Amazon VPC Lattice 架构模式和最佳实践

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/NET326-Amazon_VPC_Lattice_architecture_patterns_and_best_practices-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 [Amazon VPC Lattice](https://aws.amazon.com/cn/vpc/lattice/?trk=cndc-detail) 是一种应用程序网络服务，它简化了连接、保护和监控服务到服务的通信。无论底层计算类型是实例、容器还是 Serverless，您都可以使用 VPC Lattice 以一致的方式促进跨账户和跨 VPC 连接，以及工作负载的应用程序层负载平衡。在本论坛中，概括介绍 VPC Lattice，了解最新的特性和功能，发现采用最佳实践的专业提示和技巧，并探索组织用于简化应用程序连接、安全性和负载平衡的顶级架构模式。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共800字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 演讲者，作为亚马逊的产品经理，专注于EC2组织的网络连接。他以了解观众角色的方式开始了演讲，让与会者举手表示他们更接近管理员方面，这似乎占据了很大比例。然后，他询问谁是开发者，大约一半的其他与会者举手。最后，他询问谁是兼具管理和开发人员角色的多面手，这也是一个显著的部分。 Justin解释说，亚马逊之所以想要构建VPC Lattice，是因为小公司的团队成员通常既负责管理又负责开发工作，有时优先级会发生冲突。他开玩笑地说，开发者经常把管理员称为“警察”，试图限制他们的实验，但管理员只是在确保安全和操作不会被牺牲。VPC Lattice的目标是赋予开发者更快的构建速度，同时仍允许管理员保持治理和控制。 接下来，Justin概述了2022年3月发布的VPC Lattice的四个关键组件：服务、服务网络、策略和目录。首先，他解释服务只是一个逻辑抽象，例如一个DNS端点。它由监听器、规则和目标组组成，非常类似于弹性负载均衡。监听器定义协议，规则控制请求路由，目标组指向后端如EC2实例、Lambda函数等。重要的是，许多目标组和路径可以隐藏在同一个DNS名称/服务后面。 其次，服务网络是对服务的分组机制，用于关联到VPC时实现连接性。这类似于Active Directory组，可以将共同策略应用到多个用户。在服务网络中，你可以定义VPC之间的访问控制和连接模式。 策略允许将IAM资源策略应用于服务网络或服务本身以进行身份验证和授权。这使得可以使用IAM主体并使用例如实例概要文件等功能来控制应用程序层的访问。 最后是服务目录，它在账户级别提供所有创建和共享的服务的视图，对开发人员和管理员都非常有用。 Justin随后介绍了一些自初始发布以来的关键增强功能： 支持跨多个地区以及与资源访问管理器的集成，以实现跨账户资源共享。此外，还支持共享虚拟专用网络（VPC），使服务能够在共享子网中运行。在VPC层面提供合规性覆盖。客户可以管理权限，以控制共享资源时的允许操作。身份头传播功能可将调用者身份等元数据添加到后端请求中。Lambda函数事件结构可传递与Lambda事件相同的头部。开源的Kubernetes网关API控制器现已普遍可用。 最终，他提出了一系列建议，如参加研讨会、阅读博客文章、观看相关视频以及报名参加即将展开的高级VPC设计课程，以便获得更多学习资源。贾斯汀强调，VPC Lattice的核心目标是在保持治理、安全和可靠性不变的前提下，简化跨账户和VPC之间的云原生网络连接，并逐步实现广泛应用。通过提供具备内置控制的全管理服务，该系统使得开发人员能够在不损害治理、安全和可靠性的情况下，更快速地构建应用程序。 **下面是一些演讲现场的精彩瞬间：** 领导者强调App Runner如何使得开发人员能够在允许管理员实施安全控制的前提下，自由选择他们偏好的计算平台和编程语言。  通过新的HTTP请求日志，开发人员可以轻松获取关于请求的详细信息，无需借助其他工具，从而更有效地进行故障排除、定制授权以及个性化操作。  领导者还强调了了解基础设施实际成本的重要性，即通过按照使用情况付费的模式，以提高运行效率。  此外，亚马逊云科技的PrivateLink功能已消除对服务间通信所需IP地址的需求。  ## 总结 视频内容主要介绍了[Amazon VPC](https://aws.amazon.com/cn/vpc/?trk=cndc-detail)网格服务，这种服务简化了应用层网络。VPC网格允许服务跨越账户和虚拟专用云（VPC）进行通信，而无需复杂的网络配置。首先，VPC网格引入了服务的概念，即具有监听器、规则和目标群的逻辑前端。这些服务被放置在连接到VPC的服务网络中。通过实施身份验证和细粒度授权的策略来提高安全性。其次，VPC网格通过网络地址转换（NAT）处理跨VPC/账户的连接，并支持HTTP、gRPC等协议。它还提供了诸如标识头传播之类的优势，以增强故障排除过程。第三，VPC网格通过双堆叠网络功能逐步从传统基础设施迁移，并支持与现有的应用程序负载均衡器（ALB）进行混合部署。第四，VPC网格推动了集中式入口控制和服务无入口模式等创新模式的实现。它与亚马逊云科技的其他服务（如Global Accelerator）进行了集成。最后，VPC网格为开发人员简化了网络设置，并为运维人员提供了可视性。在确保安全性的同时，它也加速了软件开发进程。通过其托管的服务模型，VPC网格提高了运营的弹性和商业敏捷性。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")