Redes

Redes de servicios con Amazon VPC Lattice - Simplificación de la comunicación entre microservicios

Simplifica la comunicación entre microservicios cross-VPC y cross-cuenta con redes de servicios L7 sin necesidad de proxy Envoy. Presentamos la autenticación IAM y la diferenciación con App Mesh.

約 4 分で読めます

Configuración de la red de servicios

VPC Lattice proporciona redes de servicios a nivel de aplicación (L7) y simplifica la comunicación entre servicios que abarcan múltiples VPCs y cuentas. Una red de servicios es un límite lógico que agrupa servicios relacionados. Al asociar una VPC a una red de servicios, los recursos dentro de esa VPC pueden acceder a todos los servicios de la red. Cada servicio recibe un nombre DNS generado automáticamente, permitiendo la comunicación cross-VPC sin configurar VPC peering ni Transit Gateway. Con RAM (Resource Access Manager) se pueden compartir redes de servicios y servicios con otras cuentas.

Enrutamiento y autenticación

A los servicios se les configura un listener (HTTP o HTTPS) y se definen reglas de listener para el enrutamiento basado en la ruta, encabezados y método de la solicitud. En los grupos de destino se pueden registrar instancias EC2, direcciones IP, tareas ECS, funciones Lambda y ALB, tratando diferentes tipos de cómputo de forma unificada. El enrutamiento ponderado divide el tráfico entre múltiples grupos de destino para implementar canary releases y despliegues Blue/Green. Las políticas de autenticación IAM se aplican a la red de servicios o al servicio, controlando el acceso basado en el rol IAM del llamante. Las solicitudes se autentican con firma SigV4, permitiendo la comunicación solo a los servicios autorizados por la política.

Diferenciación con App Mesh

Tanto VPC Lattice como App Mesh gestionan la comunicación entre servicios, pero difieren en la capa objetivo y el modelo operativo. VPC Lattice proporciona redes de servicios L7 gestionadas por AWS, sin necesidad de desplegar ni gestionar proxies Envoy. App Mesh es un service mesh basado en Envoy que permite un control detallado de circuit breakers y políticas de reintento, pero conlleva la carga operativa de los proxies sidecar. VPC Lattice destaca en la comunicación entre servicios cross-VPC y cross-cuenta, siendo adecuado para entornos donde los microservicios están distribuidos en múltiples VPCs y cuentas. App Mesh es adecuado para el control granular del tráfico dentro de una sola VPC (canary deploy, traffic shifting). También es posible combinar ambos, usando Lattice para la comunicación entre VPCs y App Mesh para la comunicación dentro de la VPC. Para aprender sistemáticamente desde los fundamentos hasta la aplicación de service mesh, puede consultar libros (Amazon).

Precios de VPC Lattice

Los precios de VPC Lattice se componen de tres elementos: cargo por hora del servicio, número de solicitudes y volumen de datos procesados. Un servicio cuesta aproximadamente 0,025 USD/hora, las solicitudes cuestan aproximadamente 0,10 USD por millón, y el procesamiento de datos cuesta aproximadamente 0,025 USD por GB. Comparado con ALB, el costo por solicitud es menor, pero en entornos con muchos servicios, el cargo por hora se acumula. La asociación de VPC a la red de servicios es gratuita, y no se generan cargos de red adicionales aunque múltiples VPCs accedan al servicio. Se recomienda exportar los logs de acceso a S3 para analizar patrones de tráfico y optimizar costos considerando la consolidación de servicios con baja frecuencia de uso.

Resumen

VPC Lattice simplifica la configuración de red para la comunicación entre microservicios y realiza el control de acceso entre servicios mediante autenticación basada en IAM. Proporciona comunicación cross-VPC y cross-cuenta a través de redes de servicios sin proxy Envoy, reduciendo significativamente la carga operativa en comparación con App Mesh. Realiza control de tráfico basado en rutas y encabezados con reglas de enrutamiento L7, y analiza patrones de tráfico con logs de acceso.

Servicios relacionados

Amazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursosAmazon ECSUn servicio de orquestación de contenedores para ejecutar y gestionar fácilmente aplicaciones en contenedoresAWS LambdaServicio de computación serverless que ejecuta código sin gestión de servidores

Artículos relacionados

Acceso de red Zero Trust - Acceso seguro sin VPN con AWS Verified AccessExplicamos el acceso Zero Trust sin VPN usando AWS Verified Access. Integración con proveedores de identidad, confianza de dispositivos, control de acceso basado en políticas y comparación con VPN tradicional.Conectividad privada con AWS PrivateLink - VPC Endpoints y Endpoint ServicesAccede a servicios AWS y servicios de terceros de forma privada sin pasar por internet. Presentamos el diseño de Interface Endpoints y Gateway Endpoints.Orquestación de contenedores - Optimización de operaciones Kubernetes con Amazon EKSExplicamos la operación gestionada de Kubernetes utilizando Amazon EKS.

Más sobre este tema

Construcción de service mesh con AWS App Mesh - Control de comunicación entre microservicios y observabilidadPresentamos cómo configurar de forma declarativa despliegues canary con sidecar Envoy, políticas de reintento y cifrado mTLS, y cómo visualizar las dependencias entre servicios con la integración de X-Ray.Descubrimiento de servicios con AWS Cloud Map - Resolución dinámica de nombres para microserviciosDescubra dinámicamente endpoints de microservicios usando enfoques basados en DNS y API. Aprenda cómo automatizar el registro y desregistro de servicios mediante integración con ECS y EKS.Cómo funcionan los más de 600 PoPs de CloudFront - Enrutamiento Anycast y la jerarquía de cachéAprenda cómo CloudFront enruta las solicitudes de los usuarios al PoP más cercano usando Anycast, la estructura de dos niveles de edge locations y cachés de borde regionales, y los factores de diseño que determinan las tasas de acierto de caché.Diseño de conexión dedicada - Conexión de red privada estable con Direct ConnectExplicamos las técnicas de diseño de conexión dedicada con AWS Direct Connect, presentando la selección entre conexión dedicada y conexión hospedada, la configuración redundante y la integración con VPC para lograr una conexión de red privada estable.Conexión dedicada con AWS Direct Connect - Configuración redundante y control de tráficoDiseñe configuraciones redundantes de conexión dedicada y conéctese a VPCs de múltiples regiones con Direct Connect Gateway. También presentamos la agregación de ancho de banda con LAG y el cifrado MACsec.Gestión y diseño de Elastic IP - Uso de IP estáticas y optimización de costosExplicamos la asignación de Elastic IP, la asociación con EC2, el impacto en costos de EIP no utilizadas y la consideración de alternativas.Por qué ELB tiene 3 tipos - La lógica de diseño detrás de la separación de ALB, NLB y CLBExplicamos por qué los 3 tipos de balanceadores de carga ALB, NLB y CLB (Classic) coexisten sin unificarse, desde la perspectiva de las capas del modelo OSI, las características de rendimiento y la evolución histórica.Optimización de red global con AWS Global Accelerator - Entrega de baja latencia y failoverAprende a enrutar tráfico hacia la red global de AWS usando IPs Anycast, diseñar grupos de endpoints y lograr failover mediante health checks.

Artículos y servicios similares

Amazon VPC LatticeServicio de red de aplicaciones que proporciona gestión unificada de comunicación servicio-a-servicio entre VPCs y cuentas, con autenticación, autorización y control de tráfico integradosConstrucción de service mesh con AWS App Mesh - Control de comunicación entre microservicios y observabilidadPresentamos cómo configurar de forma declarativa despliegues canary con sidecar Envoy, políticas de reintento y cifrado mTLS, y cómo visualizar las dependencias entre servicios con la integración de X-Ray.Amazon VPC LatticeServicio de red de aplicaciones que simplifica la conectividad, seguridad y monitorización entre serviciosAWS App MeshUna malla de servicios que controla y monitorea la comunicación entre microserviciosAWS App MeshService mesh basado en el proxy Envoy que visualiza y controla la comunicación entre microservicios, aplicando gestión de tráfico y políticas de reintentos de forma centralizada