Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ネットワーク初心者でも使いやすい!VPC Latticeをご紹介します

Avatar for kimura.yuta kimura.yuta
May 29, 2024
Technology
0
530

ネットワーク初心者でも使いやすい!VPC Latticeをご紹介します

Avatar for kimura.yuta

kimura.yuta

May 29, 2024
Tweet

Other Decks in Technology

See All in Technology
推し書籍📚 / Books and a QA Engineer
Avatar for akihisa1210 ak1210
0
140
microCMSではじめるAIライティング
Avatar for himaratsu himaratsu
0
150
Rethinking Incident Response: Context-Aware AI in Practice
Avatar for rrreeeyyy rrreeeyyy
2
940
How Do I Contact Jetblue Airlines® Reservation Number: Fast Support Guide
Avatar for John thejetblueairhelpsupport
0
150
公開初日に Gemini CLI を試した話や FFmpeg と組み合わせてみた話など / Gemini CLI 初学者勉強会(#AI道場)
Avatar for you(@youtoy) you
PRO
0
1.3k
ポストコロナ時代の SaaS におけるコスト削減の意義
Avatar for izzii izzii
1
470
AI時代にも変わらぬ価値を発揮したい: インフラ・クラウドを切り口にユーザー価値と非機能要件に向き合ってエンジニアとしての地力を培う
Avatar for Toshiaki Baba netmarkjp
0
130
〜『世界中の家族のこころのインフラ』を目指して”次の10年”へ〜 SREが導いたグローバルサービスの信頼性向上戦略とその舞台裏 / Towards the Next Decade: Enhancing Global Service Reliability
Avatar for kohbis kohbis
3
1.5k
[SRE NEXT 2025] すみずみまで暖かく照らすあなたの太陽でありたい
Avatar for Hiroshi Toda carnappopper
2
470
データ戦略部門 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.3k
「現場で活躍するAIエージェント」を実現するチームと開発プロセス
Avatar for takuya kikuchi tkikuchi1002
3
300
本当にわかりやすいAIエージェント入門
Avatar for segavvy segavvy
1
300

Featured

See All Featured
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
346
40k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
282
13k
Code Review Best Practice
Avatar for Trisha Gee trishagee
69
19k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
223
9.7k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
695
190k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
990
KATA
Avatar for Megan Lloyd mclloyd
30
14k
Done Done
Avatar for chrislema chrislema
184
16k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.8k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.7k

Transcript

  1. ネットワーク初心者でも使いやすい! VPC Latticeをご紹介します

  2. 自己紹介 木村優太 (きむらゆうた) CM入社:2023年3月 オフィス:日比谷オフィス 所属:AWS事業本部コンサルティング部 趣味:野球観戦・カラオケ

  3. Latticeの概要 • VPC LatticeはVPC向けのリバースプロキシサービスで、 VPCを跨いだ通信を可能 にする • HTTP、HTTPS、gRPCに対応しており、利用側のVPCと提供側のVPCのCIDRが 重複していてもアクセスができるようになっている ◦

    IPv4、IPv6についても意識しなくて接続可 ◦ RAMで共有することでクロスアカウントでの接続も可能 • 但しリージョンを跨ぐ通信に関しては対応していない • ルートテーブルの設定などネットワークに関わる部分は自動で作成してくれる

  4. 想定ユースケース • 同アカウント内で別VPCに存在しているVPC Lambdaに対してアクセスしたい • 自社のOrganizations内のアカウント間でEC2に対してアクセスをしたい • サービスを連携している他社に対して InternalALBへのアクセスを提供したい

  5. Latticeの全体像

  6. Latticeの主要コンポーネントについて

  7. サービスネットワーク • サービスネットワークはVPCとサービスを結びつけるハブの役割のリソース • サービスネットワーク1つあたりVPCとサービスそれぞれ500個まで関連付けることが 可能 • 但しVPCからは関連付けられるサービスネットワークは 1つのみ •

    IAM認証の設定やログの設定を行うことができる

  8. サービス • ドメインが払い出され、Latticeへのアクセスを行う際はこのリソースに対してアクセス を行う。カスタムドメインも設定可能 • ALBと同様にリスナーを設定でき、ルールごとにアクセスを振り分けることができる。 ◦ 設定できる条件はパスとメソッドのみで固定レスポンスは 404と500のみで固定 メッセージ

    • 時間単位で費用が発生する • IAM認証の設定やログの設定を行うことができる

  9. ターゲットグループ • サービスのリスナーに設定する転送ルールのアクション先を設定できる • ターゲットグループの対象にできるリソースは以下 ◦ IP ◦ EC2 ◦

    VPC Lambda ◦ Internal ALB • サービスとターゲットグループは同アカウント内に存在している必要がある

  10. 設計パターン

  11. セキュリティについて • Latticeのセキュリティには4つのレイヤーがある ◦ サービスとサービスネットワークの関連付け ◦ VPC とサービスネットワーク間の関連付けにセキュリティグループをアタッチす る ◦

    サービスにIAM認証をアタッチする ◦ サービスネットワークにIAM認証をアタッチする 参考:https://docs.aws.amazon.com/ja_jp/vpc-lattice/latest/ug/what-is-vpc-lattice.html#vpc-service-network-features

  12. IAM認証を活かした設計例

  13. IAM認証を活かした設計例のメリデメ • メリット ◦ サービスネットワークを集中管理することができ、責任分界点を明確にしやすい ◦ 特定のリソースにのみ特定のサービスのアクセスを許可するなど細やかな制御 ができる • デメリット

    ◦ 一部のリソースの指定方法を除き SigV4署名を行う必要がある ◦ 大規模になればなるほどサービス側に定義する、 IAM認証のポリシーが複雑に なる

  14. サービスとVPCの関連付けを活かした設計例

  15. サービスとVPCの関連付けを活かした設計例のメリデメ • メリット ◦ 経路の限定が関連付けのみとなるので容易で分かりやすい ◦ IAM認証の設定による、署名の付与などのアプリ側の改修が不要 • デメリット ◦

    サービスネットワークを数多く作成することになるので、責任分界点を決めにく い ◦ アクセスする側のVPC内の各リソースから特定のサービスに対してのみアクセ ス可能にするなどの細かい制御ができない

  16. 構築する際のつまづきポイント

  17. SGでLatticeからのアクセスを許可する アクセスを受け付ける側のリソースにて、 Latticeからのアクセスを許可する設定が必要になります。 Lattice用のプレフィックスリストが用意されているので、そちらを登録してアクセスを許可してください。

  18. IAM認証を利用する場合には権限とSigV4署名が必要 IAM認証を利用する場合、一部を除きアクセスをする側に Latticeの実行権限とSigV4の署名が必要になりま す。 どちらかが欠けると実行エラーとなってしまいますので注意してください。 参考:https://dev.classmethod.jp/articles/lattice-iam-cert/    https://docs.aws.amazon.com/ja_jp/vpc-lattice/latest/ug/sigv4-authenticated-requests.html

  19. ご清聴いただきありがとうございました。

  20. 参考

  21. VPCに関連付けられるサービスネットワークは一つのみ VPCに複数のサービスネットワークを関連づけることはできません。 VPCからアクセスしたいサービスを関連づけているサービスネットワークに関連づけるようにしてください。

  22. 実現できない例

  23. 実現できる例

  24. 実現できる例