Redes

Construcción de service mesh con AWS App Mesh - Control de comunicación entre microservicios y observabilidad

Presentamos cómo configurar de forma declarativa despliegues canary con sidecar Envoy, políticas de reintento y cifrado mTLS, y cómo visualizar las dependencias entre servicios con la integración de X-Ray.

約 7 分で読めます

Descripcion general de App Mesh y discontinuacion del servicio

App Mesh es un service mesh que controla y monitorea la comunicacion entre microservicios. Coloca proxies Envoy como sidecar en cada servicio y enruta el trafico entre servicios a traves del proxy. Sin modificar el codigo de la aplicacion, se pueden configurar pesos de trafico, reintentos, timeouts y circuit breakers. Sin embargo, AWS anuncio en septiembre de 2024 que App Mesh ya no acepta nuevos clientes y recomienda a los usuarios existentes planificar la migracion antes del fin del servicio. Para proyectos nuevos, no adopte App Mesh; en su lugar elija ECS Service Connect o Amazon VPC Lattice. Los usuarios existentes deben desarrollar un plan de migracion antes de la fecha de fin del servicio.

Control de trafico y observabilidad

Con el enrutador virtual se configuran pesos de trafico, permitiendo controles como enviar el 10% del trafico a una nueva version en un despliegue canary. Cambiando los pesos gradualmente (10% -> 25% -> 50% -> 100%), se puede migrar el trafico de forma segura. Las politicas de reintento se definen de forma declarativa, configurando hasta 3 reintentos con backoff exponencial ante errores HTTP 503. El circuit breaker se implementa mediante deteccion de valores atipicos, excluyendo temporalmente del enrutamiento los endpoints cuya tasa de error supera el umbral. Con la integracion de X-Ray, el proxy Envoy envia automaticamente datos de rastreo, permitiendo visualizar las cadenas de llamadas entre servicios, la latencia y las tasas de error. Con las metricas de CloudWatch se puede monitorear el numero de solicitudes, la latencia y la tasa de error por servicio.

mTLS y control de acceso

App Mesh puede cifrar la comunicacion entre proxies Envoy con mTLS. Al configurar certificados emitidos por ACM Private CA en los nodos virtuales, se realiza autenticacion mutua en el handshake entre proxies, previniendo la suplantacion de identidad. Mediante SDS (Secret Discovery Service), la rotacion de certificados tambien se automatiza. En el control de acceso, se definen explicitamente los servicios permitidos como backend de los nodos virtuales, bloqueando comunicaciones no intencionadas entre servicios. Los registros de acceso de Envoy se envian a CloudWatch Logs, permitiendo auditar que servicio accedio a que endpoint. Para comprender en profundidad el diseno de redes de App Mesh, los libros especializados (Amazon) son utiles.

Estructura de precios y optimizacion de App Mesh

App Mesh en si no genera cargos adicionales. El costo depende de los recursos de computo (CPU y memoria) consumidos por el proxy Envoy. Como funciona como sidecar de tareas ECS o Pods EKS, es importante dimensionar adecuadamente los recursos asignados al proxy en la definicion de tarea. La referencia es 256 MB de memoria y 0.25 vCPU por proxy, pero los servicios con alto volumen de trafico pueden requerir mas. Si se habilita el rastreo con X-Ray, se generan costos de almacenamiento de datos de rastreo, por lo que se ajusta la tasa de muestreo para equilibrar costos y observabilidad.

Destinos de migracion - ECS Service Connect y VPC Lattice

AWS recomienda dos destinos de migracion desde App Mesh: ECS Service Connect y Amazon VPC Lattice. ECS Service Connect se especializa en comunicacion entre servicios dentro de ECS y, como App Mesh, esta basado en Envoy pero con configuracion del plano de control significativamente simplificada. No se necesitan definiciones de nodos virtuales ni enrutadores virtuales; simplemente agregar serviceConnectConfiguration a la definicion del servicio ECS habilita descubrimiento de servicios, balanceo de carga y reintentos. VPC Lattice proporciona comunicacion entre servicios a traves de limites de VPC, enrutando entre diferentes tipos de computo incluyendo ECS, EKS, Lambda y EC2. No requiere proxies sidecar como Envoy; unirse a una red de servicios VPC Lattice establece la conectividad, reduciendo dramaticamente la carga operativa. Como criterio de seleccion, use Service Connect para comunicacion confinada dentro de ECS, y VPC Lattice para escenarios multi-VPC o multi-cuenta con tipos de computo heterogeneos.

Decisiones de diseno y consideraciones en la migracion

La decision de diseno principal al migrar desde App Mesh es como replicar los despliegues canary existentes (pesos de trafico). ECS Service Connect no soporta directamente enrutamiento ponderado entre servicios, asi que use despliegues Blue/Green de CodeDeploy (nativo de ECS) como alternativa. VPC Lattice soporta target groups ponderados para division de trafico, proporcionando control similar a los enrutadores virtuales de App Mesh. Para mTLS, ECS Service Connect habilita TLS automaticamente pero tiene limitaciones para especificar CAs personalizadas para autenticacion mutua (mTLS). VPC Lattice proporciona nativamente autorizacion entre servicios a traves de politicas de autenticacion IAM, logrando control de comunicacion zero-trust mediante un enfoque diferente al mTLS. La migracion debe realizarse incrementalmente. La estrategia segura es construir primero los nuevos servicios en el destino de migracion, mantener compatibilidad de comunicacion entre los servicios existentes y los servicios de App Mesh, y cambiar secuencialmente. Evite migrar todos los servicios simultaneamente ya que conlleva alto riesgo.

Resumen

App Mesh es un service mesh que controla y monitorea la comunicacion entre microservicios con proxies Envoy. Configura de forma declarativa despliegues canary con pesos de trafico, politicas de reintento y circuit breakers, y cifra las comunicaciones con mTLS. Sin embargo, dado que AWS ha dejado de aceptar nuevos clientes y planea finalizar el servicio, los proyectos nuevos deben elegir ECS Service Connect (para comunicacion intra-ECS) o Amazon VPC Lattice (para comunicacion cross-VPC/cross-account), y los usuarios existentes deben desarrollar planes de migracion tempranamente.

Servicios relacionados

AWS App MeshUna malla de servicios que controla y monitorea la comunicación entre microserviciosAmazon ECSUn servicio de orquestación de contenedores para ejecutar y gestionar fácilmente aplicaciones en contenedoresAmazon EKSUn servicio administrado para construir y operar fácilmente clústeres de Kubernetes en AWS

Artículos relacionados

Operación de contenedores serverless con AWS Fargate - Patrones de uso con ECS y EKSContenedores serverless sin gestión de instancias, con diferenciación de uso entre ECS y EKS y optimización de costos mediante dimensionamiento de tareas.Descubrimiento de servicios - Automatización de la conectividad de microservicios con AWS Cloud MapExplicamos cómo construir el descubrimiento de servicios con AWS Cloud Map. Cubrimos el registro basado en DNS y API, la integración con ECS y los health checks.SO optimizado para contenedores - Fortalecimiento de la seguridad y operaciones del host de contenedores con BottlerocketAprenda a optimizar hosts de contenedores con AWS Bottlerocket. Cubre el diseño mínimo del SO, actualizaciones automáticas, infraestructura inmutable e integración con ECS/EKS.

Más sobre este tema

Descubrimiento de servicios con AWS Cloud Map - Resolución dinámica de nombres para microserviciosDescubra dinámicamente endpoints de microservicios usando enfoques basados en DNS y API. Aprenda cómo automatizar el registro y desregistro de servicios mediante integración con ECS y EKS.Cómo funcionan los más de 600 PoPs de CloudFront - Enrutamiento Anycast y la jerarquía de cachéAprenda cómo CloudFront enruta las solicitudes de los usuarios al PoP más cercano usando Anycast, la estructura de dos niveles de edge locations y cachés de borde regionales, y los factores de diseño que determinan las tasas de acierto de caché.Diseño de conexión dedicada - Conexión de red privada estable con Direct ConnectExplicamos las técnicas de diseño de conexión dedicada con AWS Direct Connect, presentando la selección entre conexión dedicada y conexión hospedada, la configuración redundante y la integración con VPC para lograr una conexión de red privada estable.Conexión dedicada con AWS Direct Connect - Configuración redundante y control de tráficoDiseñe configuraciones redundantes de conexión dedicada y conéctese a VPCs de múltiples regiones con Direct Connect Gateway. También presentamos la agregación de ancho de banda con LAG y el cifrado MACsec.Gestión y diseño de Elastic IP - Uso de IP estáticas y optimización de costosExplicamos la asignación de Elastic IP, la asociación con EC2, el impacto en costos de EIP no utilizadas y la consideración de alternativas.Por qué ELB tiene 3 tipos - La lógica de diseño detrás de la separación de ALB, NLB y CLBExplicamos por qué los 3 tipos de balanceadores de carga ALB, NLB y CLB (Classic) coexisten sin unificarse, desde la perspectiva de las capas del modelo OSI, las características de rendimiento y la evolución histórica.Optimización de red global con AWS Global Accelerator - Entrega de baja latencia y failoverAprende a enrutar tráfico hacia la red global de AWS usando IPs Anycast, diseñar grupos de endpoints y lograr failover mediante health checks.Aceleración de red global - Entrega de baja latencia con AWS Global Accelerator y CloudFrontEnruta el tráfico hacia la red global de AWS tempranamente usando IPs Anycast para dirigir a los clientes a la ubicación de borde más cercana. Esta guía cubre la integración con ALB/NLB y el diseño de failover.

Artículos y servicios similares

AWS App MeshService mesh basado en el proxy Envoy que visualiza y controla la comunicación entre microservicios, aplicando gestión de tráfico y políticas de reintentos de forma centralizadaRedes de servicios con Amazon VPC Lattice - Simplificación de la comunicación entre microserviciosSimplifica la comunicación entre microservicios cross-VPC y cross-cuenta con redes de servicios L7 sin necesidad de proxy Envoy. Presentamos la autenticación IAM y la diferenciación con App Mesh.Amazon VPC LatticeServicio de red de aplicaciones que simplifica la conectividad, seguridad y monitorización entre serviciosAmazon VPC LatticeServicio de red de aplicaciones que proporciona gestión unificada de comunicación servicio-a-servicio entre VPCs y cuentas, con autenticación, autorización y control de tráfico integrados