これまでのネットワーク運用を変えるかもしれないアプデをおさらい

これまでのネットワーク運用を変えるかもしれないアプデをおさらい Ops-JAWS Meetup38 re:Invent 2025 Ops系 re:Cap はたはた

アジェンダ lはじめに lリージョナル NAT Gatewayのリリース lALB・NLBの機能拡張 lVPC Encryption Controlのリリース lRoute
53の高速復旧オプション l最後に

自己紹介名前畠山大治（はたはた）業務 PM、要件定義・設計好きなもの Perfume、音楽、読書、映画・アニメギター、体を動かすこと好きなAWSサービス
VPC、CloudFront、Step Functions その他活動など Japan AWS Top Engineers（2024、2025） AWS Community Builders（since 2024） Ops-JAWS コアメンバー Toranomon Tech Hub 運営 JAWS DAYS 2026 実行委員はたはた (@hatake_book)

今回話すこと l話すこと l re:Invent期間中のアプデ、re:Invent期間前の予選落ちのアプデの中から、 AWSでのネットワークの運用に関連しそうなアプデをピックアップ l 触ってみた所感なども適宜ご紹介 l話さないこと l 運用というより、ネットワークの設計・実装寄りのアプデ
l 上記期間以外のアプデ情報

今回話すこと大村さんの #地味でも大事なAWS を活用させていただきました！！

リージョナル NAT Gateway のリリース l AZを跨ぐNAT Gatewayが作れるように l AZ障害発生に備えるネットワーク運用が大きく変わる
l 今までの運用 l 利用するAZの数だけNAT Gatewayを配置 l AZ障害でインターネットアウトバウンドのトラフィックが機能しなくなることに備えた、ルートテーブルの書き換え運用が必要（専用のLambdaを用意したり、手順書を用意したり）引用：https://docs.aws.amazon.com/vpc/latest/userguide/nat- gateways-regional.html

リージョナル NAT Gateway のリリース l これからの運用 l リージョナルNAT GatewayをVPCに1つ作成 l
ルートテーブルの書き換えは基本的に不要 l 新しいAZでのENI作成、既存AZでのENI削除を自動的に検知してスケールする（手動でスケールさせることも可能）引用：https://docs.aws.amazon.com/vpc/latest/userguide/nat- gateways-regional.html

リージョナル NAT Gateway のリリース：触ってみた l アベイラビリティーモードで「リージョナル」を選択 l EIPの割り当ては自動 or 手動が選択可能

リージョナル NAT Gateway のリリース：触ってみた l 2AZのLAMP構成を組んだ環境に作成すると、EIPが自動的に2つ振られる l 3つめのAZにサブネットだけ作成しても、NAT Gatewayの設定に変化なし

リージョナル NAT Gateway のリリース：触ってみた l 3つめのAZにEC2を追加すると、EC2の起動の約8分後に新しいIPが「Associating」のステータスで出現 l さらに5, 6分待つとステータスが「Succeeded」に
l EC2を削除すると、削除から1時間後くらいに関連付けが解除される

ALB・NLBの機能拡張複数の機能拡張が発表 l NLBのアクセスログをCloudWatch Logsに出力可能に l ALBのターゲットへのリクエスト数上限を設定可能に l ALBのヘルスチェックに関するログが出力可能に l
ALB・NLBがポスト量子鍵交換に対応

ALB・NLBの機能拡張複数の機能拡張が発表 l NLBのアクセスログをCloudWatch Logsに出力可能に l ALBのターゲットへのリクエスト数上限を設定可能に l ALBのヘルスチェックに関するログが出力可能に ←
Pick Up！ l ALB・NLBがポスト量子鍵交換に対応

ALBのヘルスチェックに関するログが出力可能に l ヘルスチェックのログをS3に出力することが可能 l ヘルスチェックの結果（PASS or FAIL）、レイテンシー、ターゲットのアドレス、ターゲットグループIDなどが出力されるログの一例） http
2026-01-14T07:50:07.406355Z 0.00217818 10.0.2.80:80 opsjawsrecap2025-tg PASS 200 - l エラーの理由もログに出力される l 例えば、ヘルスチェックのパスを存在しないパスに設定すると、エラーコード404 とエラーメッセージ「 ResponseCodeMismatch 」が出力されるログの一例） http 2026-01-14T08:03:37.953517Z 0.003894478 10.0.2.80:80 opsjawsrecap2025-tg FAIL 404 ResponseCodeMismatch

ALBログの使い分け ALBのトラフィックに関するログは現在3種類種類用途出力先アクセスログ HTTPリクエスト/レスポンスに関するログ例）クライアントのIP・ポート番号、ステータスコード、SNI S3 接続ログ
SSL/TLSに関するログ例）SSL/TLSプロトコル、ハンドシェイク時間、クライアント証明書の情報ヘルスチェックログターゲットのヘルスチェック結果を出力例）ヘルスチェック結果、エラーコード、エラーメッセージ

VPC Encryption Controlのリリース l VPC内、VPC間の暗号化状況を可視化できる機能「 VPC Encryption Control （暗号化コントロール）」が追加された l
新規構築や構成変更の際に、システムの非機能要件を満たしているかどうかの確認作業を簡略化することができる l 今まで l AWSリソースの設定内容を確認したり、セキュリティグループで443ポートを塞いでみたり、構成によって確認方法を考える必要がある l これから l 暗号化コントロールのコンソール画面上で確認するだけで、最低限の確認は済むようになる l 非暗号化を制御する設定も可能

VPC Encryption Controlのリリース：触ってみた VPC新規作成の画面に「VPC 暗号化コントロール」の設定が追加されている

VPC Encryption Controlのリリース：触ってみた VPC新規作成の画面に「VPC 暗号化コントロール」の設定が追加されている強制モード暗号化されていないリソースの作成やアタッチが、そもそもできなくなるモードモニタリングモード暗号化状況の可視化のみを
行うモード

VPC Encryption Controlのリリース：触ってみた強制モードでは、暗号化コントロールの対象外にするリソースを設定することも可能

VPC Encryption Controlのリリース：触ってみた「強制モード」で設定したVPCを作成し、EC2間のトラフィックの暗号化をサポートしていないインスタンスタイプ（※）を選択してEC2を起動しようとすると、エラーになり起動不可（※）https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit

VPC Encryption Controlのリリース：触ってみたモニタリングモードでは、暗号化していないENIのリストが出力される

VPC Encryption Controlのリリース：触ってみた既存のVPCに設定を追加することも可能

前提：Route 53のコントロールプレーン、データプレーン Route 53のコントロールプレーンとデータプレーンは耐障害性に違いがある参考：https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/route-53-concepts.html#route-53-concepts-control-and-data-plane コントロールプレーンデータプレーン l 機能 l
リソースの作成、登録、削除などの管理操作を実行 l 耐障害性 l バージニア北部に機能が集中しているため、バージニア北部での障害の影響を受けやすい l 機能 l 名前解決への応答などのコア機能を提供 l 耐障害性 l グローバルに分散、SLA 100%を担保

Route 53の高速復旧オプション l 「高速復旧オプション」を有効にすることで、バージニア北部リージョンで障害が発生した時にコントロールプレーンの機能をオレゴンリージョンにフェイルオーバーしてくれる（60分以内にフェイルオーバーが行われる） l オレゴン→バージニア北部のフェイルバックも自動的に実施 l 今まで
l バージニア北部での障害発生を見越して、普段の運用はデータプレーンでの操作で完結するように運用設計を行う必要がある（静的安定性のアプローチ） l これから l 運用設計の考え方は変わらないが、間接的にサービスの可用性底上げにつながっている ※高速復旧オプションはパブリックホストゾーンのみで提供、プライベートホストゾーンでは未提供

宣伝その1

宣伝その2 l 東京虎ノ門周辺のエンジニアが集まるコミュニティ「 Toranomon Tech Hub 」で初心者LT大会を1/20（月）に開催！ l 基本どなたでもウェルカムです！

参考資料 l AWS NAT ゲートウェイがリージョン別の可用性をサポート Ø https://aws.amazon.com/jp/about-aws/whats-new/2025/11/aws-nat-gateway-regional-availability/ l Regional NAT
gateways for automatic multi-AZ expansion Ø https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateways-regional.html l Amazon CloudWatch Logs で Network Load Balancer のアクセスログのサポートを開始 Ø https://aws.amazon.com/jp/about-aws/whats-new/2025/11/amazon-cloudwatch-supports-logs-network-load-balancer-access- logs/ l AWS Application Load Balancer が Target Optimizer をリリース Ø https://aws.amazon.com/jp/about-aws/whats-new/2025/11/aws-application-load-balancer-target-optimizer/ l AWS Application Load Balancer と Network Load Balancer が TLS のポスト量子キー交換のサポートを開始 Ø https://aws.amazon.com/jp/about-aws/whats-new/2025/11/network-load-balancers-post-quantum-key-exchange-tls/ l AWS Application Load Balancer がヘルスチェックログのサポートを開始 Ø https://aws.amazon.com/jp/about-aws/whats-new/2025/11/application-load-balancer-health-check-logs/ l AWS が新しい VPC 暗号化コントロールを導入し、データ暗号化の水準をさらに強化 Ø https://aws.amazon.com/jp/about-aws/whats-new/2025/11/aws-vpc-encryption-controls/ l Amazon Route 53 がパブリック DNS レコードを管理するための高速復旧を発表 Ø https://aws.amazon.com/jp/about-aws/whats-new/2025/11/amazon-route-53-accelerated-recovery-managing-public-dns- records/

これまでのネットワーク運用を変えるかもしれないアプデをおさらい

これまでのネットワーク運用を変えるかもしれないアプデをおさらい

da-hatakeyama

More Decks by da-hatakeyama

Other Decks in Technology

Featured

Transcript