Amazon VPC Lattice
Servicio de red de aplicaciones que proporciona gestión unificada de comunicación servicio-a-servicio entre VPCs y cuentas, con autenticación, autorización y control de tráfico integrados
Descripción general
Amazon VPC Lattice es un servicio de red de aplicaciones que simplifica la comunicación servicio-a-servicio entre VPCs y cuentas. Proporciona una forma consistente de conectar, asegurar y monitorear la comunicación entre servicios independientemente de su tipo de cómputo (EC2, ECS, EKS, Lambda) o ubicación de cuenta. La autenticación integrada mediante IAM, políticas de autorización y capacidades de gestión de tráfico eliminan la necesidad de infraestructura de service mesh personalizada.
Redes de servicio y diseño de servicios
VPC Lattice organiza la conectividad a través de dos conceptos clave: redes de servicio y servicios. Una red de servicio es un límite lógico que agrupa servicios que necesitan comunicarse entre sí. Los servicios registrados en la misma red de servicio pueden descubrirse y comunicarse automáticamente. Un servicio representa un componente de aplicación con uno o más grupos de destino (instancias EC2, direcciones IP, funciones Lambda o ALBs). Las reglas de listener en los servicios definen cómo se enrutan las solicitudes entrantes a los grupos de destino basándose en ruta, encabezados o método. Las VPCs se asocian a redes de servicio para obtener acceso a todos los servicios dentro de esa red. Este modelo desacopla la conectividad de red de la topología de VPC: servicios en diferentes VPCs y cuentas se comunican a través de la red de servicio sin peering de VPC o Transit Gateway.
Autenticación, autorización y red zero-trust
VPC Lattice implementa principios de red zero-trust con autenticación y autorización IAM integradas. Las políticas de autenticación en redes de servicio y servicios individuales definen qué principals pueden invocar qué servicios. Las solicitudes se autentican usando firma SigV4, con la identidad IAM del llamador verificada antes de que el tráfico llegue al destino. Esto elimina la necesidad de autenticación a nivel de aplicación entre servicios. Las políticas de autorización usan el lenguaje de políticas IAM para expresar reglas de acceso granulares como 'el servicio A en la cuenta 123 puede invocar POST /orders en el servicio B'. Combinado con políticas a nivel de red de servicio, se puede implementar defensa en profundidad con controles de acceso tanto a nivel de red como de servicio. Para servicios que necesitan aceptar tráfico no autenticado (por ejemplo, APIs públicas detrás de CloudFront), las políticas de autenticación pueden configurarse para permitir acceso anónimo en rutas específicas.
Gestión de tráfico y migración desde arquitecturas existentes
VPC Lattice proporciona enrutamiento ponderado para cambio gradual de tráfico entre grupos de destino, habilitando despliegues blue-green y releases canary a nivel de red. El enrutamiento basado en encabezados permite pruebas A/B dirigiendo tráfico según encabezados personalizados. Los health checks eliminan automáticamente destinos no saludables de la rotación. Para migración desde arquitecturas existentes, VPC Lattice puede coexistir con balanceadores de carga y service meshes existentes. Un patrón de migración común registra ALBs existentes como destinos de VPC Lattice, habilitando adopción gradual sin interrumpir flujos de tráfico actuales. Los servicios pueden migrarse uno a uno desde conectividad directa de peering de VPC o Transit Gateway a VPC Lattice, con la red de servicio proporcionando una capa de acceso consistente independientemente del método de conectividad subyacente. Los logs de acceso proporcionan visibilidad detallada a nivel de solicitud incluyendo identidad del llamador, latencia y códigos de respuesta para monitoreo operacional.