ネットワーキング

Amazon VPC Lattice によるサービスネットワーキング - マイクロサービス間通信の簡素化

VPC Lattice のサービスネットワーク、ターゲットグループ、認証ポリシーによるマイクロサービス間通信の設計を解説します。

約 1 分で読めます

サービスネットワークの構成

VPC Lattice はアプリケーションレイヤー (L7) のサービスネットワーキングを提供し、複数の VPC やアカウントにまたがるサービス間通信を簡素化します。サービスネットワークは論理的な境界で、関連するサービスをグループ化します。VPC をサービスネットワークに関連付けると、その VPC 内のリソースからサービスネットワーク内の全サービスにアクセスできます。各サービスには自動生成された DNS 名が割り当てられ、VPC ピアリングや Transit Gateway の設定なしにクロス VPC 通信が可能です。RAM (Resource Access Manager) でサービスネットワークやサービスを他のアカウントと共有できます。

ルーティングと認証

サービスにはリスナー (HTTP または HTTPS) を設定し、リスナールールでリクエストのパス、ヘッダー、メソッドに基づくルーティングを定義します。ターゲットグループには EC2 インスタンス、IP アドレス、ECS タスク、Lambda 関数、ALB を登録でき、異なるコンピュートタイプを統一的に扱えます。加重ルーティングで複数のターゲットグループにトラフィックを分割し、カナリアリリースや Blue/Green デプロイを実現します。IAM 認証ポリシーをサービスネットワークまたはサービスに適用し、呼び出し元の IAM ロールに基づくアクセス制御を行います。SigV4 署名でリクエストを認証し、ポリシーで許可されたサービスのみが通信できます。

まとめ

VPC Lattice はマイクロサービス間通信のネットワーク設定を簡素化し、IAM ベースの認証でサービス間のアクセス制御を実現します。サービスネットワークによるクロス VPC ・クロスアカウント通信と、加重ルーティングによるデプロイ戦略が設計のポイントです。

AWS の優位点

  • サービスネットワークで複数の VPC やアカウントにまたがるサービス間通信を、VPC ピアリングや Transit Gateway なしで実現できる
  • ターゲットグループで EC2 インスタンス、ECS タスク、Lambda 関数、ALB を統一的にサービスのバックエンドとして登録できる
  • リスナールールでパスベースやヘッダーベースのルーティングを設定し、トラフィックを適切なターゲットグループに振り分けられる
  • IAM 認証ポリシーでサービス間のアクセス制御を行い、呼び出し元のサービスを認証・認可できる
  • 加重ルーティングで Blue/Green デプロイやカナリアリリースのトラフィック分割を実現できる

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

関連するサービス

Amazon VPC AWS 上に論理的に分離された仮想ネットワークを構築するサービス Amazon ECS コンテナ化されたアプリケーションを簡単に実行・管理できるコンテナオーケストレーションサービス AWS Lambda サーバー管理不要でコードを実行するサーバーレスコンピュートサービス

関連する比較記事

ゼロトラストネットワークアクセス - AWS Verified Access で VPN なしのセキュアアクセスを実現する AWS Verified Access を使った VPN レスのゼロトラストアクセスを解説。ID プロバイダー統合、デバイストラスト、ポリシーベースのアクセス制御、従来の VPN との比較を紹介します。 AWS PrivateLink でプライベート接続を実現 - VPC エンドポイントとエンドポイントサービス PrivateLink による VPC エンドポイントの設計、インターフェースエンドポイントとゲートウェイエンドポイントの使い分けを解説します。 コンテナオーケストレーション - Amazon EKS で実現する Kubernetes 運用の最適化 Amazon EKS を活用した Kubernetes のマネージド運用を解説します。

同じテーマの記事

AWS App Mesh で構築するサービスメッシュ - マイクロサービス間通信の制御と可観測性 App Mesh によるマイクロサービス間のトラフィック制御、リトライポリシー、Envoy プロキシの設定を解説します。 AWS Cloud Map でサービスディスカバリを実現 - マイクロサービス間の動的な名前解決 Cloud Map によるサービスの登録、DNS/API ベースのディスカバリ、ECS 統合を解説します。 専用線接続の設計 - Direct Connect による安定した閉域網接続の実現 AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。 AWS Direct Connect で構築する専用線接続 - 冗長構成とトラフィック制御 Direct Connect による専用線接続の構築、冗長構成の設計、BGP ルーティングの設定を解説します。 Elastic IP アドレスの管理と設計 - 静的 IP の活用とコスト最適化 Elastic IP の割り当て、EC2 との関連付け、未使用 EIP のコスト影響、代替手段の検討を解説します。 AWS Global Accelerator によるグローバルネットワーク最適化 - 低レイテンシ配信とフェイルオーバー Global Accelerator の Anycast IP によるトラフィックルーティング、エンドポイントグループの設計、CloudFront との使い分けを解説します。 グローバルネットワーク高速化 - AWS Global Accelerator と CloudFront で実現する低レイテンシ配信 AWS Global Accelerator と Amazon CloudFront を活用したグローバルネットワーク高速化の設計・運用方法を解説します。 Amazon CloudWatch Internet Monitor でインターネットパフォーマンスを監視 - 可用性とレイテンシの可視化 Internet Monitor によるインターネット経由のアプリケーションパフォーマンス監視、ISP 別の可用性分析、ヘルスイベントの検出を解説します。 AWS Network Manager でグローバルネットワークを可視化 - トポロジーと健全性の一元管理 Network Manager によるグローバルネットワークの登録、トポロジーマップ、ルート分析の活用を解説します。 AWS PrivateLink でプライベート接続を実現 - VPC エンドポイントとエンドポイントサービス PrivateLink による VPC エンドポイントの設計、インターフェースエンドポイントとゲートウェイエンドポイントの使い分けを解説します。 Amazon Route 53 の DNS 設計 - ルーティングポリシーとヘルスチェックの実践 Route 53 のルーティングポリシー、エイリアスレコード、ヘルスチェックによるフェイルオーバー設計を実践的に解説します。 Amazon Route 53 でのドメイン登録と DNS 移行 - レジストラ移管とゾーン設定の実践 Route 53 でのドメイン登録、他レジストラからの移管手順、ホストゾーンの設計と DNSSEC の有効化を解説します。 サービスディスカバリ - AWS Cloud Map でマイクロサービスの接続を自動化する AWS Cloud Map を使ったサービスディスカバリの構築を解説。DNS ベース・ API ベースのサービス検出、ECS/EKS との統合、App Mesh との連携を紹介します。 AWS Transit Gateway で構築するハブ&スポークネットワーク - マルチ VPC 接続の設計 Transit Gateway によるハブ&スポーク型ネットワークの設計、ルートテーブル分離、マルチアカウント接続を解説します。 Amazon VPC のネットワーク設計 - サブネット構成と NAT Gateway の最適化 VPC のサブネット設計、パブリック/プライベートサブネットの使い分け、NAT Gateway のコスト最適化を解説します。 AWS Wavelength で実現する 5G エッジコンピューティング - 超低レイテンシアプリケーションの設計 Wavelength による 5G エッジでのアプリケーション実行、Wavelength Zone の設計、ユースケースを解説します。