As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Grupos de destino no VPC Lattice
Um grupo de destino do VPC Lattice é uma coleção de destinos, ou recursos computacionais, que executam sua aplicação ou serviço. Os tipos de destino compatíveis incluem instâncias do EC2, endereços IP, funções Lambda, balanceadores de carga de aplicativos, tarefas do Amazon ECS e pods do Kubernetes. Você também pode anexar serviços existentes aos seus grupos de destino. Para obter mais informações sobre como usar o Kubernetes com o VPC Lattice, consulte o [Guia do usuário do AWS Gateway API Controller](https://www.gateway-api-controller.eks.aws.dev/).
Cada *grupo de destino* é usado para rotear solicitações para um ou mais destinos registrados. Ao criar uma regra do receptor, especifique um grupo de destino e as condições. Quando uma condição da regra é atendida, o tráfego é encaminhado para o grupo de destino correspondente. Você pode criar grupos de destino diferentes para tipos de solicitações diferentes. Por exemplo, crie um grupo de destino para solicitações gerais e outros grupos de destino para solicitações que incluam condições de regras específicas, como um valor de caminho ou cabeçalho.
![\[Um serviço com um receptor, regras de receptor e dois grupos de destino.\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/images/service.png)
Você define as configurações de verificação de integridade para seu serviço por grupo de destino. Cada grupo de destino usa as configurações de verificação de integridade padrão, a menos que você as substitua ao criar o grupo de destino ou as modifique posteriormente. Após especificar um grupo de destino em uma regra para um receptor, o serviço vai monitorar continuamente a integridade de todos os destinos registrados no grupo de destino. O serviço vai rotear solicitações para os destinos registrados que estiverem íntegros.
Para especificar um grupo de destino em uma regra para um receptor de serviço, o grupo de destino deve estar na mesma conta do serviço.
Os grupos de destino do VPC Lattice são semelhantes aos grupos de destino fornecidos pelo Elastic Load Balancing, mas não são intercambiáveis.
**Topics**
+ [Criar um grupo de destino](create-target-group.md)
+ [Registrar destinos](register-targets.md)
+ [Configurar verificações de integridade](target-group-health-checks.md)
+ [Configuração de roteamento](#target-group-routing-configuration)
+ [Algoritmo de roteamento](#target-group-routing-algorithm)
+ [Target type](#target-type)
+ [Tipo de endereço IP](#target-group-ip-address-type)
+ [Destinos HTTP](http-targets.md)
+ [Funções do Lambda como destinos](lambda-functions.md)
+ [Application Load Balancers como destinos](alb-target.md)
+ [Versão do protocolo](#target-group-protocol-version)
+ [Atualizar tags](target-group-tags.md)
+ [Excluir um grupo de destino](delete-target-group.md)
# Criar um grupo de destino do VPC Lattice
Você registra seus destinos com um grupo de destino. Por padrão, o serviço VPC Lattice envia solicitações para destinos registrados usando a porta e o protocolo especificados por você para o grupo de destino. Você pode substituir essa porta ao registrar cada destino no grupo de destino.
Para rotear o tráfego aos destino em um grupo de destino, especifique o grupo de destino em uma ação quando você criar um listener ou uma regra para o listener. Para obter mais informações, consulte [Regras de receptor para seu serviço VPC Lattice](listener-rules.md). Você pode especificar o mesmo grupo de destino em vários receptores, mas esses receptores deverão pertencer ao mesmo serviço. Para usar um grupo de destino com um serviço, você deverá verificar se o grupo de destino não está sendo usado por um receptor para nenhum outro serviço.
Você pode adicionar ou remover destinos do seu grupo de destino a qualquer momento. Para obter mais informações, consulte [Registrar destinos com um grupo de destino do VPC Lattice](register-targets.md). Você também pode modificar as configurações de verificação de integridade para seu grupo de destino. Para obter mais informações, consulte [Verificações de integridade para seus grupos de destino do VPC Lattice](target-group-health-checks.md).
## Criar um grupo de destino
Você pode criar um grupo de destino e, opcionalmente, registrar destinos da seguinte maneira.
**Para criar um grupo de destino usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Selecione **Criar grupo de destino**.
1. Em **Destino de backup**, execute uma das seguintes ações:
+ Escolha **Instâncias** para registrar destinos por ID de instância.
+ Escolha **Endereços IP** para registrar destinos por endereço IP.
+ Escolha **Função do Lambda** para registrar uma função do Lambda como destino.
+ Escolha **Application Load Balancer** para registrar um Application Load Balancer como destino.
1. Em **Nome do grupo de destino**, insira um nome para o grupo de destino. Esse nome deve ser exclusivo para sua conta em cada AWS região, pode ter no máximo 32 caracteres, deve conter somente caracteres alfanuméricos ou hífens e não deve começar ou terminar com um hífen.
1. Nos itens **Protocolo** e **Porta**, você pode modificar os valores padrão conforme o necessário. O protocolo padrão é **HTTPS** e a porta padrão é **443**.
Se o tipo de destino for **função do Lambda**, você não poderá especificar um protocolo ou uma porta.
1. Para **o tipo de endereço IP**, escolha **IPv4**registrar alvos com IPv4 endereços ou **IPv6**optar por registrar alvos com IPv6 endereços. Não é possível alterar essa configuração após a criação do grupo de destino.
Essa opção só estará disponível se o tipo de destino for **endereços IP**.
1. Em **VPC**, selecione uma nuvem privada virtual (VPC).
Essa opção não estará disponível se o tipo de destino for **função do Lambda**.
1. Em **Versão do protocolo**, modifique os valores padrão conforme necessário. O padrão é **HTTP1**.
Essa opção não estará disponível se o tipo de destino for **função do Lambda**.
1. Em **Verificações de integridade**, modifique as configurações padrão conforme necessário. Para obter mais informações, consulte [Verificações de integridade para seus grupos de destino do VPC Lattice](target-group-health-checks.md).
As verificações de integridade não estarão disponíveis se o tipo de destino for **função do Lambda**.
1. Em **Versão da estrutura de eventos do Lambda**, escolha uma versão. Para obter mais informações, consulte [Receba eventos do serviço VPC Lattice](lambda-functions.md#receive-event-from-service).
Essa opção só estará disponível se o tipo de destino for **função do Lambda**.
1. (Opcional) Para adicionar tags, escolha **Tags**, **Adicionar nova tag** e insira a chave e o valor da tag.
1. Escolha **Próximo**.
1. Em **Registrar destinos**, você pode pular essa etapa ou adicionar destinos da seguinte maneira:
+ Se o tipo de destino for **Instâncias**, selecione as instâncias, insira as portas e escolha **Incluir como pendente abaixo**.
+ Se o tipo de destino for **Endereços IP**, faça o seguinte:
1. Em **Escolher uma rede**, mantenha a VPC que você selecionou para o grupo de destino ou escolha **Outro endereço IP privado**.
1. Em **Especificar IPs e definir portas**, insira o endereço IP e as portas. A porta padrão é a porta do grupo de destino.
1. Escolha **Incluir como pendente abaixo**.
+ Se o tipo de destino for uma **função do Lambda**, escolha uma função do Lambda. Para criar uma função do Lambda, escolha **Criar uma nova função do Lambda**.
+ Se o tipo de destino for um **Application Load Balancer**, escolha um Application Load Balancer. Para criar um Application Load Balancer, escolha **Criar um Application Load Balancer**.
1. Selecione **Criar grupo de destino**.
Pode levar alguns minutos para que o VPC Lattice registre os alvos. Para obter mais informações, consulte [Por que minhas alterações de DNS estão demorando tanto para se propagarem no Route 53 e nos resolvedores públicos](https://repost.aws/knowledge-center/route-53-propagate-dns-changes)?
**Para criar um grupo-alvo usando o AWS CLI**
Use o [create-target-group](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-target-group.html)comando para criar o grupo de destino e o comando [register-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/register-targets.html) para adicionar destinos.
## Sub-redes compartilhadas
Os participantes podem criar grupos de destinos do VPC Lattice em uma VPC compartilhada. As seguintes regras se aplicam a sub-redes compartilhadas:
+ Todas as partes de um serviço VPC Lattice, como receptores, grupos de destino e destinos, devem ser criadas pela mesma conta. É possível criá-las em sub-redes pertencentes ou compartilhadas com o proprietário do serviço VPC Lattice.
+ Os destinos registrados com um grupo de destino devem ser criados pela mesma conta do grupo de destino.
+ Somente o proprietário de uma VPC pode associar a VPC a uma rede de serviços. Os recursos dos participantes em uma VPC compartilhada associada a uma rede de serviços podem enviar solicitações para serviços associados à rede de serviços. No entanto, o administrador pode evitar isso usando grupos de segurança ACLs, redes ou políticas de autenticação.
Para obter mais informações sobre os recursos compartilháveis do VPC Lattice, consulte [Share your VPC Lattice entities](sharing.md).
# Registrar destinos com um grupo de destino do VPC Lattice
O seu serviço atua como um ponto único de contato para clientes e distribui o tráfego de entrada entre os destinos íntegros registrados. Você pode registrar cada destino com um ou mais grupos de destino.
Se a demanda da sua aplicação aumentar, você poderá registrar destinos adicionais com um ou mais grupos de destino para dar conta da demanda. O serviço inicia as solicitações de roteamento para um destino recém-registrado assim que o processo de registro é concluído e o destino passa pelas verificações de integridade iniciais.
Se a demanda na seu aplicativo diminuir, ou se você precisar fazer manutenção nos seus destinos, você pode cancelar o registro dos destinos dos seus grupos de destino. Cancelar o registro de um destino o remove do seu grupo de destino, mas não afeta o destino de outra forma. O serviço interrompe as solicitações de roteamento ao destino assim que o registro dele for cancelado. O destino entra no estado `DRAINING` até que as solicitações em andamento tenham sido concluídas. Você pode registrar o destino com o grupo de destino novamente quando estiver pronto para retomar o recebimento de solicitações.
O tipo de destino do seu grupo de destino determina como você registra os destinos com esse grupo de destino. Para obter mais informações, consulte [Target type](target-groups.md#target-type).
Use os procedimentos de console a seguir para registrar ou cancelar o registro de destinos. Como alternativa, use os comandos [register-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/register-targets.html) e [deregister-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/deregister-targets.html) da AWS CLI.
**Topics**
+ [Registrar ou cancelar o registro de destinos por ID de Instância](#register-instances)
+ [Registrar ou cancelar o registro de destinos por endereço IP](#register-ip-addresses)
+ [Registrar ou cancelar o registro de uma função do Lambda](#register-lambda-function)
+ [Registrar ou cancelar o registro de um Application Load Balancer](#register-alb)
## Registrar ou cancelar o registro de destinos por ID de Instância
As instâncias de destinos devem estar na nuvem privada virtual (VPC) que você especificou para o grupo de destino. A instância também deve estar no estado `running` quando você registrá-la.
Ao registrar destinos por ID de instância, você poderá usar o serviço com um grupo do Auto Scaling. Após anexar um grupo de destino a um grupo do Auto Scaling e o grupo aumentar a escala horizontalmente, as instâncias iniciadas pelo grupo do Auto Scaling serão registradas automaticamente no grupo de destino. Se você desanexar o grupo de destino do grupo do Auto Scaling, as instâncias terão o registro automaticamente cancelado do grupo de destino. Para obter mais informações, consulte [Rotear tráfego para seu grupo do Auto Scaling com um grupo de destino do VPC Lattice](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-vpc-lattice.html) no *Guia do usuário do Amazon EC2 Auto Scaling*.
**Para registrar ou cancelar o registro de destinos por ID de instância usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Escolha o nome do grupo de destino para abrir sua página de detalhes.
1. Escolha a guia **Destinos**.
1. Para registrar instâncias, escolha **Registrar destinos**. Selecione as instâncias, insira a porta da instância e escolha **Incluir como pendente abaixo**. Após terminar de adicionar instâncias, escolha **Registrar destinos**.
1. Para cancelar o registro de instâncias, selecione as instâncias e escolha **Cancelar registro**.
## Registrar ou cancelar o registro de destinos por endereço IP
Os endereços IP de destino devem ser das sub-redes da VPC que você especificou para o grupo de destino. Não é possível registrar os endereços IP de outro serviço na mesma VPC. Não é possível registrar endpoints da VPC ou endereços IP roteáveis publicamente.
**Para registrar ou cancelar o registro de destinos por endereço IP usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Escolha o nome do grupo de destino para abrir sua página de detalhes.
1. Escolha a guia **Destinos**.
1. Para registrar endereços IP, escolha **Registrar destinos**. Para cada endereço IP, selecione a rede, insira o endereço IP e a porta e, em seguida, escolha **Incluir como pendente abaixo**. Quando você concluir a especificação de endereços, escolha **Registrar destinos**.
1. Para cancelar o registro de endereços IP, selecione os endereços IP e escolha **Cancelar registro**.
## Registrar ou cancelar o registro de uma função do Lambda
Você pode registrar uma única função do Lambda com o grupo de destino. Se não precisar mais enviar tráfego para sua função Lambda, você poderá cancelar o registro. Depois de cancelar o registro de uma função Lambda, as solicitações em andamento falham com erros HTTP 5XX. É melhor criar um novo grupo de destino em vez de substituir a função do Lambda em um grupo de destino.
**Para registrar ou cancelar o registro de funções do Lambda usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Escolha o nome do grupo de destino para abrir sua página de detalhes.
1. Escolha a guia **Destinos**.
1. Se não houver nenhuma função do Lambda registrada, escolha **Registrar destino**. Selecione a função do Lambda e escolha **Registrar destino**.
1. Para cancelar o registro de uma função Lambda, escolha **Deregister** (Cancelar registro). Quando receber a solicitação de confirmação, insira **confirm** e escolha **Cancelar registro**.
## Registrar ou cancelar o registro de um Application Load Balancer
Você pode registrar um único Application Load Balancer com cada grupo de destino. Se não precisar mais enviar tráfego para seu balanceador de carga, você poderá cancelar seu registro. Após cancelar o registro de um balanceador de carga, as solicitações em andamento falharão com erros HTTP 5XX. É melhor criar um novo grupo de destino em vez de substituir o Application Load Balancer por um grupo de destino.
**Para registrar ou cancelar o registro de um Application Load Balancer usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Escolha o nome do grupo de destino para abrir sua página de detalhes.
1. Escolha a guia **Destinos**.
1. Se não houver nenhum Application Load Balancer registrado, escolha **Registrar destino**. Selecione o Application Load Balancer e escolha **Registrar destino**.
1. Para cancelar o registro de um Application Load Balancer, escolha **Cancelar registro**. Quando receber a solicitação de confirmação, insira **confirm** e escolha **Cancelar registro**.
# Verificações de integridade para seus grupos de destino do VPC Lattice
Seu serviço enviará periodicamente solicitações para seus destinos registrados a fim de testar o status deles. Esses testes se chamam *verificações de integridade*.
Cada serviço VPC Lattice encaminha as solicitações somente para os destinos íntegros. Cada serviço verifica a integridade de cada destino usando as configurações de verificação de integridade para os grupos de destino com os quais o destino está registrado. Após o destino ser registrado, ele deverá ser aprovado em uma verificação de integridade para ser considerado íntegro. Após a conclusão de cada verificação de integridade, o serviço fechará a conexão que foi estabelecida para a verificação de integridade.
**Limitações e considerações**
+ Quando a versão do protocolo do grupo-alvo é HTTP1, as verificações de saúde são habilitadas por padrão.
+ Quando a versão do protocolo do grupo-alvo é HTTP2, as verificações de saúde não são habilitadas por padrão. No entanto, você pode ativar as verificações de saúde e definir manualmente a versão do protocolo como HTTP1 ou HTTP2.
+ As verificações de integridade não oferecem suporte às versões do protocolo de grupo de destino gRPC. No entanto, se você habilitar verificações de saúde, deverá especificar a versão do protocolo de verificação de integridade como HTTP1 ou HTTP2.
+ As verificações de integridade não são compatíveis com grupos de destino do Lambda.
+ As verificações de integridade não oferecem suporte a grupos de destino do Application Load Balancer. No entanto, você pode habilitar verificações de integridade para os destinos do seu Application Load Balancer usando o Elastic Load Balancing. Para obter mais informações, consulte [Verificações de integridade do grupo-alvo](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html) no *Guia do usuário dos Application Load Balancers*.
## Configurações de verificação de integridade
Você pode configurar verificações de integridade para os destinos em um grupo de destino conforme descrito na tabela a seguir. Os nomes das configurações usados na tabela são os nomes usados na API. O serviço envia uma solicitação de verificação de integridade para cada destino registrado a cada **HealthCheckIntervalSeconds**segundo, usando a porta, o protocolo e o caminho de ping especificados. Cada solicitação de verificação de integridade é independente e o resultado dura por todo o intervalo. O tempo necessário para o destino responder não afeta o intervalo da próxima solicitação de verificação de integridade. Se as verificações de integridade excederem as falhas **UnhealthyThresholdCount**consecutivas, o serviço desativará o alvo. Quando as verificações de saúde excedem os sucessos **HealthyThresholdCount**consecutivos, o serviço coloca o alvo novamente em serviço.
| Configuração | Description |
| --- | --- |
| **HealthCheckProtocol** | O protocolo que o serviço usa ao executar verificações de integridade nos destinos. Os protocolos possíveis são HTTP e HTTPS. O padrão é o protocolo HTTP. |
| **HealthCheckPort** | A porta que o serviço usa ao executar verificações de integridade nos destinos. O padrão é usar a porta em que cada destino recebe o tráfego do serviço. |
| **HealthCheckPath** | O destino para verificações de integridade nos destinos. Se a versão do protocolo for HTTP1 ou HTTP2, especifique um URI válido (/*path*? *consulta*). O padrão é /. |
| **HealthCheckTimeoutSeconds** | O tempo, em segundos, durante o qual ausência de resposta de um destino significa uma falha na verificação de integridade. O intervalo é de 1 a 120 segundos. Se o tipo de destino for `INSTANCE` ou `IP`, o padrão será de 5 segundos. Especifique 0 para redefinir essa configuração para o valor padrão. |
| **HealthCheckIntervalSeconds** | A quantia aproximada de tempo, em segundos, entre as verificações de integridade de um destino individual. O intervalo é de 5 a 300 segundos. Se o tipo de destino for `INSTANCE` ou `IP`, o padrão será de 30 segundos. Especifique 0 para redefinir essa configuração para o valor padrão. |
| **HealthyThresholdCount** | O número de verificações de integridade bem-sucedidas consecutivas que são necessárias antes que um destino não íntegro seja considerado íntegro. O intervalo é de 2 a 10. O padrão é 5. Especifique 0 para redefinir essa configuração para o valor padrão. |
| **UnhealthyThresholdCount** | O número de falhas de verificações de integridade consecutivas necessárias para considerar um destino como não íntegro. O intervalo é de 2 a 10. O padrão é 2. Especifique 0 para redefinir essa configuração para o valor padrão. |
| **Matcher** | O códigos a serem usados ao verificar uma resposta bem-sucedida de um destino. Eles são chamados de **códigos de sucesso** no console. Se a versão do protocolo for HTTP1 ou HTTP2, os valores possíveis são de 200 a 499. Você pode especificar valores múltiplos (por exemplo, "200,202") ou um intervalo valores (por exemplo, "200-299"). O valor padrão é 200. No momento, não há suporte para a versão do protocolo de verificação de integridade para gRPC. No entanto, se a versão do protocolo do seu grupo-alvo for gRPC, você poderá especificar HTTP1 ou as versões do HTTP2 protocolo na configuração da verificação de integridade. |
## Verificar a integridade de seus destinos
Você pode verificar a integridade dos destinos registrados com seus grupos de destino.
**Para verificar a integridade dos seus destinos usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Escolha o nome do grupo de destino para abrir sua página de detalhes.
1. Na guia **Destinos**, a coluna **Status da integridade** indica o status de cada destino. Se o status for qualquer valor diferente de `Healthy`, a coluna **Detalhes do status de integridade** conterá mais informações.
**Para verificar a saúde de seus alvos usando o AWS CLI**
Use o comando [list-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/list-targets.html). O resultado desse comando contém o estado de integridade do destino. Se o status for qualquer valor diferente de `Healthy`, a saída também inclui um código de motivo.
**Como receber notificações por e-mail sobre destinos não íntegros**
Use CloudWatch alarmes para iniciar uma função Lambda para enviar detalhes sobre alvos não íntegros.
## Modificar as configurações de verificação de integridade
Você pode modificar as configurações de verificação de integridade do seu grupo de destino a qualquer momento.
**Para modificar as configurações de verificação de integridade usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Escolha o nome do grupo de destino para abrir sua página de detalhes.
1. Na guia **Verificações de integridade**, na seção **Configurações de verificação de integridade**, selecione **Editar**.
1. Modifique as configurações de verificação de integridade conforme necessário.
1. Escolha **Salvar alterações**.
**Para modificar as configurações da verificação de saúde usando o AWS CLI**
Use o comando [update-target-group](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/update-target-group.html).
## Configuração de roteamento
Por padrão, um serviço roteia solicitações para seus destinos usando o protocolo e o número da porta que você especificou ao criar o grupo de destino. Como alternativa, você pode substituir a porta usada para rotear o tráfego para um destino quando registrá-lo no grupo de destino.
Os grupos de destino são compatíveis com os seguintes protocolos e portas:
+ **Protocolos**: HTTP, HTTPS, TCP
+ **Ports (Portas)**: 1-65535
Se um grupo de destino estiver configurado com o protocolo HTTPS ou usar verificações de integridade HTTPS, as conexões TLS com os destinos usarão a política de segurança do ouvinte. O VPC Lattice estabelece conexões TLS com os destinos usando certificados que você instala nos destinos. O VPC Lattice não valida esses certificados. Portanto, é possível usar certificados autoassinados ou certificados que tenham expirado. O tráfego entre o VPC Lattice e os destinos é autenticado no nível do pacote, portanto, não corre o risco de man-in-the-middle ataques ou falsificação, mesmo que os certificados nos destinos não sejam válidos.
Os grupos-alvo TCP são compatíveis somente com ouvintes [TLS.](tls-listeners.md)
## Algoritmo de roteamento
Por padrão, o algoritmo de roteamento de ida e volta é usado para rotear solicitações para destinos íntegros.
Quando o serviço VPC Lattice recebe uma solicitação, ele usa o seguinte processo:
1. Avalia as regras de listener em ordem de prioridade para determinar qual regra aplicar.
1. Seleciona um destino do grupo de destino para a ação da regra usando o algoritmo padrão de ida e volta. O roteamento é realizado de forma independente para cada grupo de destino, até mesmo quando um destino é registrado com vários grupos de destino.
Se um grupo de destino contiver somente destinos não íntegros, as solicitações serão roteadas para todos os destinos, independentemente do seu status de integridade. Isso significa que a abertura do serviço VPC Lattice falhará se todos os destinos falharem nas verificações de integridade ao mesmo tempo. O efeito da falha na abertura é permitir o tráfego para todos os destinos com base no algoritmo de ida e volta, independentemente do seu estado de integridade.
O VPC Lattice oferece suporte à afinidade da Zona de Disponibilidade (AZ) para rotear o tráfego. Quando um cliente envia uma solicitação à VPC Lattice, a VPC Lattice responde com o endereço IP do serviço ou recurso da mesma AZ do cliente. Se essa AZ não estiver disponível, a VPC Lattice responderá com endereços IP de outras. AZs Do VPC Lattice ao destino, o roteamento é para os destinos, que podem ser distribuídos entre eles. AZs Além disso, não há cobranças de transferência de dados Inter-AZ no VPC Lattice.
## Target type
Durante a criação de um grupo de destino, você especifica seu tipo de destino, que determina o tipo de destino especificado ao registrar destinos com esse grupo de destino. Depois de criar um grupo de destino, você não pode mudar o tipo de destino dele.
Os possíveis tipos de destino são os seguintes:
`INSTANCE`
Os destinos são especificados por ID de instância.
`IP`
Os destinos são endereços IP.
`LAMBDA`
O destino é uma função Lambda.
`ALB`
O destino é um Application Load Balancer.
**Considerações**
+ Quando o tipo de destino for `IP`, será necessário especificar endereços IP das sub-redes da VPC para o grupo de destino. Se você precisar registrar endereços IP de fora dessa VPC, crie um grupo de destino do tipo `ALB` e registre os endereços IP com o Application Load Balancer.
+ Quando o tipo de destino for `IP`, não será possível registrar endpoints da VPC ou endereços IP roteáveis publicamente.
+ Quando o tipo de destino for `LAMBDA`, você poderá registrar uma única função do Lambda. Quando o serviço receber uma solicitação para a função do Lambda, ele invocará a função do Lambda. Se você quiser registrar várias funções do Lambda em um serviço, precisará usar vários grupos de destino.
+ Quando o tipo de destino é`ALB`, você pode registrar um único Application Load Balancer interno como destino de até dois serviços VPC Lattice. Para fazer isso, registre o Application Load Balancer com dois grupos de destino separados, usados por dois serviços VPC Lattice diferentes. Além disso, o Application Load Balancer de destino deve ter pelo menos um receptor cuja porta corresponda à porta do grupo de destino.
+ Você pode registrar automaticamente suas tarefas do ECS com um grupo-alvo do VPC Lattice no lançamento. O grupo de destino deve ter um tipo de destino de `IP`. Para obter mais informações, consulte [Use o VPC Lattice com seus serviços do Amazon ECS no Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-vpc-lattice.html) *Container Service Developer* Guide.
Como alternativa, registre o Application Load Balancer para seu serviço Amazon ECS com um grupo-alvo do tipo VPC Lattice. `ALB` Para obter mais informações, consulte [Usar balanceamento de carga para distribuir o tráfego do serviço Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html) no Guia do *desenvolvedor do Amazon Elastic Container Service*.
+ Para registrar um pod do EKS como destino, use o [AWS Gateway API Controller](https://www.gateway-api-controller.eks.aws.dev/), que obtém os endereços IP do serviço Kubernetes.
+ Se o protocolo do grupo-alvo for TCP, os únicos tipos de destino suportados serão `INSTANCE``IP`, ou`ALB`.
## Tipo de endereço IP
Ao criar um grupo de destino com um tipo de destino `IP`, você pode especificar um tipo de endereço IP para o grupo de destino. Isso especificará o tipo de endereço que o balanceador de carga usa para enviar solicitações e verificações de integridade aos destinos. Os valores possíveis são `IPv4` e `IPv6`. O padrão é `IPV4`.
**Considerações**
+ Se você criar um grupo de destino com um tipo de endereço IP`IPv6`, a VPC especificada para o grupo de destino deverá ter um intervalo de IPv6 endereços.
+ Os endereços IP que você registrar em um grupo de destino deverão corresponder ao tipo de endereço IP do grupo de destino. Por exemplo, você não pode registrar um IPv6 endereço com um grupo-alvo se o tipo de endereço IP for`IPv4`.
+ Os endereços IP que você registrar em um grupo de destino deverão estar no intervalo de endereço IP da VPC especificada para o grupo de destino.
# Destinos HTTP no VPC Lattice
As solicitações HTTP e as respostas HTTP usam campos de cabeçalho para enviar informações sobre as mensagens HTTP. Os cabeçalhos HTTP são adicionados automaticamente. Os campos de cabeçalho são pares de nome-valor separados por dois pontos e separados por um retorno de carro (CR) e um avanço de linha (LF). Um conjunto padrão de campos de cabeçalho HTTP está definido na RFC 2616, [ Cabeçalhos de mensagem](https://datatracker.ietf.org/doc/html/rfc2616). Também há a disponibilidade de cabeçalhos HTTP não padrão que são adicionados automaticamente e amplamente usados pelas aplicações. Por exemplo, há cabeçalhos HTTP não padrão com o prefixo `x-forwarded`.
## Cabeçalhos x-forwarded
O Amazon VPC Lattice adiciona os seguintes cabeçalhos `x-forwarded`:
`x-forwarded-for`
O endereço IP de origem.
`x-forwarded-port`
A porta de destino.
`x-forwarded-proto`
O protocolo de conexão (`http` \$1 `https`)
## Cabeçalhos de identidade do chamador
O Amazon VPC Lattice adiciona os seguintes cabeçalhos de identidade do chamador:
`x-amzn-lattice-identity`
As informações de identidade. Os campos a seguir estarão presentes se a autenticação da AWS for bem-sucedida.
+ `Principal`: a entidade principal autenticada.
+ `PrincipalOrgID`: o ID da organização da entidade principal autenticada.
+ `PrincipalOrgPath`— Os caminhos da organização para o diretor autenticado.
+ `SessionName`: o nome da sessão autenticada.
Os campos a seguir estarão presentes se houver o uso de credenciais do Roles Anywhere e a autenticação for bem-sucedida.
+ `X509Issuer/OU`: o emissor (OU).
+ `X509SAN/DNS`: o nome alternativo do assunto (DNS).
+ `X509SAN/NameCN`: o nome alternativo do emissor (nome/CN).
+ `X509SAN/URI`: o nome alternativo do assunto (URI).
+ `X509Subject/CN`: o nome do assunto (CN).
`x-amzn-lattice-identity-tags`
O ID principal e quaisquer tags principais. O formato é o seguinte.
```
principal=principal;principalorgid=orgid;principalorgpath=orgpath;principal-tag1=value1; ...;principal-tag99=value99
```
O VPC Lattice escapa de qualquer ponto e vírgula (;) em um valor com barras invertidas (\$1).
`x-amzn-lattice-network`
A VPC. O formato é o seguinte.
```
SourceVpcArn=arn:aws:ec2:region:account:vpc/id
```
`x-amzn-lattice-target`
O destino. O formato é o seguinte.
```
ServiceArn=arn;ServiceNetworkArn=arn;TargetGroupArn=arn
```
Para obter informações sobre o recurso ARNs para VPC Lattice, consulte [Tipos de recursos definidos pelo Amazon VPC](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-resources-for-iam-policies) Lattice.
Os cabeçalhos de identidade do chamador não podem ser falsificados. O VPC Lattice retira esses cabeçalhos de todas as solicitações recebidas. Esses cabeçalhos de identidade expressam um mapa que suporta valores vazios usando o formato a seguir. Ao analisar, você não deve confiar na ordem específica desses cabeçalhos, você deve esperar que novos KEYs possam ser adicionados a qualquer momento e você deve estar preparado para lidar com valores vazios. KEYs
O formato é o seguinte.
```
key-0=value-0;key-1=value-1;....;key-n=value-n;
```
# Funções do Lambda como destinos no VPC Lattice
Você pode registrar suas funções do Lambda como destinos com um grupo de destino do VPC Lattice e configurar uma regra de receptor para encaminhar solicitações ao grupo de destino para sua função do Lambda. Quando o serviço encaminhar a solicitação para um grupo de destino com uma função do Lambda como um destino, ele invocará sua função do Lambda e transmitirá o conteúdo da solicitação para a função do Lambda em formato JSON.
**Limitações**
+ A função do Lambda e o grupo de destino devem estar na mesma conta e na mesma região.
+ O tamanho máximo do corpo da solicitação que você pode enviar para uma função do Lambda é de 6 MB.
+ O tamanho máximo da resposta JSON que a função do Lambda pode enviar é de 6 MB.
+ O protocolo precisa ser HTTP ou HTTPS.
## Preparar a função do Lambda
As recomendações a seguir se aplicam se você estiver usando sua função do Lambda com um serviço VPC Lattice.
**Permissões para invocar a função do Lambda**
Quando você cria o grupo-alvo e registra a função Lambda usando o Console de gerenciamento da AWS ou o, o AWS CLI VPC Lattice adiciona as permissões necessárias à sua política de função Lambda em seu nome.
Você também poderá adicionar permissões por conta própria usando a seguinte chamada de API:
```
aws lambda add-permission \
--function-name lambda-function-arn-with-alias-name \
--statement-id vpc-lattice \
--principal vpc-lattice.amazonaws.com \
--action lambda:InvokeFunction \
--source-arn target-group-arn
```
**Versionamento da função do Lambda**
É possível registrar uma função Lambda por grupo de destino. Para garantir que você possa alterar sua função do Lambda e que o serviço VPC Lattice sempre invoque a versão atual da função do Lambda, crie um alias de função e inclua o alias no ARN da função ao registrar a função do Lambda com o serviço VPC Lattice. *Para obter mais informações, consulte [Versões da função Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html) e [Criar um alias para uma função Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-aliases.html) no Guia do desenvolvedor.AWS Lambda *
## Criar um grupo de destino para a função do Lambda
Crie um grupo de destino, que é usado no roteamento da solicitação. Se o conteúdo da solicitação corresponder a uma regra de receptor com uma ação para encaminhá-la para esse grupo de destino, o serviço VPC Lattice invocará a função do Lambda registrada.
**Para criar um grupo de destino e registrar a função do Lambda usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Selecione **Criar grupo de destino**.
1. Em **Selecionar um tipo de destino**, escolha **Função do Lambda**.
1. Em **Nome do grupo de destino**, insira um nome para o grupo de destino.
1. Em **Versão da estrutura de eventos do Lambda**, escolha uma versão. Para obter mais informações, consulte [Receba eventos do serviço VPC Lattice](#receive-event-from-service).
1. (Opcional) Para adicionar tags, escolha **Tags**, **Adicionar nova tag** e insira a chave e o valor da tag.
1. Escolha **Próximo**.
1. Em **Lambda function** (Função Lambda), siga um destes procedimentos
+ Selecione uma função do Lambda existente.
+ Crie uma nova função do Lambda e selecione-a.
+ Registre a função do Lambda mais posteriormente.
1. Selecione **Criar grupo de destino**.
**Para criar um grupo-alvo e registrar a função Lambda usando o AWS CLI**
Use os comandos [create-target-group](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-target-group.html)e [register-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/register-targets.html).
## Receba eventos do serviço VPC Lattice
O serviço VPC Lattice é compatível com solicitações de invocação do Lambda por HTTP e HTTPS. O serviço envia um evento no formato JSON e adiciona o cabeçalho `X-Forwarded-For` a cada solicitação.
**Codificação base64**
O serviço Base64 codifica o corpo se o cabeçalho `content-encoding` estiver presente e o tipo de conteúdo não for um dos seguintes:
+ `text/*`
+ `application/json`
+ `application/xml`
+ `application/javascript`
Se o cabeçalho `content-encoding` não estiver presente, a codificação Base64 dependerá do tipo de conteúdo. Para os tipos de conteúdo acima, o serviço envia o corpo como está, sem a codificação Base64.
**Formato de estrutura de evento**
Ao criar ou atualizar um grupo de destino do tipo `LAMBDA`, você poderá especificar a versão da estrutura de eventos que sua função do Lambda recebe. As versões possíveis são `V1` e `V2`.
**Example Exemplo de evento: V2**
```
{
"version": "2.0",
"path": "/?query1=value1&query2=value2",
"method": "GET|POST|HEAD|...",
"headers": {
"header-key": ["header-value", ...],
...
},
"queryStringParameters": {
"key": ["value", ...]
},
"body": "request-body",
"isBase64Encoded": true|false,
"requestContext": {
"serviceNetworkArn": "arn:aws:vpc-lattice:region:123456789012:servicenetwork/sn-0bf3f2882e9cc805a",
"serviceArn": "arn:aws:vpc-lattice:region:123456789012:service/svc-0a40eebed65f8d69c",
"targetGroupArn": "arn:aws:vpc-lattice:region:123456789012:targetgroup/tg-6d0ecf831eec9f09",
"identity": {
"sourceVpcArn": "arn:aws:ec2:region:123456789012:vpc/vpc-0b8276c84697e7339",
"type": "AWS_IAM",
"principal": "arn:aws:iam::123456789012:assumed-role/my-role/my-session",
"principalOrgID": "o-50dc6c495c0c9188",
"sessionName": "i-0c7de02a688bde9f7",
"x509IssuerOu": "string",
"x509SanDns": "string",
"x509SanNameCn": "string",
"x509SanUri": "string",
"x509SubjectCn": "string"
},
"region": "region",
"timeEpoch": "1690497599177430"
}
}
```
`body`
O corpo da solicitação. Presente somente se o protocolo for HTTP, HTTPS ou gRPC.
`headers`
Os cabeçalhos HTTP da solicitação. Presente somente se o protocolo for HTTP, HTTPS ou gRPC.
`identity`
As informações de identidade. Os seguintes campos são possíveis.
+ `principal`: a entidade principal autenticada. Presente somente se a AWS autenticação for bem-sucedida.
+ `principalOrgID`: o ID da organização da entidade principal autenticada. Presente somente se a AWS autenticação for bem-sucedida.
+ `sessionName`: o nome da sessão autenticada. Presente somente se a AWS autenticação for bem-sucedida.
+ `sourceVpcArn`: o ARN da VPC na qual a solicitação teve origem. Presente somente se for possível identificar a VPC de origem.
+ `type`— O valor é `AWS_IAM` se uma política de autenticação for usada e a AWS autenticação for bem-sucedida.
Se houver o uso de credenciais do Roles Anywhere e a autenticação for bem-sucedida, os campos a seguir serão possíveis.
+ `x509IssuerOu`: o emissor (OU).
+ `x509SanDns`: o nome alternativo do assunto (DNS).
+ `x509SanNameCn`: o nome alternativo do emissor (nome/CN).
+ `x509SanUri`: o nome alternativo do assunto (URI).
+ `x509SubjectCn`: o nome do assunto (CN).
`isBase64Encoded`
Indica se o corpo foi codificado em base64. Presente somente se o protocolo for HTTP, HTTPS ou gRPC e o corpo da solicitação ainda não for uma string.
`method`
O método HTTP da solicitação. Presente somente se o protocolo for HTTP, HTTPS ou gRPC.
`path`
O caminho da solicitação do cliente que inclui parâmetros de sequência de caracteres de consulta. Presente somente se o protocolo for HTTP, HTTPS ou gRPC.
`queryStringParameters`
Os parâmetros da string de consulta HTTP. Presente somente se o protocolo for HTTP, HTTPS ou gRPC.
`serviceArn`
O ARN do serviço que recebe a solicitação.
`serviceNetworkArn`
O ARN da rede de serviço que entrega a solicitação.
`targetGroupArn`
O ARN do grupo de destino que recebe a solicitação.
`timeEpoch`
A hora em microssegundos.
**Example Exemplo de evento: V1**
```
{
"raw_path": "/path/to/resource?query1=value1&query2=value2",
"method": "GET|POST|HEAD|...",
"headers": {"header-key": "header-value", ... },
"query_string_parameters": {"key": "value", ...},
"body": "request-body",
"is_base64_encoded": true|false
}
```
## Responder ao serviço VPC Lattice
A resposta da função do Lambda deve incluir o status de codificação Base64, o código do status e os cabeçalhos. É possível omitir o corpo.
Para incluir um conteúdo binário no corpo da resposta, você deve codificar o conteúdo em Base64 e definir `isBase64Encoded` como `true`. O serviço decodifica o conteúdo para recuperar o conteúdo binário e o envia ao cliente no corpo da resposta HTTP.
O serviço VPC Lattice não respeita hop-by-hop cabeçalhos, como ou. `Connection` `Transfer-Encoding` É possível omitir o cabeçalho `Content-Length` porque o serviço o calcula antes de enviar respostas aos clientes.
Veja a seguir um exemplo de resposta de uma função do Lambda:
```
{
"isBase64Encoded": false,
"statusCode": 200,
"headers": {
"Set-cookie": "cookies",
"Content-Type": "application/json"
},
"body": "Hello from Lambda (optional)"
}
```
## Cabeçalhos de vários valores
O VPC Lattice suporta solicitações de um cliente ou respostas de uma função Lambda que contêm cabeçalhos com vários valores ou contêm o mesmo cabeçalho várias vezes. O VPC Lattice passa todos os valores para os alvos.
No exemplo a seguir, há dois cabeçalhos nomeados header1 com valores diferentes.
```
header1 = value1
header1 = value2
```
Com uma estrutura de eventos V2, o VPC Lattice envia os valores em uma lista. Por exemplo:
```
"header1": ["value1", "value2"]
```
Com uma estrutura de eventos V1, o VPC Lattice combina os valores em uma única string. Por exemplo:
```
"header1": "value1, value2"
```
## Parâmetros de sequência de caracteres de consulta de vários valores
O VPC Lattice suporta parâmetros de consulta com vários valores para a mesma chave.
No exemplo a seguir, há dois parâmetros nomeados QS1 com valores diferentes.
```
http://www.example.com?&QS1=value1&QS1=value2
```
Com uma estrutura de eventos V2, o VPC Lattice envia os valores em uma lista. Por exemplo:
```
"QS1": ["value1", "value2"]
```
Com uma estrutura de eventos V1, o VPC Lattice usa o último valor passado. Por exemplo:
```
"QS1": "value2"
```
## Cancelar o registro da função do Lambda
Se não precisar mais enviar tráfego para sua função Lambda, você poderá cancelar o registro. Depois de cancelar o registro de uma função Lambda, as solicitações em andamento falham com erros HTTP 5XX.
Para substituir uma função Lambda, recomendamos criar um grupo de destino, registrar a nova função com o novo grupo de destino e atualizar as regras do listener para usar o novo grupo de destino em vez do existente.
**Para cancelar o registro de funções do Lambda usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Escolha o nome do grupo de destino para abrir sua página de detalhes.
1. Na guia **Targets** (Destinos), selecione **Deregister** (Cancelar registro).
1. Quando receber a solicitação de confirmação, insira **confirm** e escolha **Cancelar registro**.
**Para cancelar o registro da função Lambda usando o AWS CLI**
Use o comando [deregister-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/deregister-targets.html).
# Application Load Balancers como destinos no VPC Lattice
Você pode criar um grupo de destino do VPC Lattice, registrar um único Application Load Balancer interno como destino e configurar seu serviço VPC Lattice para encaminhar o tráfego para esse grupo de destino. Nesse cenário, o Application Load Balancer assume a decisão de roteamento assim que o tráfego chega até ele. Essa configuração permite que você use o recurso de roteamento baseado em solicitações da camada 7 do Application Load Balancer em combinação com recursos compatíveis com o VPC Lattice, como autenticação e autorização do IAM e conectividade entre contas. VPCs
**Limitações**
+ Você pode registrar um único Application Load Balancer interno como destino em um grupo de destino do VPC Lattice do tipo `ALB`.
+ Você pode registrar um Application Load Balancer como destino de até dois grupos de destino do VPC Lattice, usados por dois serviços VPC Lattice diferentes.
+ O VPC Lattice não fornece verificações de integridade para nenhum grupo de destino do tipo `ALB`. No entanto, você pode configurar verificações de integridade de maneira independente no nível do balanceador de carga para os destinos no Elastic Load Balancing. Para obter mais informações, consulte [Verificações de integridade do grupo-alvo](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html) no *Guia do usuário para Application Load Balancers*
## Pré-requisitos
Crie um Application Load Balancer para registrar como destino com seu grupo de destino do VPC Lattice. O balanceador de carga deve atender aos seguintes critérios:
+ O esquema do balanceador de carga deve ser **Interno**.
+ O Application Load Balancer deve estar na mesma conta do grupo de destino do VPC Lattice e estar no estado **Ativo**.
+ O Application Load Balancer deve estar na mesma VPC do grupo de destino do VPC Lattice.
+ Você pode usar ouvintes HTTPS no Application Load Balancer para encerrar o TLS, mas somente se o serviço VPC Lattice usar o mesmo certificado do balanceador de carga. SSL/TLS
+ Para preservar o IP do cliente do serviço VPC Lattice no cabeçalho da solicitação `X-Forwarded-For`, você deverá definir o atributo `routing.http.xff_header_processing.mode` do Application Load Balancer como `Preserve`. Se o valor for `Preserve`, o balanceador de carga deverá preservar o cabeçalho `X-Forwarded-For` na solicitação HTTP e enviá-lo para o destino sem nenhuma alteração.
Para obter mais informações, consulte [Criar um Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) no *Guia do usuário dos Application Load Balancers*.
## Etapa 1: criar um grupo de destino do tipo ALB
Siga o procedimento abaixo para criar o grupo de destino. Observe que o VPC Lattice não oferece suporte a verificações de saúde para `ALB` grupos-alvo. No entanto, você pode configurar verificações de integridade para os grupos de destino do seu Application Load Balancer. Para obter mais informações, consulte [Verificações de integridade do grupo-alvo](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html) no *Guia do usuário dos Application Load Balancers*.
**Para criar o grupo de destino**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Selecione **Criar grupo de destino**.
1. Na página **Especificar detalhes do grupo de destino**, em **Configuração básica**, escolha **Application Load Balancer** como o tipo de destino.
1. Em **Nome do grupo de destino**, insira um nome para o grupo de destino.
1. Para **Protocolo****HTTP**, escolha**HTTPS**, ou**TCP**. O protocolo do grupo de destino deverá corresponder ao protocolo do receptor do seu Application Load Balancer interno.
1. Em **Porta**, especifique a porta para seu grupo de destino. Essa porta deverá corresponder à porta do receptor do Application Load Balancer interno. Como alternativa, você pode adicionar uma porta de receptor no Application Load Balancer interno para corresponder à porta do grupo de destino especificada aqui.
1. Em **VPC**, selecione a mesma nuvem privada virtual (VPC) que você selecionou ao criar o Application Load Balancer interno. Essa deverá ser a VPC que contém seus recursos do VPC Lattice.
1. Em **Versão do protocolo**, escolha a versão do protocolo compatível com seu Application Load Balancer.
1. (Opcional) Adicione qualquer tag necessária.
1. Escolha **Próximo**.
## Etapa 2: registrar o Application Load Balancer como destino
Você pode registrar o balanceador de carga como destino agora ou mais tarde.
**Para registrar um Application Load Balancer como destino**
1. Escolha **Registrar agora**.
1. Em **Application Load Balancer**, escolha seu Application Load Balancer interno.
1. Em **Porta**, mantenha a porta padrão ou especifique uma porta diferente conforme necessário. Essa porta deverá corresponder à porta de um receptor existente em seu Application Load Balancer. Se você continuar sem uma porta correspondente, o tráfego não alcançará seu Application Load Balancer.
1. Selecione **Criar grupo de destino**.
## Versão do protocolo
Por padrão, os serviços enviam solicitações para destinos usando HTTP/1.1. Você pode usar a versão do protocolo para enviar solicitações aos destinos usando HTTP/2 ou gRPC.
A tabela a seguir resume o resultado das combinações de protocolo de solicitação e versão de protocolo do grupo de destino.
| Protocolo de solicitação | Versão do protocolo | Resultado |
| --- | --- | --- |
| HTTP/1.1 | HTTP/1.1 | Bem-sucedida |
| HTTP/2 | HTTP/1.1 | Bem-sucedida |
| gRPC | HTTP/1.1 | Erro |
| HTTP/1.1 | HTTP/2 | Erro |
| HTTP/2 | HTTP/2 | Bem-sucedida |
| gRPC | HTTP/2 | Sucesso se os destinos forem compatíveis com gRPC |
| HTTP/1.1 | gRPC | Erro |
| HTTP/2 | gRPC | Sucesso se for uma solicitação POST |
| gRPC | gRPC | Bem-sucedida |
**Considerações sobre a versão do protocolo gRPC**
+ O único protocolo de receptor compatível é HTTPS.
+ Só há compatibilidade com os tipos de destino `INSTANCE` e `IP`.
+ O serviço analisa as solicitações do gRPC e encaminha as chamadas do gRPC para os grupos de destino adequados com base no pacote, serviço e método.
+ Não é possível usar funções do Lambda como destino.
**Considerações sobre a versão do protocolo HTTP/2**
+ O único protocolo de receptor compatível é HTTPS. Você pode escolher HTTP ou HTTPS para o protocolo do grupo de destino.
+ As únicas regras de receptor suportadas são encaminhar e resposta fixa.
+ Só há compatibilidade com os tipos de destino `INSTANCE` e `IP`.
+ O serviço é compatível com streaming proveniente dos clientes. O serviço não é compatível com streaming para os destinos.
# Tags para seu grupo de destino do VPC Lattice
As tags ajudam a categorizar seus grupos de destino de diferentes formas, como por finalidade, por proprietário ou por ambiente.
Você pode adicionar várias tags a um grupo de destino. As chaves de tag devem ser exclusivas para cada grupo de destino. Se você adicionar uma tag com uma chave que já esteja associada ao grupo de destino, o valor dessa tag será atualizado.
Quando não precisar mais de uma tag, você poderá removê-la.
**Restrições**
+ Número máximo de tags por recurso: 50
+ Comprimento máximo da chave: 127 caracteres Unicode
+ Comprimento máximo de valor: 255 caracteres Unicode
+ As chaves e valores das tags diferenciam maiúsculas de minúsculas. Os caracteres permitidos são letras, espaços e números representáveis em UTF-8, além dos seguintes caracteres especiais: \$1 - = . \$1 : / @. Não use espaços no início nem no fim.
+ Não use o `aws:` prefixo nos nomes ou valores das tags porque ele está reservado para AWS uso. Você não pode editar nem excluir nomes ou valores de tag com esse prefixo. As tags com esse prefixo não contam para as tags por limite de recurso.
**Para atualizar as tags de um grupo de destino usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Grupos de destino**.
1. Selecione o nome do grupo de destino para abrir sua página de detalhes.
1. Escolha a guia **Tags**.
1. Para adicionar uma tag, escolha **Adicionar tags** e insira a chave e o valor da tag. Para adicionar outra tag, escolha **Adicionar nova tag** novamente. Quando terminar de adicionar etiquetas, escolha **Save changes** (Salvar alterações).
1. Para excluir uma tag, marque a caixa de seleção da tag e escolha **Excluir**. Quando a confirmação for solicitada, insira **confirm** e selecione **Excluir**.
**Para atualizar as tags de um grupo-alvo usando o AWS CLI**
Use os comandos [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/tag-resource.html) e [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/untag-resource.html).
# Excluir um grupo-alvo do VPC Lattice
Você pode excluir um grupo de destino se ele não for mencionado pelas ações de encaminhamento de nenhuma regra de receptor. A exclusão de um grupo de destino não afeta os destinos registrados no grupo de destino. Se você não precisar mais de uma instância do EC2 registrada, poderá interrompê-la ou encerrá-la.
**Para excluir um grupo de destino usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Grupos de destino**.
1. Marque a caixa de seleção do grupo de destino e selecione **Ações**, **Excluir**.
1. Quando a confirmação for solicitada, insira **confirm** e selecione **Excluir**.
**Para excluir um grupo-alvo usando o AWS CLI**
Use o comando [delete-target-group](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-target-group.html).