使用亚马逊云科技Amazon VPC Lattice简化服务间的连接、安全和监控

news/2024/10/30 13:38:19/

c6371fbc1ddd4c04bb905e6cda8215a5.png在亚马逊云科技re:Invent 2022中,亚马逊云科技介绍了Amazon VPC Lattice预览版,这是Amazon Virtual Private Cloud(Amazon VPC)的一项新功能,可通过一致的方式连接、保护和监控服务之间的通信。借助Amazon VPC Lattice,可以定义网络访问、流量管理和监控策略,以在实例、容器和无服务器应用程序之间连接计算服务。 

4月10日,亚马逊云科技宣布Amazon VPC Lattice现已正式推出。与预览版相比,有以下新功能:

● 除了Amazon VPC Lattice自动生成的域名外,服务还可以使用自定义域名。使用HTTPS时,可以配置与自定义域名匹配的SSL/TLS证书。

● 可以部署开源AWS Gateway API控制器,使用带有Kubernetes原生体验的Amazon VPC Lattice。该工具使用Kubernetes Gateway API来连接多个Kubernetes集群的服务以及在EC2实例、容器和无服务器函数上运行的服务。

● 可以使用应用程序负载均衡器(ALB)或网络负载均衡器(NLB)作为服务的目标。

● IP地址目标类型现在支持IPv6连接。

 

使用Amazon VPC Lattice实现服务间的连接

如何使用Amazon VPC Lattice实现电子商务应用程序服务的相互通信。为简单起见,只考虑四种服务:

● 订单服务,作为Lambda函数运行。

● 库存服务,作为Amazon Elastic Container Service(Amazon ECS)部署在支持IPv6的双堆栈Amazon VPC中。

● 配送服务,作为ECS服务部署,并使用ALB向服务任务分配流量。

● 付款服务,在EC2实例上运行。

首先,创建一个服务网络。订单服务需要致电库存服务(检查商品是否可供购买)、配送服务(组织商品配送)和付款服务(转账)。这些服务在不同的亚马逊云科技账户和多个Amazon VPC中运行。Amazon VPC Lattice可以处理跨越Amazon VPC边界设置连接和跨账户权限的复杂性,因此服务间的通信就像HTTP/HTTPS调用一样简单。

订单服务在连接到Amazon VPC的Lambda函数中运行。由于图表中的所有Amazon VPC都与服务网络相关联,因此订单服务能够调用其他服务(库存、配送和付款),即使这些服务部署在不同的亚马逊云科技账户和IP地址重叠的Amazon VPC中亦是如此。

 

使用网络负载均衡器(NLB)作为目标

库存服务在双堆栈Amazon VPC中运行。它作为带有NLB的ECS服务部署,用于向服务中的任务分配流量。为了获取NLB的IPv6地址,在EC2控制台中查找NLB使用的网络接口。

为库存服务创建目标组时,在基本配置下,选择IP地址作为目标类型。然后,选择IPv6作为IP地址类型。

 

使用应用程序负载均衡器(ALB)作为目标

使用ALB作为目标甚至更容易操作。为配送服务创建目标组时,在基本配置下,选择新的应用程序负载均衡器目标类型。选择要在其中查找ALB的Amazon VPC并选择协议版本。

在下一步中,选择立即注册,然后从下拉列表中选择ALB。使用目标组使用的默认端口。Amazon VPC Lattice不为ALB提供额外的运行状况检查。但是,负载均衡器已经配置自己的运行状况检查。

 

为服务使用自定义域名

要调用这些服务,使用自定义域名。例如,在Amazon VPC控制台中创建付款服务时,选择指定自定义域配置,输入自定义域名,然后为HTTPS侦听器选择SSL/TLS证书。自定义SSL/TLS证书下拉列表显示来自AWS Certificate Manager(ACM)的可用证书。

 

保护服务间通信

现在已经创建目标组,看看如何保护服务间的通信。为了实现零信任身份验证和授权,使用AWS Identity and Access Management(IAM)。创建服务时,选择AWS IAM作为身份验证类型。

选择仅允许经过身份验证的访问策略模板,因此服务请求需要使用签名版本4进行签名,这与AWS API使用的签名协议相同。通过这种方式,服务之间的请求由其IAM证书进行身份验证,并且不必管理密钥来保护它们的通信。

或者,可以更精确地使用身份验证策略,该策略仅提供对某些服务或服务特定URL路径的访问权限。例如,可以将以下身份验证策略应用于订单服务,为Lambda函数提供这些权限:

● 对库存服务/stock URL路径的只读访问权限(GET方法)。

● 对配送服务/delivery URL路径的完全访问权限(任何HTTP方法)。

使用Amazon VPC Lattice,快速配置电子商务应用程序服务之间的通信,包括安全和监控。现在,可以专注于业务逻辑,而不是管理服务之间的通信方式。

Amazon VPC Lattice现已在以下亚马逊云科技区域推出:美国东部(俄亥俄州)、美国东部(弗吉尼亚州北部)、美国西部(俄勒冈州)、亚太地区(新加坡)、亚太地区(悉尼)、亚太地区(东京)和欧洲地区(爱尔兰)。

亚马逊云科技设计Amazon VPC Lattice的目的是允许随着时间的推移逐步加入更多团队。您组织中的每个团队都可以选择是否以及何时使用Amazon VPC Lattice。其他应用程序可以使用HTTP和HTTPS等标准协议连接到Amazon VPC Lattice服务。通过使用Amazon VPC Lattice,您可以专注于应用程序逻辑,通过对实例、容器和无服务器计算的一致支持来提高生产力和部署灵活性。

使用Amazon VPC Lattice简化连接、保护和监控服务的方式。


http://www.ppmy.cn/news/88949.html

相关文章

白银实时价格应该在最适合的地方下注

小时候我们看战争片,总是发现主角们带兵打仗,战无不胜,偶尔有一场大的失利,但是总是能耐化险为夷,逢凶化吉,甚至最后成功反扑、反败为胜。后来小编一琢磨,发现,其实这些将才们打仗&a…

ESD防静电监控系统后台实时掌控现场静电防护情况

当静电积累到一定程度时,它可能会产生电击,从而对工人造成伤害。因此,工厂应该采取必要的预防措施,如提供防静电鞋和衣服,以保护工人免受静电伤害。 ESD防静电监控系统实现工业4.0技术要求,ESD物联技术稳定…

Talk预告 | ICML‘23 Oral 字节跳动 AI Lab 研究员郑在翔:人工智能如何助力蛋白质设计?

本期为TechBeat人工智能社区第500期线上Talk! 北京时间5月25日(周四)20:00,字节跳动 AI Lab 研究员 — 郑在翔的Talk将准时在TechBeat人工智能社区开播! 他与大家分享的主题是: “人工智能如何助力蛋白质设计 ”,届时将介绍基于…

发力电商培训 淘宝天下小二助力品牌商家成长

过去一年,平台各种玩法层出不穷,使得不少商家大呼有心无力,感觉什么都要学,但又不知从哪里入手为好……为帮助更多商家在2023年找对方向,突破店铺运营瓶颈,淘宝天下基于多年行业深耕经验,用可复…

人工智能学习07--pytorch18--目标检测:Faster RCNN源码解析(pytorch)

参考博客: https://blog.csdn.net/weixin_46676835/article/details/130175898 VOC2012 1、代码的使用 查看pytorch中的faster-rcnn源码: 在pytorch中导入: import torchvision.models.detection.faster_rcnn即可找到faster rcnn所实现的源…

【leetcode】!longest substring without repeating chars

参考资料:《剑指offer》,《程序员代码面试指南》 思路: 对每一个位置str[i]来说,找它的以str[i]为end、最长、无重复字符的子串 的过程 相当于 尽可能以str[i]为end, 向左扩, 直至扩到 以str[i-1]为end、最…

JWT(Json Web Token)的原理、渗透与防御

(关于JWT kid安全部分后期整理完毕再进行更新~2023.05.16) JWT的原理、渗透与防御 目录 JWT的原理、渗透与防御含义原理JWT的起源传统session认证问题token与session区别JWT的结构与内容 JWT的攻击和渗透敏感信息泄露空密钥破解密钥爆破CVE-2019-7644 J…

Spring Boot 3.x 系列【38】服务监控 | 自定义端点

有道无术,术尚可求,有术无道,止于术。 本系列Spring Boot版本3.0.5 源码地址:https://gitee.com/pearl-organization/study-spring-boot3 文章目录 1. 概述2. 自定义 Web 端点3. 控制器端点4. Servlet端点5. 扩展端点1. 概述 Spring Boot Actuator默认已提供了很多端点,…