2024AWSで個人的にアツかったアップデート

Toranomon Tech Hub 2024 AWSで個人的にアツかったアップデート 2025/1/20 五味なぎさ

自己紹介  所属：某SIer＠虎ノ門ビジネスタワー勤務  職種：インフラ部門クラウドアーキテクト最近はパブリッククラウド案件推進部署のマネージャー業が中心  趣味：キックボクシング・離島でダイビング  好きなパブリッククラウド：AWS（特にNW系サービス）
 その他：JAWS-UGクラウド女子会運営、2024 Japan AWS Top Engineer、 2022/2023/2024 Japan AWS All Certifications Engineers、（2025も目指すために今年度中にあと2資格．．．） OCIも勉強中  X（旧Twitter）：@nagisa_53

個人的にアツかったアップデート of the yearは．．．

 CloudFrontからVPCのプライベートサブネットにある ALB、NLB、EC2 へ直接接続できるようになりました Amazon CloudFront が VPC Originに対応 AWS
Cloud Virtual private cloud (VPC) Private subnet Amazon CloudFront Application Load Balancer Instances Origin

 これまでCloudFrontのOriginとしてVPC上のリソースを利用する場合、パブリックサブネットにパブリックIPアドレスを持つリソース（ALB/NLB/EC2等）が必要だった  デメリット①：セキュリティ面 OriginとなるVPC内のリソースをインターネットにさらす必要があった  OriginのSecurity GroupでManaged
Prefix List（CloudFrontで利用されるIPアドレス群のセット）に送信元を絞ることは可能だが、自アカウント以外の CloudFrontからも接続可能  HTTP Headerによる接続制限の方法も取れるがHeader流出等の懸念なぜアツい？

 これまでCloudFrontのOriginとしてVPC上のリソースを利用する場合、パブリックサブネットにパブリックIPアドレスを持つリソース（ALB/NLB/EC2等）が必要だった  デメリット②：コスト面パブリックIPアドレスの利用が必須  2024/2/1～ AWSにおいてパブリックIPv4アドレスが有償化されているため、
CloudFrontのOriginとして利用するVPC上のリソースの内、少なくともインターネットに接するリソースについてはパブリックIPv4アドレスのコストが発生なぜアツい？

 今回のアップデートにより、VPC内のOriginをインターネットに直接さらす必要がなくなり、また、外部公開向けにVPC内リソースへのパブリックIPアドレス付与が必須ではなくなったなぜアツい？

 前提として事前に以下のリソースを準備します  VPC  プライベートサブネット  オリジンとなるInternal ALB（今回はALBから固定レスポンスを返す形で検証） 
Internet Gateway  ユーザ側でIGW向けのルート設定は不要だが、AWS内部の通信で利用されている模様  最初作成し忘れており怒られました．．．実際に触ってみた

 大まかな流れ ① Cloud FrontでVPC Originを作成  作成が完了するとVPCの指定したオリジンと同じサブネットにVPC Origin用のENIが作成される（専用のSecurity
Groupも併せて作成される） ② オリジンとなるInternal ALBのSecurity Groupに①で作られたSGからInbound通信を許可するルールを適用  OriginのSGではVPC OriginのENIに付与されるSGからのInbound通信だけ許可すれば疎通可能。以下Developer Guideより。 ③ ①で作成したVPC Originを利用するCloud Frontディストリビューションを作成実際に触ってみた

 無事に疎通実際に触ってみた

 パブリックサブネット作成の必要性が下がった  Outbound通信も考慮すると必ずしも無くせるとは限らないが、少なくとも Inbound通信における必要性は本アップデートで下がった  今後のAWS NWアーキテクチャのベストプラクティスに影響！？本アップデートによる影響

 異なるVPCでのSecurity Groupの共有（2024/10/31）  これまではVPCごとにSecurity Groupを作る必要があったが共有可能に  Amazon VPCブロックパブリックアクセス（2024/11/20） 
VPCのパブリックアクセスを統一的にブロック  VPCリソースに対するPrivateLink接続への拡張（2024/12/2）  NLB/GLBを作成せずにPrivateLink経由でVPCリソースに接続可能に  など  これまではできなかった構成の組み方や制御が可能になっているため、 AWSでNW構成を検討する際には今一度最新の情報を確認しましょう！ 2024年は影響の大きいAWS NW領域のアップデートが多数

 14:00～AWS目黒オフィスでのオフライン開催です  エスコート枠（女性参加者1名につき男性も参加できる制度）であれば男性も参加可能です！  申込は1/21（火）中までOKです！ 1/25（土）にJAWS-UGクラウド女子会でイベントやります connpass URL

2024AWSで個人的にアツかったアップデート

2024AWSで個人的にアツかったアップデート

nagisa_53

More Decks by nagisa_53

Other Decks in Technology

Featured

Transcript

Toranomon Tech Hub 2024 AWSで個人的にアツかったアップデート 2025/1/20 五味なぎさ

個人的にアツかったアップデート of the yearは．．．

 CloudFrontからVPCのプライベートサブネットにある ALB、NLB、EC2 へ直接接続できるようになりました Amazon CloudFront が VPC Originに対応 AWS

 今回のアップデートにより、VPC内のOriginをインターネットに直接さらす必要がなくなり、また、外部公開向けにVPC内リソースへのパブリックIPアドレス付与が必須ではなくなったなぜアツい？

 前提として事前に以下のリソースを準備します  VPC  プライベートサブネット  オリジンとなるInternal ALB（今回はALBから固定レスポンスを返す形で検証） 

 大まかな流れ ① Cloud FrontでVPC Originを作成  作成が完了するとVPCの指定したオリジンと同じサブネットにVPC Origin用のENIが作成される（専用のSecurity

 無事に疎通実際に触ってみた

 異なるVPCでのSecurity Groupの共有（2024/10/31）  これまではVPCごとにSecurity Groupを作る必要があったが共有可能に  Amazon VPCブロックパブリックアクセス（2024/11/20） 