Amazon VPC Lattice
统一管理跨 VPC 和跨账户的服务间通信,提供认证、授权和流量控制的应用网络服务
概述
Amazon VPC Lattice 是一项应用网络服务,统一管理跨 VPC 和跨账户的服务间通信。无需配置 VPC 对等、PrivateLink 或复杂的网络路由,即可实现服务间的安全互通。内置认证(IAM、SigV4)、授权(基于策略的访问控制)和流量管理(加权路由、故障转移)功能。
服务网络与服务的设计
VPC Lattice 的核心概念是服务网络(Service Network)和服务(Service)。服务网络是逻辑边界,定义哪些 VPC 可以互相通信。服务代表一个应用端点,关联到具体的目标组(EC2、ECS、Lambda、ALB 等)。将 VPC 关联到服务网络后,该 VPC 中的资源可以通过服务的 DNS 名称直接访问其他服务,无需关心目标服务位于哪个 VPC 或账户。监听器(Listener)定义服务接收流量的协议和端口,规则(Rule)基于路径、头部等条件将流量路由到不同目标组。跨账户共享通过 RAM 实现,中央平台团队管理服务网络,应用团队注册自己的服务。
认证授权与零信任网络
VPC Lattice 内置 IAM 认证,服务间调用使用 SigV4 签名验证调用方身份。授权策略(Auth Policy)使用类似 IAM 策略的 JSON 格式,定义哪些主体可以访问哪些服务的哪些路径。这实现了服务级别的零信任——即使在同一服务网络内,未经授权的服务也无法互相调用。无认证模式(None)适合不需要服务间认证的场景(如所有服务都在同一信任域内)。访问日志记录每次服务调用的源/目标、认证结果和响应状态,发送到 CloudWatch Logs、S3 或 Kinesis Data Firehose。与 Security Hub 集成可检测异常访问模式。
流量管理与从现有架构迁移
VPC Lattice 的流量管理支持加权路由(如 90% 到 v1、10% 到 v2 实现金丝雀发布)、基于路径的路由(/api/v1 到旧版、/api/v2 到新版)和故障转移(主目标组不健康时自动切换到备用)。健康检查持续监控目标组状态。从现有架构迁移:如果当前使用 PrivateLink 实现跨 VPC 通信,VPC Lattice 可简化管理(无需为每个服务创建端点);如果使用服务网格(App Mesh、Istio),VPC Lattice 可替代网络层功能但不替代应用层功能(如重试策略、断路器仍需应用侧实现)。费用按服务小时费(约 0.025 美元/小时)和数据处理量(约 0.025 美元/GB)计费。