VPC Lattice vs VPC Endpoint ～異なる VPC のプライベートリソースにアクセスには？～

Transcript

1. VPC Lattice vs VPC Endpoint ～異なる VPC のプライベートリソースにアクセスには？～

2. きっかけ＆話すこと VPC ピアリング？ Transit Gateway？ VPC Lattice？ 何が必要？ どんなアーキ？ そもそも実現性は？

3. VPC コンソールを捜索 • VPC エンドポイント ◦ Resource 型 VPC エンドポイント・・・①

   ◦ Service Network 型 VPC エンドポイント・・・② • Lattice ◦ サービスネットワーク ◦ Lattice サービス・・・③ ◦ リソース設定 ◦ リソースゲートウェイ ◦ ターゲットグループ？？？

4. 検証内容＆方法 ①,②,③を構築 何が必要？ どんなアーキ？ そもそも実現性は？

5. ① Resource 型 VPC エンドポイント 1. RGW 2. リソース設定 3.

   VPC エンドポイント

6. リソース設定の作成

7. 注意点：エンドポイントポリシー非対応

8. アクセス制御：SG type : PostgreSQL protocol : TCP port : 5432

   source : CloudShell SG （インバウンドルール：なし） type : PostgreSQL protocol : TCP port : 5432 source : RGW SG

9. 疎通確認

10. ② Service Network 型 VPC エンドポイント 1. RGW 2. リソース設定

    3. Lattice サービスネットワーク（SGが設定必須でした） 4. VPC エンドポイント

11. Lattice サービスネットワークの作成

12. 注意点：エンドポイントポリシー非対応

13. アクセス制御：SG, LatticeサービスネットワークIAM認証 type : PostgreSQL protocol : TCP port :

    5432 source : CloudShell SG type : PostgreSQL protocol : TCP port : 5432 source : RGW SG （インバウンドルール：なし）

14. 疎通確認

15. ③ Lattice サービス 1. ターゲットグループ 2. Lattice サービス 3. Lattice

    サービスネットワーク

16. ターゲットグループの作成 Amazon Aurora は VPC 内に DB クラスターを作成する際に、 DB サブネットグループの

    IP アドレスを使用して DB クラスターにネットワークインターフェースを割り当てます。ただし、 DB クラスターへの接続にはドメインネームシステ ム (DNS) 名を使用することを強くお勧めします。これは、フェイルオーバー時に基盤となる IP アドレスが変更される ためです。

17. Lattice サービスの作成

18. Lattice サービスネットワークの作成

19. アクセス制御: SG, LatticeサービスネットワークIAM認証 （インバウンドルール：なし）

20. 疎通確認 サービスネットワークのドメイン名でアクセスする

21. 制約 • Resource 型 VPC エンドポイントと RGW は少なくとも1つの AZ が重複している必

    要がある • RGW を作成するにはサブネットで /28 ブロックが必要 • ターゲットグループは複数リスナーへの関連付けが不可 • 1 VPC に関連付けられる Lattice サービスネットワークは1つだけ

22. まとめ • VPC エンドポイントと VPC Lattice を用いて異なるVPCのプライベートリソースに アクセスする方法を学習した • IAM,

    SG でアクセス制御可能なリソースを洗い出し,今回は後者のみの構築となっ たがセキュアな環境を構築できた • VPC ピアリング異なり, CIDR 重複を気にしなくてOK • Resource 型 / Service Network 型 VPCエンドポイント, VPC Latticeを適切に使 い分けられるかが課題

23. さいごに • Zenn https://zenn.dev/kubo_gene • X https://x.com/kubo_gene

24. finish