الأسئلة الشائعة حول Amazon VPC Lattice

Amazon VPC Lattice هي خدمة شبكات تطبيقات تمنحك طريقة ثابتة للاتصال وتأمين ومراقبة الاتصالات من خدمة إلى خدمة ومن خدمة إلى مورد دون أي خبرة سابقة في مجال الشبكات. باستخدام VPC Lattice، يمكنك تكوين الوصول إلى الشبكة وإدارة حركة المرور ومراقبة الشبكة لتمكين الاتصالات من خدمة إلى خدمة ومن خدمة إلى مورد بشكل ثابت عبر سحابات VPC والحسابات، بغض النظر عن نوع الحساب الأساسي.

تساهم VPC Lattice في معالجة حالات الاستخدام التالية:

ربط الخدمات أو الموارد على نطاق واسع – ربط آلاف الخدمات أو الموارد عبر عدة حسابات خاصة افتراضية (VPC) وحسابات من دون زيادة تعقيد الشبكة.

تطبيق أذونات الوصول الدقيقة - حسِّن أمان الخدمة إلى الخدمة والخدمة إلى المورد ودعم بنيات Zero Trust من خلال عناصر التحكم في الوصول المركزية والمصادقة والتخويل الخاص بالسياق.

تنفيذ عناصر تحكم متقدمة في حركة المرور - تطبيق عناصر التحكم الدقيقة في حركة المرور، مثل التوجيه على مستوى الطلب والأهداف الموزونة لعمليات blue/green deployment وعمليات نشر الكناري.

راقب التفاعلات بين الخدمة والخدمة إلى المورد - راقب واستكشف أخطاء الاتصال من خدمة إلى خدمة ومن خدمة إلى مورد وإصلاحها لمعرفة نوع الطلب وحجم حركة المرور والأخطاء ووقت الاستجابة والمزيد.

تساعد VPC Lattice على سد الفجوة بين المطورين ومسؤولي السحابة من خلال توفير ميزات وإمكانيات خاصة بالأدوار. يجذب VPC Lattice المطورين الذين لا يريدون التعلم وتنفيذ مهام البنية الأساسية والشبكات المعتادة المطلوبة لتشغيل التطبيقات الحديثة بسرعة. يجب أن يكون المطورون قادرين على التركيز على تطوير التطبيقات وليس الشبكات. ستجذب VPC Lattice أيضًا مسؤولي السحابة والشبكات الذين يتطلعون إلى زيادة الوضع الأمني لمؤسستهم من خلال تمكين المصادقة والتفويض والتشفير بطريقة متسقة في مُختلف بيئات الحوسبة المختلطة (المثيلات والحاويات وبلا خادم) وفي عدة سحابات VPC وحسابات.

يمكنك استخدام VPC Lattice لإنشاء شبكات تطبيقات منطقية، تسمى شبكات الخدمة، والتي تتيح الاتصال من خدمة إلى خدمة ومن خدمة إلى مورد عبر السحابات الافتراضية الخاصة (VPC) وحدود الحسابات، مما يؤدي إلى تجريد تعقيد الشبكة. يوفر الاتصال عبر بروتوكولات HTTP/HTTPS وgRPC وTCP من خلال مستوى بيانات مخصص داخل VPC Lattice. يتم عرض مستوى البيانات هذا من خلال كل من نقاط النهاية المحلية للارتباط التي لا يمكن الوصول إليها إلا من داخل VPC، ونقاط نهاية VPC من نوع شبكة الخدمة التي يمكن الوصول إليها من داخل VPC وأيضًا من خارج VPC.

يمكن للمسؤولين استخدام AWS Resource Access Manager (AWS RAM) للتحكم في الحسابات وسحابات VPC التي يمكنها إقامة اتصال من خلال شبكة الخدمة. عندما يرتبط VPC بشبكة خدمة، يمكن للعملاء داخل VPC اكتشاف مجموعة الخدمات والموارد في شبكة الخدمة والاتصال بها تلقائيًا. يمكن لمالكي الخدمة استخدام تكاملات الحوسبة VPC Lattice لإضافة خدماتهم من سحابة الحوسبة المرنة لـ Amazon (‏Amazon EC2)، وخدمة خدمة Kubernetes المرنة بـ Amazon (‏Amazon EKS)، وAmazon Elastic Container Service‏ (Amazon ECS)، وAWS Fargate، وAWS Lambda، واختيار الانضمام إلى شبكة خدمة واحدة أو أكثر. يمكن لمالكي الخدمة أيضًا تكوين قواعد إدارة حركة الارتياد المتقدمة لتحديد كيفية معالجة الطلب لدعم الأنماط الشائعة، مثل عمليات النشر الزرقاء/الخضراء والكناري. يمكن لمالكي الموارد مشاركة الموارد مثل قواعد بيانات RDS بين الحسابات وإضافة هذه الموارد إلى شبكات الخدمة. بالإضافة إلى إدارة حركة الارتياد، يمكن لمالكي الخدمة أو المورد والمسؤولين تنفيذ ضوابط وصول إضافية عن طريق فرض المصادقة والترخيص من خلال سياسة مصادقة VPC Lattice. يمكن للمسؤولين فرض حواجز الحماية على مستوى شبكة الخدمة وتطبيق ضوابط وصول دقيقة على الخدمات أو الموارد الفردية. صُممت VPC Lattice لتكون غير اجتياحية وللعمل مع أنماط البنية الحالية، ما يسمح لفرق التطوير في مؤسستك بإعداد خدماتهم أو مواردهم تدريجيًا بمرور الوقت.

تقدم VPC Lattice ستة مكونات رئيسية:

الخدمة – وحدة برمجية قابلة للنشر بشكل مستقل تقدم مهمة أو وظيفة محددة. يمكن أن تبقى الخدمة في أي سحابة VPC أو حساب، ويمكن تشغيلها على مثيلات أو حاويات أو حوسبة بلا خادم. تتكون الخدمة من مستمعين وقواعد ومجموعات أهداف، على غرار AWS Application Load Balancer.

دليل الخدمة - سجل مركزي لجميع الخدمات المسجلة في VPC Lattice التي أنشأتها أو شاركتها مع حسابك من خلال AWS RAM.

تكوين المورد - يمثل تكوين المورد موردًا يستند إلى TCP موجود في VPC أو في مكان العمل، مثل قاعدة بيانات RDS أو هدف اسم المجال أو عنوان IP. يمكن مشاركة تكوين المورد بين الحسابات. عند مشاركة تكوين المورد مع حساب آخر، يمكن لهذا الحساب الوصول إلى المورد بشكل خاص.

بوابة الموارد -بوابة الموارد هي نقطة دخول في VPC لحركة المرور الموجهة إلى موارد TCP المشتركة في تكوين المورد.

شبكة الخدمة - آلية مجموعة تدفقات السجل لتبسيط كيفية تمكين المستخدمين للاتصال وتطبيق سياسات مشتركة على مجموعة من الخدمات أو الموارد. يمكن مشاركة شبكات الخدمة في حسابات متعددة باستخدام AWS RAM وربطها بسحابات VPC لتمكين الاتصال بمجموعة من الخدمات أو الموارد.

سياسة المصادقة - سياسة المصادقة هي سياسة موارد إدارة الهوية والوصول في AWS Identity and Access Management (IAM) التي يمكن ربطها بشبكة خدمة وخدمات أو موارد فردية لتحديد ضوابط الوصول. تستخدم سياسة المصادقة IAM، ويمكنك تحديد أسئلة نمطية ثرية تحتوي على الكيان والإجراء والمورد والشرط (PARC) لفرض المصادقة الخاصة بالسياق على خدمات VPC Lattice. عادةً ما تطبق المؤسسات سياسات المصادقة العامة في شبكة الخدمة، مثل "غير مسموح سوى بالطلبات المصادق عليها في نطاق معرِّف مؤسستي"، وسياسات أكثر دقة على مستوى الخدمة أو المورد.

تتوفر VPC Lattice حاليًا في مناطق AWS التالية: شرق الولايات المتحدة (أوهايو)، وشرق الولايات المتحدة (شمال فيرجينيا)، وغرب الولايات المتحدة (أوريجون)، وغرب الولايات المتحدة (شمال كاليفورنيا)، وأفريقيا (كيب تاون)، وآسيا والمحيط الهادئ (مومباي)، وآسيا والمحيط الهادئ (سنغافورة)، وآسيا والمحيط الهادئ (سيدني)، وآسيا والمحيط الهادئ (سيول)، وآسيا والمحيط الهادئ (طوكيو)، وكندا (الوسطى)، وأوروبا (أيرلندا)، وأوروبا (فرانكفورت)، وأوروبا (لندن)، وأوروبا (لندن)، وأوروبا (ميلان) وأوروبا (باريس) وأوروبا (ستوكهولم) وأمريكا الجنوبية (ساو باولو).

تعد Lattice إحدى ميزات VPC ولا تتطلب تقييمًا/استدعاءً منفصلًا. تعتبر ميزات الخدمات ضمن النطاق «مُقيَّمة/مغطاة» كما تم ذكرها أيضًا في خدمات AWS في النطاق من خلال برنامج الامتثال. ما لم يتم استبعادها على وجه التحديد، يتم النظر في الميزات المتاحة بشكل عام لكل خدمة في نطاق برامج الضمان.

لا توجد رسوم إضافية لنقل البيانات عبر منطقة التوافر لـ Amazon VPC Lattice. تتم تغطية نقل البيانات عبر مناطق التوافر من خلال بُعد معالجة البيانات الخاص بتسعير خدمة VPC Lattice.

لمراقبة تدفقات حركة المرور وإمكانية الوصول، يمكنك الاستفادة من سجلات الوصول (Access Logs) على مستويات الخدمة والموارد وشبكة الخدمة. للحصول على إمكانية المراقبة الكاملة لبيئتك، يمكنك أيضًا عرض المقاييس للمجموعات المستهدفة للخدمات وVPC Lattice. يمكن تصدير سجلات مستوى شبكة الخدمة والموارد إلى سجلات Amazon CloudWatch أو خدمة Amazon Simple Storage Service‏ (S3) أو Amazon Data Firehose. بالإضافة إلى ذلك، يمكن استخدام ميزات الملاحظة الأخرى من AWS، مثل سجلات VPC Flow Logs وAWS X-Ray لتتبع تدفقات الشبكة وتفاعلات الخدمة واستدعاءات API.

عند إنشاء خدمة VPC Lattice، يتم إنشاء اسم نطاق مؤهل بالكامل (FQDN) في منطقة المسار Route 53 المستضافة العامة التي تديرها AWS. يمكنك استخدام أسماء DNS هذه في سجلات CNAME Alias في المنطقة (المناطق) المستضافة الخاصة بك، المرتبطة بالسحابة (السحابات) الخاصة الافتراضية (VPC) المرتبطة بشبكة الخدمة. يمكنك تحديد اسم مجال مخصص لحل أسماء الخدمات المخصصة. إذا قمت بتحديد اسم مجال مخصص، يجب تكوين توجيه DNS بعد إنشاء الخدمة. هذا لتعيين استعلامات DNS لاسم المجال المخصص إلى نقطة نهاية VPC Lattice. إذا كنت تستخدم Route 53 كخدمة DNS الخاصة بك، يمكنك تكوين سجل CNAME Alias داخل مناطق Amazon Route 53 المستضافة العامة أو الخاصة. بالنسبة إلى HTTPS، يجب أيضًا تحديد شهادة SSL/TLS التي تطابق اسم المجال المخصص.

نعم، Amazon VPC Lattice تدعم HTTPS وتقوم أيضًا بإنشاء شهادة لكل خدمة، تتم إدارتها من خلال Amazon Certificate Manager‏ (ACM). بالنسبة للمصادقة من جانب العميل، تستخدم Lattice AWS SIGv4.

نعم، تعد Amazon VPC Lattice خدمة إقليمية عالية التوافر وموزعة. عندما تقوم بتسجيل خدمة في VPC Lattice، فمن الأفضل أن تنتشر الأهداف عبر مناطق توافر الخدمات المتعددة. ستضمن خدمة VPC Lattice توجيه حركة المرور إلى أهداف سليمة، استنادًا إلى القواعد والشروط التي تم تكوينها.

تتكامل Amazon VPC Lattice بشكل أصلي مع خدمة Kubernetes المرنة من Amazon‏ (EKS) وأحمال عمل Kubernetes المُدارة ذاتيًا من خلال AWS Gateway API Controller التي تعد تطبيقًا لواجهة Kubernetes Gateway API. هذا يسهل تسجيل الخدمات الحالية أو الجديدة إلى Lattice، والتخطيط الديناميكي لمسارات HTTP إلى موارد Kubernetes.

تُعد خدمات Amazon VPC Lattice والموارد وتكوينات الموارد وشبكات الخدمة مكونات إقليمية. إذا كانت لديك بيئة متعددة المناطق، فيمكنك الحصول على الخدمات والموارد وتكوينات الموارد وشبكات الخدمة في كل منطقة. بالنسبة لأنماط الاتصال المحلية وعبر المناطق، يمكنك حاليًا الاعتماد على خدمات الاتصال العالمية لـ AWS مثل VPC Peering عبر المناطق أو AWS Transit Gateway أو AWS Direct Connect أو AWS Cloud WAN. يرجى الاطلاع على هذه المدونة التي توضح أنماط الاتصال عبر المناطق.

نعم، تدعم Amazon VPC Lattice IPv6 ويمكنها إجراء ترجمة عنوان الشبكة بين مساحة عناوين IPv4 وIPv6 المتداخلة لخدمات وموارد VPC Lattice عبر VPC والحسابات. تساعدك Amazon VPC Lattice في توصيل خدمات IPv4 وIPv6 أو الموارد بأمان، ومراقبة تدفقات الاتصالات بطريقة بسيطة ومتسقة عبر أنواع الحوسبة المختلفة. وهو يوفر قابلية التشغيل البيني الأصلي بين خدمات IP أو الموارد بغض النظر عن عنوان IP الأساسي، والذي يمكن أن يساعد في تسهيل اعتماد IPv6 عبر الخدمات أو الموارد على AWS. يرجى مراجعة هذه المدونة لمزيد من التفاصيل.

نعم، يمكن استخدام العلامات لأتمتة إضافة وإزالة ارتباطات موارد Amazon VPC Lattice ومشاركات الموارد عبر الحسابات باستخدام Amazon EventBridge وAWS Lambda وAWS CloudTrail وAWS Resource Access Manager (AWS RAM). يمكن استخدام هذه الطرق داخل AWS Organization واحدة أو عبر حسابات AWS متعددة، مما يدعم حالات الاستخدام المتعددة مثل تطبيقات المورد/العميل. يرجى الاطلاع على هذه المدونة لمزيد من التفاصيل وأمثلة التنفيذ.

يجب أن يتناسب تصميم توزيع شبكة الخدمة مع هيكل مؤسستك ونموذجك التشغيلي. يمكنك اختيار امتلاك شبكة خدمة خاصة بالمجال على مستوى المؤسسة، وتكوين سياسات الوصول وفقًا لذلك. أو يمكنك اتباع نهج أكثر تجزئًا لشبكات الخدمة، وربطها بكل مجال من مجالات التوجيه وعبر وحدات الأعمال المستقلة في مؤسستك.

نعم، يمكن الوصول إلى الخدمات والموارد من مكان العمل باستخدام نقاط نهاية VPC (بدعم من AWS PrivateLink). يمكنك وضع خدماتك ومواردك في شبكة خدمة وإنشاء نقطة نهاية VPC (اكتب «شبكة الخدمة») لتمكين الاتصال بين هذه الخدمات والموارد من البيئة المحلية.

يمكنك تسجيل شبكات خدمة متعددة إلى VPC باستخدام نقاط نهاية VPC. يمكنك إنشاء نقاط نهاية VPC متعددة من النوع «شبكة خدمة» تتصل كل منها بشبكة خدمة مختلفة.