mạng dịch vụ khác nhau.