アマゾン ウェブ サービス re:Invent 2022で、アマゾン ウェブ サービスは、一貫した通信方法でサービスを接続、保護、監視するAmazon Virtual Private Cloud (Amazon VPC)の新機能である Amazon VPC Lattice のプレビューを紹介しました。Amazon VPC Lattice を使用すると、ネットワーク アクセス、トラフィック管理、モニタリング ポリシーを定義して、インスタンス、コンテナ、サーバーレス アプリケーション間のコンピューティング サービスを接続できます。
4 月 10 日、Amazon Cloud Technology は、Amazon VPC Lattice が正式に開始されたことを発表しました。プレビュー版と比較して、次の新機能があります。
● Amazon VPC Lattice によって自動的に生成されるドメイン名に加えて、サービスはカスタム ドメイン名も使用できます。HTTPS を使用する場合、カスタム ドメイン名に一致する SSL/TLS 証明書を設定できます。
●ネイティブ Kubernetes エクスペリエンスを持つ Amazon VPC Lattice を使用して、オープンソースのAWS Gateway API コントローラーをデプロイできます。このツールは、Kubernetes Gateway APIを使用して、複数の Kubernetes クラスターにわたるサービスと、EC2 インスタンス、コンテナー、サーバーレス機能で実行されているサービスを接続します。
● Application Load Balancer (ALB)またはNetwork Load Balancer (NLB) をサービスのターゲットとして使用できます。
● IP アドレス ターゲット タイプが IPv6 接続をサポートするようになりました。
Amazon VPC Lattice を使用してサービス間の接続を実現する
Amazon VPC Lattice を使用して、e コマース アプリケーション サービスが相互に通信できるようにする方法。簡単にするために、次の 4 つのサービスのみを考慮します。
● サービスを注文し、Lambda 関数として実行します。
● インベントリ サービス。IPv6 をサポートするデュアルスタック Amazon VPCにAmazon Elastic Container Service (Amazon ECS)としてデプロイされます。
● 配信サービス。ECS サービスとしてデプロイされ、ALB を使用してトラフィックをサービス タスクに分散します。
● 支払いサービス。EC2 インスタンス上で実行されます。
まず、サービス ネットワークを作成します。Order サービスは、Inventory サービス (商品が購入可能かどうかを確認するため)、Fulfillment サービス (商品の配送を手配するため)、および Payment サービス (送金のため) を呼び出す必要があります。これらのサービスは、異なる Amazon クラウド テクノロジー アカウントおよび複数の Amazon VPC で実行されます。Amazon VPC Lattice は、Amazon VPC の境界を越えた接続やクロスアカウント権限の設定の複雑さを処理できるため、サービス間の通信は HTTP/HTTPS 呼び出しと同じくらい簡単です。
注文サービスは、Amazon VPC に接続された Lambda 関数で実行されます。図内のすべての Amazon VPC はサービス ネットワークに関連付けられているため、注文サービスは他のサービス (在庫、配送、支払い) を呼び出すことができます。これは、これらのサービスが異なる Amazon クラウド テクノロジー アカウントや、重複する IP アドレスを持つ Amazon VPC にデプロイされている場合でも同様です。こちらです。
ターゲットとしてネットワーク ロード バランサー (NLB) を使用する
インベントリ サービスは、デュアルスタック Amazon VPC で実行されます。これは、サービス内のタスクにトラフィックを分散するための NLB を備えた ECS サービスとしてデプロイされます。NLB の IPv6 アドレスを取得するには、EC2 コンソールで NLB によって使用されるネットワーク インターフェイスを探します。
インベントリ サービスのターゲット グループを作成する場合、[基本構成] で、ターゲット タイプとして [IP アドレス] を選択します。次に、IP アドレスの種類として IPv6 を選択します。
Application Load Balancer (ALB) をターゲットとして使用する
ALB をターゲットとして使用すると、操作がさらに簡単になります。Shipping サービスのターゲット グループを作成するときに、[基本構成] で新しい Application Load Balancer ターゲット タイプを選択します。ALB を検索する Amazon VPC を選択し、プロトコルのバージョンを選択します。
次のステップで、[今すぐサインアップ] を選択し、ドロップダウン リストから [ALB] を選択します。ターゲット グループが使用するデフォルトのポートを使用します。Amazon VPC Lattice は、ALB の追加のヘルスチェックを提供しません。ただし、ロード バランサーには独自のヘルス チェックがすでに構成されています。
サービスにカスタム ドメイン名を使用する
これらのサービスを呼び出すには、カスタム ドメイン名を使用します。たとえば、Amazon VPC コンソールで支払いサービスを作成する場合、[カスタム ドメイン設定を指定する] を選択し、カスタム ドメイン名を入力して、HTTPS リスナーの SSL/TLS 証明書を選択します。[カスタム SSL/TLS 証明書] ドロップダウンには、AWS Certificate Manager (ACM)から利用可能な証明書が表示されます。
サービス間通信の保護
ターゲット グループが作成されたので、サービス間の通信を保護する方法を見てみましょう。ゼロトラストの認証と認可には、AWS Identity and Access Management (IAM)を使用します。サービスを作成するときに、認証タイプとして AWS IAM を選択します。
[認証されたアクセスのみを許可する] ポリシー テンプレートを選択すると、サービス リクエストは、AWS API で使用されるのと同じ署名プロトコルである署名バージョン 4 を使用して署名される必要があります。このようにして、サービス間のリクエストは IAM 資格情報によって認証され、通信を保護するためにキーを管理する必要はありません。
より正確には、特定のサービスまたはサービス固有の URL パスへのアクセスのみを提供する認証ポリシーです。たとえば、次の認証ポリシーを注文サービスに適用して、Lambda 関数にこれらのアクセス許可を提供できます。
● インベントリ サービス/ストック URL パスへの読み取り専用アクセス (GET メソッド)。
● 配信サービス/配信 URL パスへの完全なアクセス (任意の HTTP メソッド)。
Amazon VPC Lattice を使用して、セキュリティやモニタリングなどの電子商取引アプリケーション サービス間の通信を迅速に設定します。サービス間の通信方法を管理する代わりに、ビジネス ロジックに集中できるようになりました。
Amazon VPC Lattice は、次の Amazon Cloud Technology リージョンで利用できるようになりました: 米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (オレゴン)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京) )およびヨーロッパ(アイルランド)。
Amazon Cloud Technologies は、時間の経過とともにチームを段階的に追加できるように Amazon VPC Lattice を設計しました。組織内の各チームは、Amazon VPC Lattice を使用するかどうか、いつ使用するかを選択できます。他のアプリケーションは、HTTP や HTTPS などの標準プロトコルを使用して Amazon VPC Lattice サービスに接続できます。Amazon VPC Lattice を使用すると、アプリケーションロジックに集中でき、インスタンス、コンテナ、サーバーレスコンピューティングの一貫したサポートにより生産性とデプロイメントの柔軟性が向上します。