Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
re:Growth infra 2020
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
mokonist
February 09, 2021
Technology
4.8k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
re:Growth infra 2020
mokonist
February 09, 2021
More Decks by mokonist
See All by mokonist
devio-2024-Introduction-golang-backend
mokocm
7
4.8k
Google Cloud Next '24 Recap(Cloud Run/k8s)
mokocm
0
1.2k
1年間モダンなアプリへの移行支援をやってみて分かった、モダナイズの重要性と難しさ
mokocm
1
1.6k
レガシーシステム、モダナイズへの道筋
mokocm
0
1.8k
Application Composerのすすめ
mokocm
0
1.5k
devio-2022-sapporo-moko.pdf
mokocm
2
170
DeepDive into Modern Development with AWS
mokocm
1
1.4k
IaCで全てが上手くいくと思うなよ_失敗事例のご紹介.pdf
mokocm
0
9.7k
入社1年でAWS資格フルコンプして本書いた話
mokocm
0
3.9k
Other Decks in Technology
See All in Technology
アラート調査向けAIエージェントの本番導入とその後/AI Agents for Alert Investigation: Production Deployment and After
taddy_919
1
320
從觀望到全公司落地:AI Agentic Coding 導入實戰 — 流程整合與安全治理
appleboy
1
530
背中から、背中へ /paying forward to community
naitosatoshi
0
210
AIをフル活用してオンコール機能のプロトタイプを2日で作った話 / Building an AI-Powered On-Call Prototype in Just Two Days
nari_ex
0
170
Kotlin 開発のツラミを爆破した話! / Explode the difficulty of Kotlin dev!
eller86
0
130
飲食店もAIで。レジ締めやハンディシステムをつくってる話 / Using AI for restaurant management
vtryo
0
230
NDIAS CTF 2026 問題解説会資料
bata_24
0
160
デジタル・デザイン:次の50年を描く「進化する青写真」
y150saya
0
780
打造你的 AI 工作流:Agent Skill + MCP 實戰工作坊
appleboy
0
360
AIに障害切り分けを全部やってもらった。 。 。 。
estie
0
330
水を運ぶ人としてのリーダーシップ
izumii19
4
1.2k
“全部コピーしない”ファイルデータの活用 : — FSx for ONTAP × S3 Tables × Icebergで作るメタデータカタログ
yoshiki0705
0
270
Featured
See All Featured
Facilitating Awesome Meetings
lara
57
7k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
340
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
From π to Pie charts
rasagy
0
220
How STYLIGHT went responsive
nonsquared
100
6.2k
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
350
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
250
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
Code Review Best Practice
trishagee
74
20k
Six Lessons from altMBA
skipperchong
29
4.3k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
180
The Spectacular Lies of Maps
axbom
PRO
1
840
Transcript
AWS Network FirewallでSquidを滅ぼす AWS事業本部コンサルティング部 2021/02/05 1 @mokocm
2 セッションタイトル変更 AWS Network FirewallでSquidを滅ぼす AWS Network FirewallでSquidを滅ぼそうとし たらTransit Gatewayがムズすぎた
3 ⾃⼰紹介 Moko クラスメソッド株式会社 AWS事業本部 コンサルティング部 ソリューションアーキテクト 2020 APN AWS
Top Engineers ⼊社: 2019/07 本業/趣味: TerraformでAWS環境の構築 Twitter/GitHub: @mokocm 好きなAWSサービス: AWS Global Accelerator 好きな⾔語: TypeScript
4 re:Invent 2020 アツかったですね
5 AWS Network Firewall
6 AWS Network Firewall ・マネージドなNetwork Firewall ・これまでSquidなどで通信制御していた方は朗報 ・一元的なNetwork Hub /
Network Firewallを実現可能 ・NAT Gatewayが無料で使える ・NAT Gateway: $0.045/h, $0.045/GB ・Network Firewall: $0.395/h, $0.065/GB →+$0.35/h, $0.02/GBでNetwork Firewallが利⽤可能 ※料金は2021/01/04時点でのus-east-1の価格 ※1AZの料金
7 今⽇話すこと ・Network Firewallの経路についておさらい ・Network Firewallのルールについて ・シンプルな構成で作ってみる ・Transit Gatewayを用いたパターンの紹介
8 構成図
9 Inbound
10 Inbound
11 Inbound ✅
12 Inbound
13 Inbound
14 Inbound
15 Outbound
16 Outbound
17 Outbound ✅
18 Outbound
19 Outbound
20 Outbound
21 AWS Network Firewall ・VPC Ingress Routing 2019/09 GA ・Gateway
Load Balancer 2020/11 GA
22 Network Firewallで設定出来ること ・Stateless Rule Group ・5-tuple ルール ・Network ACLみたいな感じでプロトコル等でルール設定
・StateFul Rule Group ・5-tuple ルール ・ドメインリストルール ・Suricata IPS 互換 ルール 詳細: https://dev.classmethod.jp/articles/aws-network-firewall/
23 とりあえず やってみよう︕
24 Network Firewall 最低限のレシピ ・VPC 1個 ・Subnet 2個 ・Internet Gateway
1個 ・RouteTable 3個 ・Network Firewall 1個 ・疎通確認用EC2 1台
25 作った構成 ※SingleAZ ※ Public IPが必要 ※一旦ルール設定なし
26 接続確認 $ curl -I https://example.com –m 10 HTTP/2 200
content-encoding: gzip accept-ranges: bytes age: 544590 cache-control: max-age=604800 content-type: text/html; charset=UTF-8 date: Thu, 04 Feb 2021 16:36:34 GMT etag: "3147526947" expires: Thu, 11 Feb 2021 16:36:34 GMT last-modified: Thu, 17 Oct 2019 07:18:26 GMT server: ECS (dcb/7EA7) x-cache: HIT content-length: 648 SSHできてインターネットにも出れる
27 Stateful Rule 投⼊
28 接続確認 $ curl -I https://example.com -m 10 curl: (28)
Operation timed out after 10001 milliseconds with 0 out of 0 bytes received Drop!
29 Transit Gatewayと 合わせて使うパターン
30 元ネタ ・Deployment models for AWS Network Firewall https://aws.amazon.com/jp/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/ ・とても詳細にまとまっているので導入の際は是非ご覧下さい
・3つのパターンが紹介されている ・Distributed AWS Network Firewall deployment model ・各VPCにNetwork FirewallをDeployする(TGWを使わない) ・Centralized deployment model ・TGWでVPC間/Ingress/Egress/on-premisesを 集約してNetwork Firewallに通す ・Combined centralized and distributed deployment model ・VPC内通信、Ingress、EgressのNetwork Firewallを別ける ・一部VPCは個別でIGWとNetwork Firewallがある
31 理解するまで4時間くらい掛かったので 10分で解説します
32 ⽐較 ・Distributed AWS Network Firewall deployment model ・各VPCにNetwork FirewallをDeployする(TGWを使わない)
・Centralized deployment model ・TGWでVPC間/Ingress/Egress/on-premisesを 集約してNetwork Firewallに通す ・Combined centralized and distributed deployment model ・VPC内通信、Ingress、EgressのNetwork Firewallを別ける ・一部VPCは個別でIGWとNetwork Firewallがある https://aws.amazon.com/jp/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/
33 Distributed AWS Network Firewall deployment model https://aws.amazon.com/jp/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/
34 ⽐較 ・Distributed AWS Network Firewall deployment model ・各VPCにNetwork FirewallをDeployする(TGWを使わない)
・Centralized deployment model ・TGWでVPC間/Ingress/Egress/on-premisesを 集約してNetwork Firewallに通す ・Combined centralized and distributed deployment model ・VPC内通信、Ingress、EgressのNetwork Firewallを別ける ・一部VPCは個別でIGWとNetwork Firewallがある https://aws.amazon.com/jp/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/
35 Centralized deployment model https://aws.amazon.com/jp/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/
36 ⽐較 ・Distributed AWS Network Firewall deployment model ・各VPCにNetwork FirewallをDeployする(TGWを使わない)
・Centralized deployment model ・TGWでVPC間/Ingress/Egress/on-premisesを 集約してNetwork Firewallに通す ・Combined centralized and distributed deployment model ・VPC内通信、Ingress、EgressのNetwork Firewallを別ける ・一部VPCは個別でIGWとNetwork Firewallがある https://aws.amazon.com/jp/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/
37 Combined centralized and distributed deployment model https://aws.amazon.com/jp/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/
38 Network Firewall + Transit Gateway設計の留意点 ・CIDRが被らないこと(あたりまえ) ・Transit GatewayはAttach用のサブネットを作ること(/28) ・Network
Firewallのサブネットも/28でOK ・ELBのIngress集約はAutoScalingだと一工夫必要かも。 ・ex. AutoScalingがあるVPCにNLB配置 ・ Ingressの集約VPCにNLBのIPを ・詳細は後日ブログにします ・※構成図はSingleAZ, 実環境はMultiAZで組む
39 AWS Network Firewall まとめ ・Network Firewallはネットワークの門番 ・ManagedなのでSquidなどのProxy運用をしなくて良い ・トラフィックに対して完全に透過で、NATを行わない ・Route
Table / VPC Ingress RoutingでVPCEに送る ・Transit Gatewayと合わせて使うと便利 ・経路の設計が難しい ・Squidやめる話をしようとしたのに気がついたらTGWの経路の話になってた ・東京リージョン対応待ってます!!!!
40 参考 [新サービス] VPC 向け AWS マネージドファイアウォールサービス「AWS Network Firewall」がリ リースされました
https://dev.classmethod.jp/articles/aws-network-firewall/ AWS Network Firewall – New Managed Firewall Service in VPC https://aws.amazon.com/jp/blogs/aws/aws-network-firewall-new-managed-firewall-service-in- vpc/ Deployment models for AWS Network Firewall https://aws.amazon.com/jp/blogs/networking-and-content-delivery/deployment-models-for- aws-network-firewall/ What is AWS Network Firewall? https://docs.aws.amazon.com/network-firewall/latest/developerguide/ Resource: aws_networkfirewall_firewall https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/networkfirewall_fire wall
41