亚马逊云应用程序网络：构建简单、安全且可靠的应用

亚马逊云应用程序网络：构建简单、安全且可靠的应用

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Amazon VPC Lattice， Application Networking Services， Elastic Load Balancing， Api Gateway Integration， Private Link Connectivity， Vpc Lattice Mesh]

导读

亚马逊云科技应用网络服务为开发人员和网络管理员提供全托管的网络解决方案，用于构建高度可扩展的应用程序。在本次会话中，学习如何最佳地使用诸如弹性负载均衡(ELB)、Amazon API Gateway、Amazon PrivateLink和Amazon VPC Lattice等服务，实现安全的应用程序连接和监控。了解这一服务组合中的最新功能，这些功能旨在增强安全性、最大化可用性并改善连接性，同时减轻团队的工作负担。学习最佳实践，以自动简化应用程序开发和部署流程。

演讲精华

以下是小编为您整理的本次演讲的精华。

Satia Ramashastian开始了她的全面概述，深入探讨了网络负载均衡器(NLB)的复杂性。NLB是一种连接级负载均衡器，能够处理实例或容器的TCP连接和UDP流量。她强调NLB作为在虚拟私有云(VPC)内部暴露服务到互联网或在VPC内建立客户端到目标的内部负载均衡器的极高人气。Satia强调NLB适用于需要大规模的应用程序。

从安全角度来看，Satia解释说NLB可以使用TLS加密流量，并通过安全组提供基于IP的访问控制，这些都被管理员广泛用于基于IP的安全性。

接下来，Satia转向了亚马逊云科技 Private Link，这是另一种传输层服务，通过在客户端VPC中的接口端点和网络负载均衡器后面的服务之间建立单向连接，实现了VPC之间的连接。这种连接是通过高性能和安全的亚马逊云科技骨干网络建立的。

Satia解释说，Private Link引入了提供者和消费者的概念。提供者是服务所有者，可以是亚马逊云科技服务(如CloudWatch)、客户自有服务或独立软件供应商(ISV)提供的第三方服务。而消费者则是使用该服务的实体，Satia强调消费者和提供者可以位于不同的VPC，甚至不同的账户中。

与NLB的安全特性相呼应，Private Link在接口端点和网络负载均衡器之间提供了安全组和TLS加密，确保了VPC间通信的强大安全性。

转而讨论网关负载均衡器(GWLB)，Satia将其描述为一种独特的服务，同时具有网络层和传输层的特性。GWLB是一种协议无关的“线路凸起”，同时充当第3层网关和第4层负载均衡器。这种协议无关性使GWLB更像是一种网络服务而不是传输服务，但仍然保留了对应用程序目标进行负载均衡的能力。

Satia解释说，GWLB利用GENEVE协议实现其“线路凸起”实现，主要在安全领域运作，客户将其用于部署高可用性防火墙(自建或第三方提供商)，用于检查、检测和预防目的。

关于通过GWLB的流量流动，Satia阐述说，当来自VPC外部(无论是从互联网还是其他VPC)的流量到达GWLB端点(类似于Private Link的接口端点)时，它会被转发到应用程序目标。随后，流量会经过检查，然后被路由到目的地。

转移到应用层，Satia介绍了应用程序负载均衡器(ALB)，它为容器、实例甚至无服务器应用程序提供第7层路由和负载均衡。她强调ALB作为在VPC内部暴露服务到互联网的流行方式，同时也支持内部ALB用于VPC内部连接。

ALB在各种工作负载中的广泛吸引力，如托管网站、API服务器、媒体流、游戏、金融科技和企业应用程序，有助于其广泛采用。Satia强调，ALB的安全特性包括NLB的特性，如TLS和安全组。此外，ALB支持双向TLS，用于在负载均衡器上认证基于证书的客户端身份，通过Amazon Cognito进行用户身份认证，并与符合OpenID Connect (OIDC)的第三方身份提供商(IdP)集成。此外，ALB与亚马逊云科技 Web应用程序防火墙(WAF)无缝集成，进一步增强了其在数据路径中的安全态势。

接下来，Satia介绍了API网关，这是一个更高级别的抽象，旨在让开发人员创建、发布、维护、监控和保护任何规模的API。将ALB和API网关进行比较，Satia指出，虽然ALB非常适合较简单的API服务器，但API网关的功能集使其适合于更高级的用例。

API网关可以为使用各种亚马逊云科技服务(如Amazon Lambda、Amazon DynamoDB、Amazon简单存储服务(S3))或在VPC中部署的自定义服务构建的API提供公共端点。客户可以选择区域端点或边缘优化端点，后者利用由亚马逊云科技管理的Amazon CloudFront分发，提供增强的性能和可扩展性。

API网关的一个关键属性是，正如Satia所强调的，它能够在VPC之外运行，简化了用户体验，无需将API网关资源放置在VPC中。对于需要在亚马逊云科技环境内部暴露API而限制来自公共互联网的访问的场景，API网关通过与亚马逊云科技 Private Link的集成支持私有API。

从应用程序感知的角度来看，API网关是亚马逊云科技应用程序网络组合中唯一对请求和响应正文有感知能力的服务。这种能力使高级功能成为可能，例如如果请求正文中缺少特定字段，则以400错误拒绝请求，或者在转发到目的地之前，通过将名字和姓氏字段连接成单个“名称”字段来转换请求。对于响应处理也有类似的功能。

Satia还强调了API网关的使用计划功能，允许客户根据客户端、方法或两者的组合来限制或跟踪API。对于希望将API产品化的客户来说，这一功能特别有用。

结合传输层和应用层功能，Satia介绍了VPC Lattice，这是一种独特的服务，通过提供直观的、面向角色的功能，简化了管理员和开发人员的网络。Lattice支持VPC内部大规模连接，允许跨多个VPC分布的多个服务通过Lattice的单个实例(称为服务网络)连接。这一能力对于网络管理员来说极为宝贵，他们可以跨多个VPC连接服务，而无需担心IP重叠问题，同时还能享受不必将Lattice资源放置在VPC中的简化用户体验，类似于API网关。

Lattice的一个关键特性是其服务目录，这是服务网络中所有服务的清单。该目录有助于服务发现，在管理服务网络中大量服务时特别有用。从应用程序感知的角度来看，Lattice可以执行请求路由和负载均衡，类似于ALB。在安全方面，Lattice继承了ALB的特性，如安全组和服务之间的TLS加密。Lattice的身份验证功能非常强大，支持在服务网络级别的基于IAM的身份验证，网络管理员可以应用粗粒度策略，以及在服务级别的更细粒度身份验证策略，开发人员可以实施。此外，Lattice在到达目的地之前就对SigV4请求进行身份验证，使其非常适合零信任架构。

Satia强调，通过利用应用程序网络服务及其与其他亚马逊云科技服务的集成，客户可以为其应用程序实现高可用性和强大的安全态势。

将弹性负载均衡与API网关进行比较，Satia重申弹性负载均衡最适合负载均衡用例，或许也适合简单的API服务器，而API网关则是托管大规模API和高级API服务器用例的首选。在比较Private Link和Lattice时，Satia指出，与弹性负载均衡和API网关都有集成的Private Link适合于点对点连接，而Lattice则设计用于多对多或网状连接，在零信任架构中发挥关键作用。

转入深入探讨部分，Satia涵盖了过去12个月弹性负载均衡的关键功能发布，强调安全性是首要任务。她讨论了两个以安全为重点的功能:应用程序负载均衡器(ALB)和网络负载均衡器(NLB)上的共享安全组，以及对双向TLS产品的增强。

共享安全组是今年早些时候推出的VPC功能，现在ALB和NLB都支持了。该功能支持两种用例:1)跨多个账户的单个VPC，安全组可以放置在VPC中，并在所有参与账户中工作;2)单个账户中的多个VPC，安全组可以在该账户内的VPC之间共享。

去年推出的双向TLS功能最初要求信任存储(包含CA束缚和吊销列表)必须与ALB位于同一账户。Satia自豪地宣布，今年早些时候，亚马逊云科技推出了信任存储共享，允许客户使用亚马逊云科技资源访问管理器从中央账户将特定信任存储共享到各个应用程序账户。这一增强功能使网络管理员能够生成单个信任存储，并确保所有应用程序账户都使用相同的信任存储，简化了安全管理，并确保了一致性。

此外，Satia强调了在CA束中公布主题名称的能力，这是一项有助于拥有多个客户端证书的客户选择适当证书参与相互TLS连接的功能。

可用性是Elastic Load Balancing的另一个重中之重。Satia解释说，构建可用性的一个好方法是让负载均衡器跨越三个可用区(AZs)。这种方法确保即使一个AZ出现故障，应用程序仍在其他AZs中可用。大约两年前，亚马逊云科技应用程序恢复控制器(ARC)团队推出了一个区域转移功能，该功能支持跨区域禁用负载均衡器。Satia自豪地宣布，亚马逊云科技现在已经支持跨区域启用负载均衡器的区域转移。通过这一增强功能，当检测到受损的AZ并决定将其疏散时，不仅会移除负载均衡节点，还会移除它们后面的目标。这意味着受损AZ中的目标不会从健康AZs中的负载均衡节点接收任何流量，从而减少影响范围并提高整体可用性状况。

最近推出的另一项功能是负载均衡器容量单元预留，可用于ALB和NLB。该功能允许客户设置负载均衡器容量的最低限度，以应对流量激增，例如流式传输体育赛事或支持电子商务平台的闪购活动。客户可以指定负载均衡器容量单元(LCU)的底线，并且始终保证拥有该最低容量。重要的是，负载均衡器将根据其接收的流量继续自动扩展超出最低底线，从而提供既有保证的最低容量，又能根据额外流量进行有机扩展的组合。

路由功能在负载均衡器上非常有用，因为它们可以将逻辑从应用程序中卸载，从而简化应用程序的复杂性。Satia讨论了在这一领域推出的两个关键功能:NLB和GWLB上的TCP配置空闲超时，以及ALB标头修改。

TCP配置空闲超时功能是推出前最受欢迎的增强功能之一。之前，TCP空闲超时设置为350秒。通过这一功能，客户现在可以选择60秒到6000秒之间的任何值。这种灵活性允许客户将其负载均衡器超时配置为与其客户端和目标相匹配，从而可能减少重试错误和整体延迟，进而提高应用程序的性能。

ALB标头修改是另一个备受期待的功能，包括请求端和响应端两个部分。

在请求端，亚马逊云科技推出了重命名亚马逊云科技生成的TLS标头的功能。Satia解释说，TLS标头对于应用程序开发人员来说具有特殊意义，因为它们通常被组织用于强制执行最低密码版本、确保合规性或在相互TLS的情况下构建自定义身份验证逻辑。亚马逊云科技收到客户反馈，在各个团队中解析特定的亚马逊云科技生成标头以构建此逻辑存在挑战。为了简化此过程，亚马逊云科技现在提供了重命名这些标头的功能。在给出的示例中，“x-amazon-tls-version”标头被重命名为“tls-version”，这可能更适合在到达目的地之前进行应用程序处理。需要注意的是，通过这一推出，客户只能重命名标头，而不能更改其值。

在响应端，亚马逊云科技引入了插入HTTP严格传输安全(HSTS)和跨源资源共享(CORS)标头的功能。推出此功能的原因是让管理员能够为其组织集中强制执行这些标头，而不是依赖于容易出错的各个应用程序开发人员团队。在给出的示例中，Satia显示了添加了一个max-age值为900的HSTS标头，但客户可以灵活地更改配置以满足其应用程序的需求。对于所有CORS标头也提供了相同的功能。

ALB和NLB在亚马逊云科技 Kubernetes集群中的亚马逊云科技 Load Balancer Controller部署中非常受欢迎。Satia深入探讨了过去12个月对亚马逊云科技 Load Balancer Controller所做的增强。

Load Balancer Controller有助于管理Kubernetes集群的Elastic Load Balancer。在Kubernetes中，客户更喜欢使用Kubernetes原生API与其Kubernetes资源进行交互。Load Balancer Controller充当Kubernetes API和ELB控制平面之间的翻译层。此外，它还负责在Kubernetes集群中注册和注销构成服务的pod，作为负载均衡器的目标。这对于Kubernetes尤为重要，因为pod是高度短暂的。

构成控制器的pod在两个或更多个pod中运行，其中一个始终被选为领导者。在Kubernetes中，当他们提到“负载均衡器”时，实际上是指亚马逊云科技的第4层或NLB，而当他们说“入口”时，则指亚马逊云科技的第7层或ALB。

在过去的12个月里，亚马逊云科技专注于提高控制器的性能和可用性。提高性能的第一个重点领域是协调。协调是使控制器、Kubernetes API服务器和ELB控制平面保持同步的过程。有时协调可能会很慢，例如处理具有大量服务、资源和附加负载均衡器的超大型集群时。在这些情况下，需要执行许多查找操作，协调可能会变慢。此外，领导者pod重新启动需要新副本启动、选举新领导者并发生协调的情况也可能导致延迟。

Satia自豪地宣布，通过使用缓存和延迟队列，亚马逊云科技已经能够减少查找次数，从而使协调时间减少了90%。此外，亚马逊云科技还将运行在Load Balancer Controller pod中的SDK升级到了亚马逊云科技 SDK Go v2，导致内存利用率降低50%、内存占用减少32%，并增强了重试机制。这些改进使SDK更加轻量级，能够更快地处理数据，并使API调用更加高效，从而提高了控制器的整体性能。

然后，Satia解决了客户构建更加弹性的应用程序的请求，即为其应用程序提供多个集群来服务流量。需要注意的是，独立的集群拥有自己独立的Load Balancer Controller实例。最初，在跨这些集群启动目标组时，每个控制器都会覆盖目标组以避免冲突。虽然这种方法可以防止冲突，但不支持跨多个集群工作的目标组。

Satia自豪地宣布，亚马逊云科技已经升级了控制器，可以同时从多个集群加入目标而不会引入冲突。这一增强功能允许安全地支持跨多个集群的目标组，这是一个关键的可用性改进。

Satia提供了一个跨同一VPC中两个集群的目标组的示例，并提到亚马逊云科技还支持跨两个不同VPC中的集群的目标组，当与支持跨VPC连接的服务(如Transit Gateway)一起使用时。

此时，Satia将演示权移交给Yusuf Orabi，讨论API Gateway、私有链路和Lattice。

Yusuf首先讨论了API Gateway，这是一项使任何人都能以任何规模发布生产就绪API的服务。他承认，最初设置API需要大量的运营开销，例如配置DNS记录、TLS证书、负载均衡器和Web服务器。客户要求提供更好的解决方案，促使亚马逊云科技在2015年创建了API Gateway来简化这一过程。最初，API Gateway与Amazon Lambda高度集成，但随着时间的推移，它已经发展到支持其他用例。

Yusuf回顾了API Gateway的核心功能，从遵循请求-响应模式的HTTP RESTful API开始。API Gateway支持公共的面向互联网的API，并且随后增加了内部服务或私有企业组织内部使用的私有API的功能。后来，推出了WebSocket支持，用于需要流式或异步工作负载的应用程序，并且API Gateway与108多个亚马逊云科技服务作为目标集成。此外，API Gateway还执行身份验证、授权、限流、使用密钥管理和其他功能，帮助客户管理其平台的API。

Yusuf强调，API Gateway一直在过去几年不断发展，到2023年，它已经发布或接收了超过1000亿次API请求，这一数字仍在快速增长，因为API Gateway正在扩大规模。为了满足客户对可用性和安全性的高标准，亚马逊云科技进行了一系列投资，Yusuf接下来将详细讨论这些投资。

从弹性开始，亚马逊云科技进行了多项改进，以更好地管理可用区(AZ)故障事件。在API Gateway本身进行了性能改进，允许快速扩展数千个节点。构建了内部工具来隔离单个API流并检测异常情况，例如在客户部署后，指标中500错误出现峰值。还引入了开发人员可用性改进，包括自助服务配额管理、2024年初刷新的控制台，以及与第三方集成的合作伙伴关系，以提供开发人员门户功能。

Yusuf深入探讨了对API网关所做的弹性和健壮性改进。正如所提到的，亚马逊云科技构建了灰色故障检测和缓解功能，允许API网关检测网络级别的损坏并自动为客户缓解，无需客户采取任何行动。实施了一系列服务保护缓解措施，包括与AWSWeb应用程序防火墙(WAF)集成，以缓解针对面向互联网的API的分布式拒绝服务(DDoS)攻击。亚马逊云科技团队全天候应对，为客户管理和缓解此类事件。此外，亚马逊云科技重建了增加或减少为API平台供应大量计算实例所需时间的能力。

关键的是，亚马逊云科技重建了数据平面，并将其划分为细胞架构。Yusuf概述了API请求的路径，通常遵循请求-响应模式。请求落在API网关的前门，在内部路由到执行第一层安全性(身份验证、授权、速率限制等)的服务，然后使用诸如洗牌分片等方案映射到其中一个单元或分区。

Yusuf深入探讨了这种细胞架构，解释说在初始安全层之后，请求会传递到拥有该API的特定分区。每个分区都有完全独立的基础设施，包括一组隔离的负载均衡器(总共数千个负载均衡器)和一组在后端处理API调用的计算实例。这些分区彼此隔离，使亚马逊云科技能够更好地扩展、单独管理分区，并控制单个分区对API网关的影响范围。

转向安全性增强，Yusuf宣布为所有API开箱即用地支持TLS 1.3，客户无需采取任何操作。改进了与Amazon WAF的集成，现在支持对集成WAF和API网关的客户进行大型有效负载检查，有效负载高达64千字节。对于使用API网关的自定义授权者的客户，改进了更好地支持VPC端点策略。

针对可用性反馈，Yusuf承认，当API网关首次推出时，它主要关注公共或面向互联网的API。随着时间的推移，出现了更多私有API模式，客户要求改进可用性。嵌入在API网关端点中的有很多信息，如API ID、VPC ID、区域名称和API阶段名称。客户希望有一些简单易记的东西，如“myexample.com”，与他们的客户共享并促进轻松发现。

Yusuf自豪地宣布API网关现已提供私有自定义域名，解决了这一长期客户需求，并提高了API网关在私有API工作负载方面的整体可用性。通过私有自定义域名，客户可以更好地控制其私有API端点的可定制性和可发现性。此外，亚马逊云科技引入了私有域名的概念，一个或多个API映射到该私有域名。开发人员可以在域级别应用策略，这些策略将过渡应用于相关联的API，简化了策略和安全管理。

私有自定义域名与Private Link和亚马逊云科技资源访问管理器(RAM)深度集成，实现了企业内部跨账户和跨VPC共享。这种集成符合亚马逊云科技的架构最佳实践，即在多账户、多VPC设置中运行，以获得更好的安全性和影响范围控制。私有自定义域名还在推出时支持IPv6，所有未来的API网关功能发布都将支持IPv6。

开始使用私有自定义域名非常简单，只需几个先决条件:SSL/TLS证书(通常由亚马逊云科技证书管理器管理)和Route 53托管区域。客户创建自定义域名，为该域名创建基本映射，通过资源访问管理器共享域名以实现跨账户共享，将域名与VPC端点关联，并与客户合作创建Route 53映射或别名到自定义域名。

Yusuf建议参加周四的“使用API网关扩展私有API工作负载”会议，深入探讨公共和私有API模式，以及来自巴西大型银行Itaú Unibanco的客户案例，该银行广泛使用API网关。

转向Private Link和Lattice，Yusuf解释说这两项服务都支持私有VPC连接，但方式和目的略有不同。Private Link提供从消费者到提供者的单向访问，具有客户端启动的连接。可选地，提供者可以实施握手协议来接受或拒绝连接。流量保持在亚马逊云科技网络内部私有，Private Link支持通过直接连接访问本地网络。

客户欣赏Private Link的客户端启动性质，这在跨组织内的信任边界时非常强大。一个常见的用例是访问第三方数据库，如托管的MongoDB实例，其中消费者希望访问提供者VPC中的服务，而不会授予提供者访问其网络的权限。Private Link的策略、端点策略和安全组能够为企业网络构建强大的数据边界，控制谁可以连接到哪个端点，并提供强大的安全性和合规性保证。

Private Link还支持提供者端的本地连接，并提供各种指标和遥测数据。最近推出的Contributor Insights功能为提供者提供了对其API的顶级消费者、顶级发言者等的洞察，帮助他们管理连接。

Private Link端点可以连接到两种类型的服务:TCP服务和设备。设备是Private Link与网关负载均衡器的集成，能够部署高级功能，通常在较低的网络层级，来自自建或第三方防火墙用于检查、检测和预防。

历史上，Private Link上的服务仅限于TCP，分为三类:亚马逊云科技服务(支持超过190项亚马逊云科技服务)、客户开发和拥有的服务，以及第三方提供商服务，如MongoDB、Teradata和Snowflake。

客户要求扩展连接性并支持UDP，从而推出了对Private Link服务的UDP支持，在所有区域都可普遍使用，并在推出时支持IPv4和IPv6。此增强功能允许客户在其架构中为网络负载均衡器(NLB)添加UDP v4和v6侦听器，只要支持Private Link服务的NLB是双栈的，就能够无缝迁移或逐步迁移到v6提供商服务，而无需进行重大的架构重新设计。

然而，客户还有更多要求，特别是能够跨区域连接到Private Link。Yusuf自豪地宣布推出跨区域Private Link，在推出时在七个区域普遍可用，并计划于2025年1月在全球范围内推广。这对于跨区域边界的UDP和TCP服务以及v4和v6连接都可开箱即用，实现了新的用例，如内部和外部服务的区域间通信，而不会影响安全性、性能或可扩展性。

Yusuf强调了来自关键合作伙伴如Salesforce的积极反馈，他们表示“这一增强功能将使我们能够简化内部和外部服务的区域间通信，而不会影响安全性、性能或可扩展性”，以及Datadog的反馈“我们听说，通过跨区域Private Link，客户只需点击几下就可以将可观察性数据发送到Datadog，而无需在多个区域创建网络资源。”

转向VPC Lattice，Yusuf将其介绍为一种简化的解决方案，用于组织内部信任边界内的服务到服务连接。Lattice引入了四个关键概念:Lattice服务(表示应用程序端点)、Service Networks(一个或多个服务的集合)、IAM策略(应用于Service Network或Service级别)和服务目录(用于Service Network内服务的可发现性)。

客户欣赏Lattice相比Private Link的点对点客户端启动连接提供了更好的抽象，后者在大规模管理时会变得具有挑战性。Lattice在Service或Service Network级别应用的策略，实现了细粒度控制。Yusuf对Lattice的应用程序感知性表示兴奋，它可以帮助开发人员卸载操作，如节流和重型工作。

关键的是，Lattice与计算无关，这意味着Lattice服务可以由各种计算选项支持，如Lambda函数、EC2实例、Kubernetes集群，甚至现有的负载均衡器。这种灵活性允许开发人员选择最合适的计算选项，而无需更改整体架构。

在深入探讨令人兴奋的公告之前，Yusuf对Lattice服务和Service Networks进行了更深入的探讨。Lattice服务有四个组成部分:URL、侦听器(定义端口、协议和路由规则)、目标组(支持各种计算选项，如EC2实例、Lambda函数、EKS集群或其他负载均衡器)和Service Networks(用于组织和关联服务的分组和关联机制)。

开始使用Lattice非常简单:创建Lattice目标组或目标(处理请求的应用程序)、创建Lattice服务并将其与这些目标关联、创建Lattice服务网络并将其与一个或多个VPC关联，最后将服务与服务网络关联。这种方式可以优雅地扩展，允许将数千个VPC与同一服务网络关联，使开发人员能够创建多个小型账户和VPC以获得更好的安全分区，同时共享相同的服务基础设施。

Yusuf兴奋地宣布了将ECS集成为Lattice服务的计算目标。这完成了Lattice内计算选项的集成组合，允许客户无缝地将ECS任务作为其Lattice服务部署的一部分，无需使用变通方法或中间负载均衡器，从而简化架构并降低复杂性和成本。

回顾一下，Yusuf强调了Lattice应用程序感知和与计算无关的强大功能，为开发人员创造了一个强大的工具。可以根据路径定义不同的监听器和不同的路由规则，将请求路由到不同的计算引擎。这种灵活性允许开发人员从一种计算选项(如Kubernetes)开始，然后无缝地迁移到另一种选项(如基于ALB的服务)，而无需更改整体拓扑、安全策略、数据边界或连接网格。Yusuf强调亚马逊云科技的目标是成为亚马逊云科技上首选的网格。

针对客户关于选择Private Link还是Lattice的常见问题，Yusuf建议在跨信任边界时考虑使用Private Link，因为它非常适合于从组织内部到另一个组织的单向连接。而Lattice通常在组织的信任边界内使用，尽管它提供了强大的数据边界和安全控制。

接下来，Yusuf宣布在Lattice和VPC中引入了一个新的构造，称为“资源”，用于模拟单个资源，如EC2实例、数据库和缓存。资源是为规模而构建的，支持一对多或多对多通信，并与RAM和IAM策略紧密集成。

最受期待的是跨VPC资源端点的推出。这一开创性的功能允许客户连接到单个EC2实例，而无需额外的负载均衡器服务。作为资源所有者，客户可以使用Lattice API定义资源、创建资源配置策略、通过RAM进行跨账户共享，然后从消费者端通过Private Link或Lattice连接到该资源。

跨VPC资源端点提供了诸多好处，包括隐私性、可扩展性、一对多或多对多连接，以及与RAM和IAM的无缝集成以实现共享。Yusuf强调了来自关键合作伙伴的积极反馈，如Palo Alto Networks表示“将资源端点与他们的下一代防火墙集成，标志着简化云操作的重大进步”，而ClickHouse则表示“对于任何人从托管在亚马逊云科技上的运营系统移动数据而言，资源端点都是一个令人信服的功能。ClickHouse用于管理万亿行数据。资源端点允许我们提供非常细粒度的安全通信。”

Yusuf还宣布Private Link可以直接连接到Lattice服务网络，将这两项服务桥接在一起，允许已部署Private Link的客户无需修改架构即可无缝集成到Lattice服务网络。

最后，本次会议推荐了2024年re:Invent大会上的相关会议，包括“NET 301:高级VPC设计和新功能”、“NET 218:深入探讨使用亚马逊云科技 Private Link和VPC Lattice实现跨VPC资源访问”以及“使用Amazon API网关扩展和保护私有工作负载”，后者将深入探讨API网关模式和客户案例。

总之，在亚马逊云科技 re:Invent 2024大会上的“Amazon云应用程序网络:构建简单、安全和可靠的应用程序”演讲全面深入地探讨了亚马逊云科技的应用程序网络服务。Satia Ramashastian和Yusuf Orabi娴熟地阐述了弹性负载均衡、API网关、Private Link和VPC Lattice的精髓，揭示了开创性的创新和增强功能，使客户能够在云中构建高度可扩展、安全和可靠的应用程序。本次会议彰显了亚马逊云科技对以客户为中心的创新的不懈追求，以及为现代应用程序开发提供前沿解决方案的决心。

下面是一些演讲现场的精彩瞬间：

演讲者定义了应用程序网络并概述了相关的亚马逊云科技服务，为深入讨论弹性负载均衡和其他网络主题奠定了基础。

Lattice凭借其服务目录、请求路由、负载均衡和强大的身份验证功能，非常适合在亚马逊云科技中实现零信任架构。

亚马逊云科技推出了支持跨可用区的负载均衡器，通过自动将流量从受影响的可用区转移，提高了可用性。

Amazon Lattice简化了跨多个VPC创建和管理安全、可扩展的服务网格的过程，使开发人员能够构建具有细粒度控制和分区安全边界的高级应用程序。

亚马逊云科技为Lattice引入了原生ECS支持，简化了集成并消除了中间负载均衡器的需求。

亚马逊云科技推出了资源端点，实现了VPC资源之间安全和细粒度的通信，并提供了强大的合作伙伴集成和客户收益。

演讲者建议对VPC设计、私有链路、VPC Lattice和API网关模式等高级网络主题感兴趣的人参加几个相关会议，以了解更多关于应用程序网络的信息。

总结

在这个引人入胜的叙事中，我们踏上了一段探索亚马逊云科技应用程序网络领域的旅程，在这里简单性、安全性和可靠性交汇。故事从介绍构成这个复杂生态系统骨干的核心服务开始——弹性负载均衡、API网关、私有链路和VPC Lattice。

第一个关键点阐明了网络管理员和开发人员之间的微妙互动，他们各自有着独特的优先事项，但却为实现无缝连接而团结一致。网络管理员寻求集中式工具来连接和保护应用程序，而开发人员渴望在构建业务逻辑时获得效率。

第二个关键点深入探讨了这些服务的架构细节，揭示了它们在负载均衡、API托管、VPC间连接和零信任架构方面的不同能力。我们见证了共享安全组、相互TLS增强功能和跨区域负载均衡器能力等功能的演进，旨在加强可用性和安全态势。

第三个关键点揭示了重塑应用程序网络边界的突破性公告。私有链路支持UDP、跨区域私有链路连接以及ECS与VPC Lattice的无缝集成，开启了灵活性和互操作性的新时代。此外，跨VPC资源端点的推出使开发人员能够直接连接到特定资源，简化了操作并提高了安全性。

随着叙事的结束，一声响亮的号召回荡——拥抱这些创新，释放亚马逊云科技应用程序网络的全部潜力，打造不仅可扩展和弹性，而且安全高效的应用程序。未来正在召唤，服务之间的界限将变得模糊，实现无缝连接的可能性是无穷无尽的。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。