Amazon VPC Lattice は、事前のネットワーキングの専門知識がなくても、サービス間およびサービスとリソース間の通信を一貫して接続、保護、モニタリングできるようにするアプリケーションのネットワーキングサービスです。VPC Lattice を使用すると、基盤となるコンピューティングタイプにかかわらず、ネットワークアクセス、トラフィック管理、およびネットワークモニタリングを設定して、VPC やアカウント全体で一貫したサービス間およびサービスとリソース間の通信を実現できます。
VPC Lattice は、次のユースケースに対処するのに役立ちます。
サービスとリソースを大規模に接続する – ネットワークを複雑にすることなく、VPC やアカウント全体で数千のサービスとリソースを接続します。
きめ細かいアクセス許可を適用する – サービス間およびサービスとリソース間のセキュリティを強化し、一元化されたアクセスコントロール、認証、およびコンテキスト固有の承認により、ゼロトラストアーキテクチャをサポートします。
高度なトラフィックコントロールを実装する – リクエストレベルのルーティングや、ブルー/グリーンおよびカナリアデプロイ向けの重み付けされたターゲットなど、きめ細かなトラフィックコントロールを適用します。
サービス間およびサービスとリソース間のインタラクションを観察する – リクエストタイプ、トラフィック量、エラー、応答時間などについて、サービス間およびサービスとリソース間の通信をモニタリングおよびトラブルシューティングします。
VPC Lattice は、ロール固有の機能を提供することで、デベロッパーとクラウド管理者の間のギャップを埋めるのに役立ちます。VPC Lattice は、最新のアプリケーションを迅速に実行するために必要となる、一般的なインフラストラクチャやネットワークタスクを学習して実行することに気が進まないデベロッパーにお勧めです。デベロッパーは、ネットワークではなく、アプリケーションの構築に注力できるべきです。VPC Lattice は、混合コンピューティング環境 (インスタンス、コンテナ、サーバーレス)、および VPC やアカウント全体で一貫した方法で認証、承認、および暗号化を有効にすることにより、組織のセキュリティ体制を強化しようとしているクラウドおよびネットワーク管理者にもお勧めです。
VPC Lattice を使用すると、仮想プライベートクラウド (VPC) とアカウントの境界にまたがるサービス間およびサービスとリソース間の通信を可能にするサービスネットワークと呼ばれる論理アプリケーションのネットワークを作成し、ネットワークの複雑さを緩和できます。VPC Lattice 内の専用データプレーンを介して、HTTP/HTTPS、gRPC、TCP プロトコルを介した接続を提供します。このデータプレーンは、VPC 内からのみアクセスできるリンクローカルエンドポイントと、VPC の内外からアクセスできるサービスネットワークタイプの VPC エンドポイントの両方を介して公開されます。
管理者は、AWS Resource Access Manager (AWS RAM) を使用して、サービスネットワーク経由で通信を確立できるアカウントや VPC を制御できます。VPC がサービスネットワークに関連付けられている場合、VPC 内のクライアントは、サービスネットワーク内のサービスとリソースのコレクションを自動的に検出して接続できます。サービス所有者は、VPC Lattice コンピューティングインテグレーションを使用して、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Elastic Kubernetes Service (Amazon EKS)、Amazon Elastic Container Service (Amazon ECS)、AWS Fargate、AWS Lambda からサービスをオンボーディングし、参加するサービスネットワークを 1 つ以上選択できます。サービス所有者は、高度なトラフィック管理ルールを設定して、ブルー/グリーンや canary スタイルのデプロイなどの一般的なパターンをサポートするためにリクエストを処理する方法を定義することもできます。リソース所有者は、RDS データベースなどのリソースをアカウント間で共有し、これらのリソースをサービスネットワークに追加できます。トラフィック管理に加えて、サービスとリソースの所有者および管理者は、VPC Lattice 認証ポリシーを通じて認証と承認を強制することにより、追加のアクセスコントロールを実装できます。管理者は、サービスネットワークレベルでガードレールを適用し、個々のサービスとリソースに対してきめ細かいアクセスコントロールを適用できます。VPC Lattice は非侵襲的で、既存のアーキテクチャパターンと連携するように設計されているため、組織全体の開発チームは時間の経過に合わせて段階的かつ漸進的にサービスとリソースをオンボーディングできます。
VPC Lattice には、次の 6 つの主なコンポーネントが導入されています。
サービス – 特定のタスクまたは機能を提供する、独立してデプロイ可能なソフトウェアの単位。サービスは任意の VPC やアカウントに存在でき、インスタンス、コンテナ、またはサーバーレスコンピューティングで実行できます。サービスは、AWS Application Load Balancer と同様に、リスナー、ルール、およびターゲットグループで構成されます。
サービスディレクトリ – 自ら作成したか、または AWS RAM を通じてアカウントと共有され、VPC Lattice に登録されたすべてのサービスの一元的なレジストリです。
リソース構成 – リソース設定は、RDS データベース、ドメイン名ターゲット、IP アドレスなど、VPC またはオンプレミスにある TCP ベースのリソースを表します。リソース構成はアカウント間で共有できます。リソース構成が別のアカウントと共有されている場合、そのアカウントはリソースにプライベートにアクセスできます。
リソースゲートウェイ – リソースゲートウェイは、リソース設定で共有されている TCP リソース宛のトラフィック用の VPC 内のイングレスポイントです。
サービスネットワーク – ユーザーが接続を有効にし、サービスとリソースのコレクションに共通のポリシーを適用する方法を簡素化するための論理的なグループ化メカニズムです。サービスネットワークは、AWS RAM を使用してアカウント間で共有し、VPC に関連付けて、サービスとリソースのグループへの接続を有効にすることができます。
認証ポリシー – 認証ポリシーは、アクセスコントロールを定義するためにサービスネットワークおよび個々のサービスおよびリソースに関連付けることができる AWS Identity and Access Management (IAM) リソースポリシーです。認証ポリシーは IAM を使用し、ユーザーはリッチなプリンシパル-アクション-リソース-条件 (PARC) スタイルの質問を指定して、VPC Lattice サービスでコンテキスト固有の認証を強制できます。通常、組織はサービスネットワークで「自分の組織 ID 内で認証されたリクエストのみを許可する」などの粒度の粗い認証ポリシーを適用し、サービスおよびリソースレベルでよりきめ細かいポリシーを適用します。
VPC Lattice は現在、米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、アフリカ (ケープタウン)、アジアパシフィック (ムンバイ)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (ソウル)、アジアパシフィック (東京)、カナダ (中部)、欧州 (アイルランド)、欧州 (フランクフルト)、欧州 (ロンドン)、欧州 (ミラノ)、欧州 (パリ)、欧州 (ストックホルム)、および南米 (サンパウロ) の 各 AWS リージョンでご利用いただけます。
Lattice は VPC の機能であり、個別の評価/呼び出しは必要ありません。対象範囲内のサービスの機能は「評価済み/対象」とみなされ、「コンプライアンスプログラムによる対象範囲内の AWS のサービス」にも記載されています。特に除外されていない限り、各サービスの一般に利用可能な機能は、保証プログラムの範囲内とみなされます。
Amazon VPC Lattice では、AZ 間のデータ転送の料金が別途かかることはありません。アベイラビリティーゾーン間のデータ転送は、VPC Lattice のサービス料金のデータ処理ディメンションによってカバーされます。
トラフィックフローと到達可能性を監視するには、サービス、リソース、およびサービスネットワークレベルでアクセスログを利用できます。環境の完全なオブザーバビリティを実現するために、サービスと VPC Lattice ターゲットグループのメトリクスを表示することもできます。サービスネットワーク、サービス、およびリソースレベルのログは、Amazon CloudWatch Logs、Amazon Simple Storage Service (S3)、または Amazon Data Firehose にエクスポートできます。さらに、VPC フローログや AWS X-Ray などの他の AWS のオブザーバビリティ機能を利用して、ネットワークフロー、サービスインタラクション、API コールを追跡できます。
VPC Lattice サービスが作成されると、AWS によって管理される Route 53 パブリックホストゾーンに完全修飾ドメイン名 (FQDN) が作成されます。これらの DNS 名は、サービスネットワークに関連付けられた VPC に関連付けられた独自のプライベートホストゾーンの CNAME エイリアスレコードで使用できます。カスタムドメイン名を指定して、カスタムサービス名を解決できます。カスタムドメイン名を指定する場合は、サービスの作成後に DNS ルーティングを設定する必要があります。これは、カスタムドメイン名の DNS クエリを VPC Lattice エンドポイントにマッピングするためです。Route 53 を DNS サービスとして使用している場合は、Amazon Route 53 のパブリックまたはプライベートホストゾーン内に CNAME エイリアスレコードを設定できます。HTTPS の場合は、カスタムドメイン名に一致する SSL/TLS 証明書も指定する必要があります。
はい。Amazon VPC Lattice は HTTPs をサポートしており、Amazon Certificate Manager (ACM) を通じて管理される各サービスの証明書も生成します。クライアント側の認証のために、Lattice は AWS SIGv4 を使用します。
はい。Amazon VPC Lattice は、可用性の高いリージョンレベルの分散型サービスです。VPC Lattice にサービスを登録する場合、ターゲットを複数のアベイラビリティーゾーンに分散させることがベストプラクティスです。VPC Lattice サービスは、設定されたルールと条件に基づいて、トラフィックが正常なターゲットにルーティングされるようにします。
Amazon VPC Lattice は、Kubernetes Gateway API の実装である AWS Gateway API Controller を通じて、Amazon Elastic Kubernets Service (EKS) およびセルフマネージド Kubernetes ワークロードとネイティブに統合します。 これにより、既存または新規のサービスの Lattice への登録、および HTTP ルートの Kubernetes リソースへの動的マッピングが容易になります。
Amazon VPC Lattice のサービス、リソース、リソース設定、およびサービスネットワークはリージョンレベルのコンポーネントです。マルチリージョン環境がある場合は、すべてのリージョンにサービス、リソース、リソース構成、およびサービスネットワークを配置できます。クロスリージョンおよびオンプレミスの通信パターンについては、現在、クロスリージョン VPC ピアリング、AWS Transit Gateway、AWS Direct Connect、または AWS Cloud WAN などの AWS グローバル接続サービスを利用できます。リージョン間の接続パターンの詳細については、このブログをご覧ください。
はい。Amazon VPC Lattice は IPv6 をサポートしており、VPC Lattice サービスと、VPC および アカウント全体のリソースで重複する IPv4 アドレス空間と IPv6 アドレス空間の間でネットワークアドレス変換を実行できます。Amazon VPC Lattice は、さまざまなコンピューティングタイプにわたってシンプルかつ一貫した態様で、IPv4 と IPv6 のサービスおよびリソースの両方を安全に接続し、通信フローをモニタリングするのに役立ちます。これにより、基盤となる IP アドレス指定にかかわらず、IP サービスとリソース間のネイティブな相互運用性が提供され、AWS におけるサービスおよびリソース全体での IPv6 の採用が促進されます。詳細については、このブログをご覧ください。
はい。Amazon EventBridge、AWS Lambda、AWS CloudTrail、AWS Resource Access Manager (AWS RAM) でタグを使用して、Amazon VPC Lattice リソースの関連付けの追加と削除、およびクロスアカウントリソース共有を自動化できます。これらの方法は、単一の AWS Organization 内で用いることも、複数の AWS アカウント全体で用いることもでき、ベンダー/クライアントアプリケーションなどの複数のユースケースをサポートします。詳細と実装例については、このブログをご覧ください。
サービスネットワークのディストリビューションの設計は、組織の構造と運用モデルに対応する必要があります。組織全体のドメイン固有のサービスネットワークを選択し、それに応じてアクセスポリシーを設定できます。あるいは、サービスネットワークに対してよりセグメント化したアプローチを採用し、それらのサービスネットワークを各ルーティングドメインや組織内の独立したビジネスユニット全体に関連付けることもできます。
はい。サービスとリソースには、VPC エンドポイント (AWS PrivateLink を使用) を使用してオンプレミスからアクセスできます。サービスとリソースをサービスネットワークに配置し、VPC エンドポイント (「サービスネットワーク」タイプ) を作成すると、それらのサービスおよびリソースとオンプレミス間の接続が可能になります。
VPC エンドポイントを使用して、複数のサービスネットワークを VPC に登録できます。それぞれが異なるサービスネットワークに接続する「サービスネットワーク」タイプの複数の VPC エンドポイントを作成できます。