本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# VPC Lattice 中的目标组
VPC Lattice 目标组是运行应用程序或服务的目标或计算资源的集合。支持的目标类型包括 EC2 实例、IP 地址、Lambda 函数、应用程序负载均衡器、Amazon ECS 任务和 Kubernetes Pod。您还可以将现有服务附加到目标组。有关将 Kubernetes 与 VPC Lattice 结合使用的更多信息,请参阅 [AWS 网关 API 控制器用户指南](https://www.gateway-api-controller.eks.aws.dev/)。
每个*目标组*均用于将请求路由到一个或多个已注册的目标。在创建侦听器规则时,您可以指定目标组和条件。满足规则条件时,流量会转发到相应的目标组。您可以为不同类型的请求创建不同的目标组。例如,为一般请求创建一个目标组,为包含特定规则条件(如路径或标头值)的请求创建其他目标组。
![\[具有侦听器、侦听器规则和两个目标组的服务。\]](http://docs.aws.amazon.com/zh_cn/vpc-lattice/latest/ug/images/service.png)
您可以根据目标组来定义服务的运行状况检查设置。每个目标组均使用默认运行状况检查设置,除非您在创建目标组时将其覆盖或稍后对其进行修改。在侦听器的规则中指定目标组后,服务将持续监控向该目标组注册的所有目标的运行状况。服务将请求路由到运行正常的已注册目标。
要在规则中为服务侦听器指定目标组,目标组必须与服务位于同一账户中。
VPC Lattice 目标组与弹性负载均衡提供的目标组类似,但不可互换。
**Topics**
+ [创建目标组](create-target-group.md)
+ [注册目标](register-targets.md)
+ [配置运行状况检查](target-group-health-checks.md)
+ [路由配置](#target-group-routing-configuration)
+ [路由算法](#target-group-routing-algorithm)
+ [Target type](#target-type)
+ [IP 地址类型](#target-group-ip-address-type)
+ [HTTP 目标](http-targets.md)
+ [Lambda 函数即目标](lambda-functions.md)
+ [作为目标的应用程序负载均衡器](alb-target.md)
+ [协议版本](#target-group-protocol-version)
+ [更新标签](target-group-tags.md)
+ [删除目标组](delete-target-group.md)
# 创建 VPC Lattice 目标组
将目标注册到目标组。默认情况下,VPC Lattice 服务使用您为目标组指定的端口和协议向已注册的目标发送请求。在将每个目标注册到目标组时,可以覆盖此端口。
要将流量路由到目标组中的目标,请在创建侦听器或侦听器规则时,在操作中指定目标组。有关更多信息,请参阅 [VPC Lattice 服务的侦听器规则](listener-rules.md)。您可以在多个侦听器中指定同一个目标组,但这些侦听器必须属于同一服务。要在服务中使用目标组,必须确认目标组未被任何其他服务的侦听器使用。
您可以随时在目标组中添加或删除目标。有关更多信息,请参阅 [向 VPC Lattice 目标组注册目标](register-targets.md)。您也可以修改目标组的运行状况检查设置。有关更多信息,请参阅 [VPC Lattice 目标组的运行状况检查](target-group-health-checks.md)。
## 创建目标组
您可以创建目标组,也可以按如下方式注册目标。
**使用控制台创建目标组**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择**创建目标组**。
1. 对于**选择目标类型**,请执行以下操作之一:
+ 选择**实例**,按实例 ID 注册目标。
+ 选择 **IP 地址**,按 IP 地址注册目标。
+ 选择 **Lambda 函数**,将 Lambda 函数注册为目标。
+ 选择**应用程序负载均衡器**,将应用程序负载均衡器注册为目标。
1. 对于**目标组名称**,输入目标组的名称。该名称对于您的账户在每个 AWS 地区都必须是唯一的,最多可包含 32 个字符,必须仅包含字母数字字符或连字符,并且不得以连字符开头或结尾。
1. 对于**协议**和**端口**,可以根据需要修改默认值。默认协议为 **HTTPS**,默认端口为 **443**。
如果目标类型是 **Lambda 函数**,则无法指定协议或端口。
1. 对于 **IP 地址类型 **IPv4****,选择使用 IPv4 地址注册目标或选择**IPv6**使用 IPv6 地址注册目标。创建目标组后,无法更改此设置。
仅当目标类型为 **IP 地址**时,此选项才可用。
1. 对于 **VPC**,选择 Virtual Private Cloud (VPC)。
如果目标类型是 **Lambda 函数**,此选项不可用。
1. (可选)对于**协议版本**,根据需要修改默认值。默认值为 **HTTP1**。
如果目标类型是 **Lambda 函数**,此选项不可用。
1. 对于**运行状况检查**,根据需要修改默认设置。有关更多信息,请参阅 [VPC Lattice 目标组的运行状况检查](target-group-health-checks.md)。
如果目标类型是 **Lambda 函数**,运行状况检查不可用。
1. 对于 **Lambda 事件结构版本**,请选择一个版本。有关更多信息,请参阅 [从 VPC Lattice 服务接收事件](lambda-functions.md#receive-event-from-service)。
仅当目标类型为 **Lambda 函数**时,此选项才可用。
1. (可选)要添加标签,请展开**标签**,选择**添加新标签**,然后输入标签键和标签值。
1. 选择**下一步**。
1. 对于**注册目标**,您可以跳过此步骤,或按如下方式添加目标:
+ 如果目标类型为**实例**,请选择实例,输入端口,然后选择**在下面以待注册的形式添加**。
+ 如果目标类型为 **IP addresses (IP 地址)**,请执行以下操作:
1. 对于**选择网络**,保留您为目标组选择的 VPC 或选择**其他私有 IP 地址**。
1. **在 “指定 IPs 和定义端口**” 中,输入 IP 地址并输入端口。默认端口为目标组端口。
1. 选择**在下面以待注册的形式添加**。
+ 如果目标类型是 **Lambda 函数**,请选择 Lambda 函数。要创建 Lambda 函数,请选择**创建新的 Lambda 函数**。
+ 如果目标类型是**应用程序负载均衡器**,请选择应用程序负载均衡器。要创建应用程序负载均衡器,请选择**创建应用程序负载均衡器**。
1. 选择**创建目标组**。
VPC Lattice 可能需要几分钟才能注册目标。有关更多信息,请参阅 “[为什么我的 DNS 更改需要这么长时间才在 Route 53 和公共解析器中传播](https://repost.aws/knowledge-center/route-53-propagate-dns-changes)?
**要使用创建目标组 AWS CLI**
使用[create-target-group](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-target-group.html)命令创建目标组,使用 regi [ster-targets 命令添加目标](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/register-targets.html)。
## 共享子网
参与者可以在共享 VPC 中创建 VPC Lattice 目标组。以下规则适用于共享子网:
+ VPC Lattice 服务的所有部分(如侦听器、目标组和目标)必须由同一账户创建。可以在 VPC Lattice 服务所有者拥有或共享的子网中创建。
+ 向目标组注册的目标必须由与目标组相同的账户创建。
+ 只有 VPC 的所有者才能将 VPC 与服务网络关联。与服务网络关联的共享 VPC 中的参与者资源,可以向与服务网络关联的服务发送请求。但是,管理员可以通过使用安全组 ACLs、网络或身份验证策略来阻止这种情况。
有关 VPC Lattice 可共享资源的更多信息,请参阅 [共享 VPC Lattice 实体](sharing.md)。
# 向 VPC Lattice 目标组注册目标
您的服务充当客户端的单一联系点,并在其正常运行的注册目标之间分配传入流量。您可以将每个目标注册到一个或多个目标组中。
如果对应用程序的需求增加,则可以向一个或多个目标组注册其他目标来处理需求。一旦注册过程完成,并且目标通过初始运行状况检查,服务就会开始将请求路由到新注册的目标。
如果应用程序需求减少或者您需要为目标提供服务,您可以从目标组取消注册目标。取消注册目标将从目标组中删除目标,但不会影响目标。取消注册后,服务会停止将请求路由到目标。目标将进入 `DRAINING` 状态,直至进行中请求完成。在您准备好目标以继续接收请求时,可以重新将目标注册到目标组。
您的目标组的目标类型将确定如何向该目标组注册目标。有关更多信息,请参阅 [Target type](target-groups.md#target-type)。
使用以下控制台过程来注册或取消注册目标。或者,使用 AWS CLI中的 [register-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/register-targets.html) 和 [deregister-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/deregister-targets.html) 命令。
**Topics**
+ [通过实例 ID 注册或取消注册目标](#register-instances)
+ [通过 IP 地址注册或取消注册目标](#register-ip-addresses)
+ [注册或注销 Lambda 函数](#register-lambda-function)
+ [注册或取消注册应用程序负载均衡器](#register-alb)
## 通过实例 ID 注册或取消注册目标
目标实例必须位于您为目标组指定的虚拟私有云(VPC)中。当您注册实例时,实例还必须处于 `running` 状态。
按实例 ID 注册目标时,可以将服务与自动扩缩组结合使用。将目标组附加到自动扩缩组并且该组横向扩展后,自动扩缩组启动的实例将自动注册到目标组。如果您将目标组与 Auto Scaling 组分离,则实例会自动从目标组中取消注册。有关更多信息,请参阅《Amazon EC2 Auto Scaling 用户指南》**中的[使用 VPC Lattice 目标组将流量路由到自动扩缩组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-vpc-lattice.html)。
**使用控制台按实例 ID 注册或取消注册目标**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择目标组的名称以打开其详细信息页面。
1. 选择**目标**选项卡。
1. 要注册实例,请选择**注册目标**。选择实例,输入实例端口,然后选择**包括以下待定内容**。添加实例后,选择**注册目标**。
1. 要取消注册实例,请选择实例,然后选择**取消注册**。
## 通过 IP 地址注册或取消注册目标
目标 IP 地址必须来自您为目标组指定的 VPC 子网。不能在同一 VPC 中注册其他服务的 IP 地址。不能注册 VPC 端点或公开可路由 IP 地址。
**使用控制台按 IP 地址注册或取消注册目标**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择目标组的名称以打开其详细信息页面。
1. 选择 **Targets (目标)** 选项卡。
1. 要注册 IP 地址,请选择**注册目标**。对于每个 IP 地址,选择网络,输入 IP 地址和端口,然后选择**在下面以待注册的形式添加**。指定地址后,选择**注册目标**。
1. 要注销 IP 地址,请选择 IP 地址,然后选择**取消注册**。
## 注册或注销 Lambda 函数
您可以向目标组注册单个 Lambda 函数。如果您不再需要向您的 Lambda 函数发送流量,则可以将其取消注册。在取消注册 Lambda 函数后,进行中的请求会失败,并显示 HTTP 5XX 错误。最好是创建一个新的目标组,而不是替换目标组的 Lambda 函数。
**要使用新控制台注册或取消注销 Lambda 函数**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择目标组的名称以打开其详细信息页面。
1. 选择**目标**选项卡。
1. 如果未注册任何 Lambda 函数,请选择**注册目标**。选择 Lambda 函数并选择**注册目标**。
1. 要取消注册 Lambda 函数,请选择 **Deregister (取消注册)**。当系统提示确认时,输入 **confirm**,然后选择**取消注册**。
## 注册或取消注册应用程序负载均衡器
您可以向每个目标组注册一个应用程序负载均衡器。如果您不再需要将流量发送到负载均衡器,则可以取消注册。在取消注册负载均衡器后,进行中的请求会失败,并显示 HTTP 5XX 错误。最好是创建一个新的目标组,而不是替换目标组的应用程序负载均衡器。
**要使用控制台注册或取消注册应用程序负载均衡器**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择目标组的名称以打开其详细信息页面。
1. 选择**目标**选项卡。
1. 如果未注册应用程序负载均衡器,请选择**注册目标**。选择应用程序负载均衡器,然后选择**注册目标**。
1. 要取消注册应用程序负载均衡器,请选择**取消注册**。当系统提示确认时,输入 **confirm**,然后选择**取消注册**。
# VPC Lattice 目标组的运行状况检查
服务会定期向注册的目标发送请求,以测试其状态。这些测试称为*运行状况检查*。
每个 VPC Lattice 服务仅将请求路由到运行状况良好的目标。对于注册目标的目标组,每个服务均使用运行状况检查来检查每个目标的运行状况。在注册目标后,目标必须通过一次运行状况检查才会被视为正常。每次运行状况检查完成后,服务将关闭为运行状况检查建立的连接。
**限制和注意事项**
+ 当目标组协议版本为时 HTTP1,默认情况下会启用运行状况检查。
+ 当目标组协议版本为时 HTTP2,默认情况下不启用运行状况检查。但是,您可以启用运行状况检查,并将协议版本手动设置为 HTTP1 或 HTTP2。
+ 运行状况检查不支持 gRPC 目标组协议版本。但是,如果您启用运行状况检查,则必须将运行状况检查协议版本指定为 HTTP1 或 HTTP2。
+ 运行状况检查不支持 Lambda 目标组。
+ 运行状况检查不支持应用程序负载均衡器目标组。但您可以使用弹性负载均衡,为应用程序负载均衡器的目标启用运行状况检查。有关更多信息,请参阅*应用程序负载均衡器用户指南*中的[目标组运行状况检查](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html)。
## 运行状况检查设置
如下表所述,您可以为目标组中的目标配置运行状况检查。表中使用的设置名称是 API 中使用的名称。该服务使用指定的端口、协议和 ping 路径每**HealthCheckIntervalSeconds**秒向每个注册目标发送一次运行状况检查请求。每个运行状况检查请求都是独立的,其结果在整个时间间隔内持续。目标响应所用时间不影响下一运行状况检查请求的时间间隔。如果运行状况检查超过**UnhealthyThresholdCount**连续失败次数,则该服务会使目标停止服务。当运行状况检查超过**HealthyThresholdCount**连续成功率时,服务会将目标重新投入使用。
| 设置 | 说明 |
| --- | --- |
| **HealthCheckProtocol** | 服务在对目标执行运行状况检查时使用的协议。可能的协议为 HTTP 和 HTTPS。默认值为 HTTP 协议。 |
| **HealthCheckPort** | 服务在对目标执行运行状况检查时使用的端口。默认情况下,使用每个目标从服务接收流量的端口。 |
| **HealthCheckPath** | 目标运行状况检查的目的地。 如果协议版本为 HTTP1 或 HTTP2,请指定有效的 URI (/*path*? *查询*)。默认值为 /。 |
| **HealthCheckTimeoutSeconds** | 以秒为单位的时间长度,在此期间内,没有来自目标的响应意味着无法通过运行状况检查。范围为 1-120 秒。如果目标类型为 `INSTANCE` 或 `IP`,则默认值为 5 秒。指定 0 将此设置重置为默认值。 |
| **HealthCheckIntervalSeconds** | 各个目标的运行状况检查之间的大约时间量 (以秒为单位)。范围为 5–300 秒。如果目标类型为 `INSTANCE` 或 `IP`,则默认值为 30 秒。指定 0 将此设置重置为默认值。 |
| **HealthyThresholdCount** | 运行状况不良的目标变为运行状况正常的目标之前,所需的连续运行状况检查成功次数。范围为 2–10。默认值为 5。指定 0 将此设置重置为默认值。 |
| **UnhealthyThresholdCount** | 将目标视为不正常之前所需的连续运行状况检查失败次数。范围为 2–10。默认值为 2。指定 0 将此设置重置为默认值。 |
| **Matcher** | 检查来自目标的成功响应时要使用的代码。这些代码在控制台中称为**成功代码**。 如果协议版本为 HTTP1 或 HTTP2,则可能的值介于 200 到 499 之间。您可以指定多个值(例如,“200,202”)或一系列值(例如,“200-299”)。默认值为 200。 目前不支持 gRPC 的运行状况检查协议版本。但是,如果您的目标组协议版本是 gRPC,则可以在运行状况检查配置中指定 HTTP1 或 HTTP2 协议版本。 |
## 检查目标的运行状况
您可以检查已注册到目标组的目标的运行状况。
**使用控制台检查目标的运行状况**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择目标组的名称以打开其详细信息页面。
1. 在 **Targets**(目标)选项卡上,**Health status**(运行状况)列指示每个目标的状态。如果状态为 `Healthy` 以外的任何值,则**运行状况状态详细信息**列将包含更多信息。
**要检查目标的生命值,请使用 AWS CLI**
使用 [list-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/list-targets.html) 命令。此命令的输出包含目标运行状况。如果状态是 `Healthy` 以外的任何值,则输出还包括原因代码。
**接收有关运行状况不佳的目标的电子邮件通知**
使用 CloudWatch 警报启动 Lambda 函数以发送有关不健康目标的详细信息。
## 修改运行状况检查设置
您可以随时修改目标组的运行状况检查设置。
**要使用控制台修改运行状况检查设置**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择目标组的名称以打开其详细信息页面。
1. 在**运行状况检查**选项卡的**运行状况检查设置**部分,选择**编辑**。
1. 根据需要修改运行状况检查设置。
1. 选择**保存更改**。
**要修改运行状况检查设置,请使用 AWS CLI**
使用 [update-target-group](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/update-target-group.html) 命令。
## 路由配置
默认情况下,服务会使用您在创建目标组时指定的协议和端口号,将请求路由到目标。此外,您可以覆盖在将目标注册到目标组时用于将流量路由到目标的端口。
目标组支持以下协议和端口:
+ **协议**:HTTP、HTTPS、TCP
+ **端口**:1-65535
如果目标组配置了 HTTPS 协议或使用 HTTPS 运行状况检查,则与目标的 TLS 连接将使用来自监听器的安全策略。VPC Lattice 使用您在目标上安装的证书与目标建立 TLS 连接。VPC 莱迪思不验证这些证书。因此,您可以使用自签名证书或已过期的证书。VPC Lattice和目标之间的流量在数据包级别进行身份验证,因此即使目标上的证书无效,也不会面临 man-in-the-middle攻击或欺骗的风险。
只有 T [LS 侦听器支持 T](tls-listeners.md) CP 目标组。
## 路由算法
默认情况下,使用循环路由算法将请求路由到运行状况良好的目标。
当 VPC Lattice 服务收到请求时,会使用以下流程:
1. 按优先级顺序评估侦听器规则以确定要应用的规则。
1. 使用默认的循环算法,从规则操作的目标组中选择一个目标。每个目标组的路由都是单独进行的,即使某个目标已在多个目标组中注册。
如果目标组仅包含运行状况不良的注册目标,则会将请求路由到所有目标,而不考虑其运行状况如何。这意味着,如果所有目标同时未通过运行状况检查,则 VPC Lattice 服务将故障打开。故障打开的作用是根据轮循算法,允许流量进入所有目标,无论其运行状况如何。
VPC Lattice 支持可用区 (AZ) 关联性来路由流量。当客户端向 VPC Lattice 发送请求时,VPC Lattice 会使用与客户端位于同一可用区的服务或资源的 IP 地址进行响应。如果该可用区不可用,VPC Lattice 将使用其他 AZs可用区的 IP 地址进行响应。从 VPC Lattice 到目标,路由是指向可能分布在各 AZs处的目标。此外,VPC Lattice 不收取可用区间数据传输费用。
## Target type
创建目标组时,指定其目标类型,此类型将确定您在向此目标组注册目标时指定的目标的类型。创建目标组后,您无法更改其目标类型。
以下是可能的目标类型:
`INSTANCE`
这些目标通过实例 ID 指定。
`IP`
目标是 IP 地址。
`LAMBDA`
目标是 Lambda 函数。
`ALB`
目标是应用程序负载均衡器。
**注意事项**
+ 如果目标类型为 `IP`,则必须为目标组指定来自 VPC 子网的 IP 地址。如果需要从此 VPC 外部注册 IP 地址,请创建类型为 `ALB` 的目标组,并向应用程序负载均衡器注册 IP 地址。
+ 如果目标类型为 `IP`,则无法注册 VPC 端点或公开可路由 IP 地址。
+ 如果目标类型为 `LAMBDA`,则可以注册单个 Lambda 函数。当服务收到对 Lambda 函数的请求时,将会调用 Lambda 函数。如果要向服务注册多个 lambda 函数,则需要使用多个目标组。
+ 当目标类型为时`ALB`,您可以将单个内部 Application Load Balancer 注册为最多两个 VPC Lattice 服务的目标。为此,请向两个单独的目标组注册应用程序负载均衡器,这两个目标组用于两个不同的 VPC Lattice 服务。此外,目标应用程序负载均衡器必须至少有一个侦听器,其端口与目标组端口匹配。
+ 您可以在启动时自动向VPC Lattice目标组注册您的ECS任务。该目标组必须有一个目标类型 `IP`。有关更多信息,请参阅[亚马逊*弹性容器服务开发人员指南中的将 VPC Lattice 与您的 Amazon ECS 服务*配合使用](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-vpc-lattice.html)。
或者,使用类型`ALB`为 VPC Lattice 目标群组的 Amazon ECS 服务注册应用程序负载均衡器。有关更多信息,请参阅《[亚马逊*弹性容器服务开发人员指南》中的使用负载平衡来分配 Amazon ECS 服务*流量](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html)。
+ 要将 EKS 容器组注册为目标,请使用 [AWS 网关 API 控制器](https://www.gateway-api-controller.eks.aws.dev/),该控制器从 Kubernetes 服务获取 IP 地址。
+ 如果目标组协议是 TCP,则仅支持的目标类型是`INSTANCE``IP`、或`ALB`。
## IP 地址类型
当您创建目标类型为 `IP` 的目标组时,您可以为目标组指定 IP 地址类型。此操作指定负载均衡器使用何种类型的地址向目标发送请求,以及运行状况检查。可能的值为 `IPv4` 和 `IPv6`。默认为 `IPV4`。
**注意事项**
+ 如果您创建的 IP 地址类型为的目标组`IPv6`,则您为该目标组指定的 VPC 必须具有 IPv6 地址范围。
+ 向目标组注册的 IP 地址必须与目标组的 IP 地址类型匹配。例如,如果目标组的 IP IPv6 地址类型为,则无法在目标组中注册该地址`IPv4`。
+ 向目标组注册的 IP 地址必须在您为目标组指定 VPC 的 IP 地址范围内。
# VPC Lattice 中的 HTTP 目标
HTTP 请求和 HTTP 响应使用标头字段发送有关 HTTP 消息的信息。HTTP 标头会自动添加。标头字段为冒号分隔的名称值对,各个值对之间由回车符 (CR) 和换行符 (LF) 进行分隔。RFC 2616 [信息标头](https://datatracker.ietf.org/doc/html/rfc2616)中定义了标准 HTTP 标头字段集。此外还有应用程序广泛使用和自动添加的非标准 HTTP 标头。例如,有一些带有 `x-forwarded` 前缀的非标准 HTTP 标头。
## x-forwarded 标头
Amazon VPC Lattice 添加了以下 `x-forwarded` 标头:
`x-forwarded-for`
源 IP 地址。
`x-forwarded-port`
目标端口。
`x-forwarded-proto`
网络连接协议(`http` \$1 `https`)。
## 调用方身份标头
Amazon VPC Lattice 添加了以下调用方身份标头:
`x-amzn-lattice-identity`
身份信息。如果 AWS 验证成功,则会显示以下字段。
+ `Principal`:经过验证的主体。
+ `PrincipalOrgID`:经过验证主体的组织 ID。
+ `PrincipalOrgPath`— 经过身份验证的委托人的组织路径。
+ `SessionName`:经过验证会话的名称。
如果使用 Roles Anywhere 凭证且验证成功,则会显示以下字段。
+ `X509Issuer/OU`:发布者(OU)。
+ `X509SAN/DNS`:使用者备用名称(DNS)。
+ `X509SAN/NameCN`:发布者备用名称(名称/CN)。
+ `X509SAN/URI`:使用者备用名称(URI)。
+ `X509Subject/CN`:使用者名称(CN)。
`x-amzn-lattice-identity-tags`
委托人 ID 和任何委托人标签。格式如下所示。
```
principal=principal;principalorgid=orgid;principalorgpath=orgpath;principal-tag1=value1; ...;principal-tag99=value99
```
VPC Lattice 使用反斜杠 (\$1) 对值中的任何分号 (;) 进行转义。
`x-amzn-lattice-network`
VPC。格式如下所示。
```
SourceVpcArn=arn:aws:ec2:region:account:vpc/id
```
`x-amzn-lattice-target`
目标。格式如下所示。
```
ServiceArn=arn;ServiceNetworkArn=arn;TargetGroupArn=arn
```
有关 VPC Lattice 资源 ARNs 的信息,请参阅 [Amazon VPC Lattice 定义的资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-resources-for-iam-policies)。
来电者身份标头不能被伪造。VPC Lattice 会从任何传入的请求中删除这些标头。这些身份标头使用以下格式表示支持空值的地图。解析时,不应依赖这些标头 KEYs中的特定顺序,您应该期望随时都会添加新的 KEYs 标题,并且您应该做好处理空值的准备。
格式如下所示。
```
key-0=value-0;key-1=value-1;....;key-n=value-n;
```
# Lambda 函数作为 VPC Lattice 中的目标
您可以将 Lambda 函数注册为 VPC Lattice 目标组的目标,并配置侦听器规则,将请求转发到 Lambda 函数的目标组。当服务将请求转发到以 Lambda 函数为目标的目标组时,则会调用 Lambda 函数,并以 JSON 格式将请求内容传递给 Lambda 函数。
**限制**
+ Lambda 函数和目标组必须位于同一账户中,且位于同一区域中。
+ 您可以发送到 Lambda 函数的请求正文最大大小为 6MB。
+ Lambda 函数可以发送的响应 JSON 最大大小为 6MB。
+ 协议必须是 HTTP 或 HTTPS。
## 准备 Lambda 函数
如果您将 Lambda 函数与 VPC Lattice 服务结合使用,则以下建议适用。
**调用 Lambda 函数的权限**
当您创建目标组并使用 AWS 管理控制台 或注册 Lambda 函数时, AWS CLI VPC Lattice 会代表您向您的 Lambda 函数策略添加所需的权限。
您还可以使用以下 API 调用自行添加权限:
```
aws lambda add-permission \
--function-name lambda-function-arn-with-alias-name \
--statement-id vpc-lattice \
--principal vpc-lattice.amazonaws.com \
--action lambda:InvokeFunction \
--source-arn target-group-arn
```
**Lambda 函数版本控制**
您可以为每个目标组注册一个 Lambda 函数。为确保您可以更改 Lambda 函数,并确保 VPC Lattice 服务始终调用当前版本的 Lambda 函数,请创建函数别名,然后在向 VPC Lattice 服务注册 Lambda 函数时,在函数 ARN 中包含该别名。*有关更多信息,请参阅开发人员指南中的 [Lambda 函数版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)和[为 Lambda 函数创建别名](https://docs.aws.amazon.com/lambda/latest/dg/configuration-aliases.html)。AWS Lambda *
## 为 Lambda 函数创建目标组
创建一个要在请求路由中使用的目标组。如果请求内容与侦听器规则匹配,并执行将其转发到此目标组的操作,则 VPC Lattice 服务将调用注册的 Lambda 函数。
**要使用控制台创建目标组并注册 Lambda 函数**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择**创建目标组**。
1. 对于**选择目标类型**,选择 **Lambda 函数**。
1. 对于**目标组名称**,输入目标组的名称。
1. 对于 **Lambda 事件结构版本**,请选择一个版本。有关更多信息,请参阅 [从 VPC Lattice 服务接收事件](#receive-event-from-service)。
1. (可选)要添加标签,请展开**标签**,选择**添加新标签**,然后输入标签键和标签值。
1. 选择**下一步**。
1. 对于 **Lambda function (Lambda 函数)**,请执行下列操作之一:
+ 选择现有 Lambda 函数。
+ 创建新的 Lambda 函数并选中。
+ 稍后注册 Lambda 函数。
1. 选择**创建目标组**。
**要创建目标组并使用注册 Lambda 函数 AWS CLI**
使用[create-target-group](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-target-group.html)和[注册目标命令](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/register-targets.html)。
## 从 VPC Lattice 服务接收事件
VPC Lattice 服务支持通过 HTTP 和 HTTPS 调用 Lambda 请求。该服务以 JSON 格式发送事件,并将 `X-Forwarded-For` 标头添加到每个请求中。
**Base64 编码**
如果 `content-encoding` 标头存在且内容类型不是以下类型之一,则服务对正文进行 Base64 编码:
+ `text/*`
+ `application/json`
+ `application/xml`
+ `application/javascript`
如果 `content-encoding` 标头不存在,Base64 编码取决于内容类型。对于上述内容类型,服务按原样发送正文,不进行 Base64 编码。
**事件结构格式**
在创建或更新类型为 `LAMBDA` 的目标组时,您可以指定 Lambda 函数接收的事件结构的版本。可能的版本是 `V1` 和 `V2`。
**Example 示例事件:V2**
```
{
"version": "2.0",
"path": "/?query1=value1&query2=value2",
"method": "GET|POST|HEAD|...",
"headers": {
"header-key": ["header-value", ...],
...
},
"queryStringParameters": {
"key": ["value", ...]
},
"body": "request-body",
"isBase64Encoded": true|false,
"requestContext": {
"serviceNetworkArn": "arn:aws:vpc-lattice:region:123456789012:servicenetwork/sn-0bf3f2882e9cc805a",
"serviceArn": "arn:aws:vpc-lattice:region:123456789012:service/svc-0a40eebed65f8d69c",
"targetGroupArn": "arn:aws:vpc-lattice:region:123456789012:targetgroup/tg-6d0ecf831eec9f09",
"identity": {
"sourceVpcArn": "arn:aws:ec2:region:123456789012:vpc/vpc-0b8276c84697e7339",
"type": "AWS_IAM",
"principal": "arn:aws:iam::123456789012:assumed-role/my-role/my-session",
"principalOrgID": "o-50dc6c495c0c9188",
"sessionName": "i-0c7de02a688bde9f7",
"x509IssuerOu": "string",
"x509SanDns": "string",
"x509SanNameCn": "string",
"x509SanUri": "string",
"x509SubjectCn": "string"
},
"region": "region",
"timeEpoch": "1690497599177430"
}
}
```
`body`
请求的正文。仅在协议为 HTTP、HTTPS 或 gRPC 时出现。
`headers`
请求的 HTTP 标头。仅在协议为 HTTP、HTTPS 或 gRPC 时出现。
`identity`
身份信息。以下是可能的字段。
+ `principal`:经过验证的主体。仅在 AWS 身份验证成功时出现。
+ `principalOrgID`:经过验证主体的组织 ID。仅在 AWS 身份验证成功时出现。
+ `sessionName`:经过验证会话的名称。仅在 AWS 身份验证成功时出现。
+ `sourceVpcArn`:发出请求的 VPC 的 ARN。仅在可以识别源 VPC 时才会出现。
+ `type`— `AWS_IAM` 如果使用了身份验证策略并且 AWS 身份验证成功,则该值为。
如果使用 Roles Anywhere 凭证且验证成功,则会显示以下字段。
+ `x509IssuerOu`:发布者(OU)。
+ `x509SanDns`:使用者备用名称(DNS)。
+ `x509SanNameCn`:发布者备用名称(名称/CN)。
+ `x509SanUri`:使用者备用名称(URI)。
+ `x509SubjectCn`:使用者名称(CN)。
`isBase64Encoded`
表示正文是否经过 base64 编码。仅当协议为 HTTP、HTTPS 或 gRPC,且请求正文还不是字符串时才会出现。
`method`
请求中的 HTTP 方法。仅在协议为 HTTP、HTTPS 或 gRPC 时出现。
`path`
来自客户端的请求路径,其中包含查询字符串参数。仅在协议为 HTTP、HTTPS 或 gRPC 时出现。
`queryStringParameters`
HTTP 查询字符串参数。仅在协议为 HTTP、HTTPS 或 gRPC 时出现。
`serviceArn`
接收请求的服务的 ARN。
`serviceNetworkArn`
传送请求的服务网络的 ARN。
`targetGroupArn`
接收请求的目标组的 ARN。
`timeEpoch`
时间(微秒)。
**Example 示例事件:V1**
```
{
"raw_path": "/path/to/resource?query1=value1&query2=value2",
"method": "GET|POST|HEAD|...",
"headers": {"header-key": "header-value", ... },
"query_string_parameters": {"key": "value", ...},
"body": "request-body",
"is_base64_encoded": true|false
}
```
## 响应 VPC Lattice 服务
来自 Lambda 函数的响应必须包含 Base64 编码状态、状态代码和标头。您可以省略正文。
要在响应的正文中包含二进制内容,您必须对内容进行 Base64 编码并将 `isBase64Encoded` 设置为 `true`。服务对内容进行解码以检索二进制内容,并将其发送到 HTTP 响应主体中的客户端。
VPC Lattice 服务不支持 hop-by-hop标头,例如`Connection`或`Transfer-Encoding`。您可以省略 `Content-Length` 标头,因为服务在向客户端发送响应之前会对其进行计算。
以下是来自 Lambda 函数的示例响应:
```
{
"isBase64Encoded": false,
"statusCode": 200,
"headers": {
"Set-cookie": "cookies",
"Content-Type": "application/json"
},
"body": "Hello from Lambda (optional)"
}
```
## 多值标头
VPC Lattice 支持来自客户端的请求或来自包含多个值的标头或多次包含相同标头的 Lambda 函数的响应。VPC Lattice 将所有值传递给目标。
在以下示例中,有两个标头header1以不同的值命名。
```
header1 = value1
header1 = value2
```
在 V2 事件结构中,VPC Lattice 以列表形式发送值。例如:
```
"header1": ["value1", "value2"]
```
VPC Lattice 采用 V1 事件结构,将这些值组合成一个字符串。例如:
```
"header1": "value1, value2"
```
## 多值查询字符串参数
VPC Lattice 支持同一密钥具有多个值的查询参数。
在以下示例中,有两个QS1以不同值命名的参数。
```
http://www.example.com?&QS1=value1&QS1=value2
```
在 V2 事件结构中,VPC Lattice 以列表形式发送值。例如:
```
"QS1": ["value1", "value2"]
```
在 V1 事件结构中,VPC Lattice 使用最后一次传递的值。例如:
```
"QS1": "value2"
```
## 注销 Lambda 函数
如果您不再需要向您的 Lambda 函数发送流量,则可以将其取消注册。在取消注册 Lambda 函数后,进行中的请求会失败,并显示 HTTP 5XX 错误。
要替换 Lambda 函数,建议您创建新的目标组,向新目标组注册新函数,并将侦听器规则更新为使用新目标组而不是现有目标组。
**要使用新控制台取消注销 Lambda 函数**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择目标组的名称以打开其详细信息页面。
1. 在 **Targets (目标)** 选项卡上,选择 **Deregister (取消注册)**。
1. 当系统提示确认时,输入 **confirm**,然后选择**取消注册**。
**要取消注册 Lambda 函数,请使用 AWS CLI**
使用 [deregister-targets](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/deregister-targets.html) 命令。
# VPC Lattice 中的应用程序负载均衡器作为目标
您可以创建一个 VPC Lattice 目标组,将单个内部应用程序负载均衡器注册为目标,并配置 VPC Lattice 服务以将流量转发到该目标组。在这种情况下,应用程序负载均衡器在流量到达后立即接管路由决策。此配置允许您将 Application Load Balancer 的基于请求的第 7 层路由功能与 VPC Lattice 支持的功能结合使用,例如 IAM 身份验证和授权以及跨 VPCs 账户的连接。
**限制**
+ 您可以将单个内部应用程序负载均衡器注册为 VPC Lattice 目标组(类型为 `ALB`)中的目标。
+ 您最多可以将应用程序负载均衡器注册为两个 VPC Lattice 目标组的目标,由两个不同的 VPC Lattice 服务使用。
+ VPC Lattice 不会为 `ALB` 类型的目标组提供运行状况检查。但您可以在负载均衡器级别,为弹性负载均衡中的目标单独配置运行状况检查。有关更多信息,请参阅*应用程序负载均衡器用户指南*中的[目标组运行状况检查](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html)
## 先决条件
创建应用程序负载均衡器,将其注册为 VPCLattice 目标组的目标。负载均衡器必须符合以下标准:
+ 负载均衡器方案是**内部方案**。
+ 应用程序负载均衡器必须与 VPC Lattice 目标组位于同一账户中,并且必须处于**活动**状态。
+ 应用程序负载均衡器必须与 VPC Lattice 目标组位于同一 VPC 中。
+ 您可以在 Application Load Balancer 上使用 HTTPS 侦听器来终止 TLS,但前提是 VPC Lattice 服务使用与负载均衡器相同的 SSL/TLS 证书。
+ 要在 `X-Forwarded-For` 请求标头中保留 VPC Lattice 服务的客户端 IP,必须将应用程序负载均衡器 `routing.http.xff_header_processing.mode` 的属性设置为 `Preserve`。如果值为 `Preserve`,负载均衡器将保留 HTTP 请求中的 `X-Forwarded-For` 标头,并将其发送到目标而不做任何更改。
有关更多信息,请参阅《应用程序负载均衡器用户指南》**中的[创建应用程序负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html)。
## 步骤 1:创建 ALB 类型的目标组
使用以下过程创建目标组。请注意,VPC Lattice 不支持对`ALB`目标群体进行健康检查。但您可以为应用程序负载均衡器的目标组配置运行状况检查。有关更多信息,请参阅*应用程序负载均衡器用户指南*中的[目标组运行状况检查](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html)。
**要创建目标组**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择**创建目标组**。
1. 在**指定目标组详细信息**页面的**基本配置**下,选择**应用程序负载均衡器**作为目标类型。
1. 对于**目标组名称**,输入目标组的名称。
1. 对于 “**协议**”**HTTP**,选择**HTTPS**、或**TCP**。目标组协议必须与内部应用程序负载均衡器的侦听器协议匹配。
1. 对于**端口**,指定目标组的端口。此端口必须与内部应用程序负载均衡器的侦听器端口匹配。您也可以在内部应用程序负载均衡器上添加侦听器端口,以匹配您在此指定的目标组端口。
1. 对于 **VPC**,选择您在创建内部应用程序负载均衡器时选择的相同虚拟私有云(VPC)。此 VPC 应该是包含 VPC Lattice 资源的 VPC。
1. 对于**协议版本**,选择应用程序负载均衡器支持的协议版本。
1. (可选)添加任何所需的标签。
1. 选择**下一步**。
## 步骤 2:将应用程序负载均衡器注册为目标
您可以立即或稍后将负载均衡器注册为目标。
**要将应用程序负载均衡器注册为目标**
1. 选择**立即注册**。
1. 对于**应用程序负载均衡器**,请选择内部应用程序负载均衡器。
1. 对于**端口**,保留默认端口或根据需要指定不同的端口。此端口必须与内部应用程序负载均衡器上的现有侦听器端口匹配。如果在没有匹配端口的情况下继续,流量将无法到达应用程序负载均衡器。
1. 选择**创建目标组**。
## 协议版本
默认情况下,服务使用 HTTP/1.1 向目标发送请求。您可以通过协议版本使用 HTTP/2 或 gRPC 向目标发送请求。
下表汇总了请求协议和目标组协议版本组合的结果。
| 请求协议 | 协议版本 | 结果 |
| --- | --- | --- |
| HTTP/1.1 | HTTP/1.1 | 成功 |
| HTTP/2 | HTTP/1.1 | 成功 |
| gRPC | HTTP/1.1 | 错误 |
| HTTP/1.1 | HTTP/2 | 错误 |
| HTTP/2 | HTTP/2 | 成功 |
| gRPC | HTTP/2 | 如果目标支持 grPC,则成功 |
| HTTP/1.1 | gRPC | 错误 |
| HTTP/2 | gRPC | 如果 POST 请求,则成功 |
| gRPC | gRPC | 成功 |
**gRPC 协议版本的注意事项**
+ 唯一支持的侦听器协议是 HTTPS。
+ 唯一支持的目标类型是 `INSTANCE` 和 `IP`。
+ 服务会解析 gRPC 请求,并根据包、服务和方法将 gRPC 调用路由到相应的目标组。
+ 不能将 Lambda 函数用作目标。
**HTTP/2 协议版本的注意事项**
+ 唯一支持的侦听器协议是 HTTPS。您可以为目标组协议选择 HTTP 或 HTTPS。
+ 唯一支持的侦听器规则是正向和固定响应。
+ 唯一支持的目标类型是 `INSTANCE` 和 `IP`。
+ 服务支持来自客户端的流。服务不支持发往目标的流。
# VPC Lattice 目标组的标签
标签有助于按各种标准 (例如,用途、所有者或环境) 对目标组进行分类。
您可以为每个目标组添加多个标签。每个目标组的标签键必须是唯一的。如果您添加的标签中的键已经与目标组关联,它将更新该标签的值。
用完标签后可以将其删除。
**限制**
+ 每个资源的标签数上限 – 50
+ 最大密钥长度 - 127 个 Unicode 字符
+ 最大值长度 - 255 个 Unicode 字符
+ 标签键和值区分大小写。允许使用的字符包括可用 UTF-8 格式表示的字母、空格和数字,以及以下特殊字符: \$1 - = 。\$1 : / @。请不要使用前导空格或尾随空格。
+ 请勿在标签名称或值中使用`aws:`前缀,因为它已保留供 AWS 使用。您无法编辑或删除带此前缀的标签名称或值。具有此前缀的标签不计入每个资源的标签数限制。
**使用控制台更新目标组的标签**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的 **VPC Lattice** 下,选择**目标组**。
1. 选择目标组的名称以打开其详细信息页面。
1. 选择**标签**选项卡。
1. 要添加标签,请选择**添加标签**,然后输入标签键和标签值。要添加其他标签,请选择**添加新标签**。添加完标签后,选择 **Save changes**(保存更改)。
1. 要删除标签,请选择标签的复选框,然后选择**删除**。提示进行确认时,输入 **confirm**,然后选择**删除**。
**要更新目标群组的标签,请使用 AWS CLI**
使用 [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/tag-resource.html) 和 [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/untag-resource.html) 命令。
# 删除 VPC 莱迪思目标组
如果目标组未由任何侦听器规则的转发操作引用,则可以删除该目标组。删除目标组不会影响已注册到目标组的目标。如果您不再需要已注册的 EC2 实例,则可以停止或终止该实例。
**使用控制台删除目标组**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**目标组**。
1. 选中目标组的复选框,然后依次选择**操作**和**删除**。
1. 提示进行确认时,输入 **confirm**,然后选择**删除**。
**要使用删除目标组 AWS CLI**
使用 [delete-target-group](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-target-group.html) 命令。