View a markdown version of this page

VPC Lattice 的運作方式 - Amazon VPC Lattice

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC Lattice 的運作方式

VPC Lattice 旨在協助您輕鬆有效地探索、保護、連線和監控其中的所有服務和資源。VPC Lattice 內的每個元件會根據與服務網路的關聯及其存取設定,在服務網路內進行單向或雙向通訊。存取設定包含此通訊所需的身分驗證和授權政策。

下列摘要說明 VPC Lattice 內元件之間的通訊:

  • VPC 有兩種方式可以連接到服務網路 - 透過 VPC 關聯和類型為服務網路的 VPC 端點。

  • 與服務網路相關聯的服務和資源可以接收來自其 VPCs 也連接到服務網路之用戶端的請求。

  • 只有當用戶端位於連線至相同服務網路的 VPC 中時,才能將請求傳送至與服務網路相關聯的 服務和資源。只有當 VPC 透過 VPC 端點連接到服務網路時,周遊 VPC 互連連線、傳輸閘道、Direct Connect 或 VPN 的用戶端流量才能連接資源和服務。

  • 與服務網路相關聯的 VPCs 中的服務目標也是用戶端,並且可以將請求傳送到與服務網路相關聯的其他 服務和資源。

  • VPCs 中與服務網路無關的服務目標不是用戶端,無法將請求傳送至與服務網路相關聯的其他 服務和資源。

  • 具有資源但 VPC 與服務網路沒有關聯的 VPCs 用戶端不是用戶端,無法將請求傳送至與服務網路相關聯的其他 服務和資源。

下列流程圖使用範例案例來說明 VPC Lattice 內元件之間的資訊和通訊方向流程。服務網路有兩個相關聯的服務。服務和所有 VPCs都是在與服務網路相同的帳戶中建立。這兩個服務都設定為允許來自服務網路的流量。

VPC 服務網路流程

Service 1 是在 VPC 1 中向目標群組 1 註冊的一組執行個體上執行的計費應用程式。Service 2 是在 VPC 2 中向目標群組 2 註冊的一組執行個體上執行的付款應用程式。VPC 3 位於相同 帳戶中,且具有用戶端,但沒有 服務。資源 1 是在 VPC 4 中具有客戶資料的資料庫。

下列清單依序說明 VPC Lattice 的一般任務工作流程。

  1. 建立服務網路

    服務網路擁有者會建立服務網路。

  2. 建立服務

    服務擁有者會建立各自的服務、服務 1 和服務 2。在建立期間,服務擁有者會新增接聽程式,並定義將請求路由到每個服務目標群組的規則。

  3. 定義路由

    服務擁有者會為每個服務建立目標群組 (目標群組 1 和目標群組 2)。它們透過指定服務執行所在的目標執行個體來執行此操作。它們也會指定這些目標所在的 VPCs。

    在上圖中,實心箭頭代表將流量路由至目標群組的服務,以及路由至資源的資源組態。

    VPC Lattice 支援路由流量的可用區域 (AZ) 親和性。當用戶端將請求傳送至 VPC Lattice 時,VPC Lattice 會使用與用戶端相同 AZ 的服務或資源 IP 地址來回應。如果該 AZ 無法使用,VPC Lattice 會以來自其他 AZs IP 地址回應。從 VPC Lattice 到目標,路由到目標,可能分散到 AZs。此外,VPC Lattice 中沒有跨可用區域資料傳輸費用。

  4. 將服務與服務網路建立關聯

    服務網路擁有者或服務擁有者會將服務與服務網路建立關聯。關聯會顯示為箭頭,其核取記號指向服務網路。當您將服務與服務網路建立關聯時,該服務可供與服務網路相關聯的其他 服務以及連線至服務網路之 VPCs中的用戶端探索。

    服務網路和目標群組之間的虛線箭頭會顯示建立連線的方向。使用服務網路將流量傳回用戶端。此圖表不包含代表傳回流量的箭頭。

  5. 建立資源閘道

    資源擁有者會在 VPC 4 中建立資源閘道,以便能夠從用戶端連線至資源 1。

  6. 建立資源組態

    資源擁有者會建立資源組態來代表資源 1,並指定資源 1 的資源閘道。

  7. 將資源組態與服務網路建立關聯

    服務網路擁有者或資源擁有者會將資源組態與服務網路建立關聯。關聯會顯示為箭頭,其中核取記號指向資源組態中的服務網路。當您將資源組態與服務網路建立關聯時,該資源組態可供與服務網路相關聯的其他 服務以及連線至服務網路之 VPCs中的用戶端探索。

    從服務網路到資源的破折號箭頭代表從用戶端接收請求的資源。使用服務網路將流量傳回用戶端。此圖表不包含代表傳回流量的箭頭。

  8. 將 VPCs與服務網路連線

    VPCs可以透過兩種方式與服務網路連線:將 VPC 與服務網路建立關聯,或建立 VPC 端點。在這裡,服務網路擁有者會將 VPC 1 和 VPC 3 與服務網路建立關聯。關聯使用箭頭顯示,核取記號指向服務網路。透過這些關聯,VPC 中的任何資源都可以充當用戶端,並且可以向服務網路中的服務提出請求。VPC 1 和服務網路之間的虛線箭頭會顯示建立連線的方向。服務網路只會對服務 1 目標群組鎖定的資源啟動連線。VPC 1 中的任何資源都可以充當用戶端,並啟動與服務網路服務和資源的連線。

    VPC 2 沒有代表關聯的箭頭或核取記號。這表示服務網路擁有者或服務擁有者尚未將 VPC 2 與服務網路建立關聯。這是因為在此範例中,服務 2 只需要接收請求並使用相同的請求傳送回應。換言之,服務 2 的目標不是用戶端,也不需要向服務網路中的其他 服務提出請求。

    同樣地,VPC 4 沒有代表關聯的箭頭或核取記號。這表示服務網路擁有者或資源擁有者尚未將 VPC 4 與服務網路建立關聯。這是因為資源 1 只會接收請求,並使用相同的請求傳送回應。它無法向服務網路中的其他 服務和資源提出請求。

總而言之,流程圖顯示下列案例:

  • 僅具有從 VPCs的 VPC。VPC 2 和 VPC 4 代表這些案例。

  • 僅具有從資源輸出至 VPC Lattice 之連線的 VPC。VPC 3 代表此案例。

  • 具有從 VPC Lattice 到其資源的輸入連線,以及從其資源到 VPC Lattice 的輸出連線的 VPC。VPC 1 代表此案例。