Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ALB「証明書上限問題」からの脱却
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
muso
January 16, 2026
Technology
0
290
ALB「証明書上限問題」からの脱却
Road to SRE NEXT 2026 @京都の発表資料
muso
January 16, 2026
Tweet
Share
More Decks by muso
See All by muso
Railsアプリの画像配信最適化 - Imgproxyを活用したパフォーマンス改善事例
nishiokashinji
0
34
Other Decks in Technology
See All in Technology
競争優位を生み出す戦略的内製開発の実践技法
masuda220
PRO
2
520
ヘルシーSRE
tk3fftk
2
220
オンプレとGoogle Cloudを安全に繋ぐための、セキュア通信の勘所
waiwai2111
3
1.1k
AIエンジニア Devin と歩む、自律型運用プロセスの構築
a2ito
0
530
LINEヤフーにおけるAI駆動開発組織のプロデュース施策
lycorptech_jp
PRO
0
350
どこで打鍵するのが良い? IaCの実行基盤選定について
nrinetcom
PRO
2
110
AWS CDK の目玉新機能「Mixins」とは / cdk-mixins
gotok365
2
310
脱・コピペ!自分で調べて書くK8sマニフェスト
devops_vtj
0
100
バクラクのSREにおけるAgentic AIへの挑戦/Our Journey with Agentic AI
taddy_919
2
910
Bill One 開発エンジニア 紹介資料
sansan33
PRO
5
18k
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
14k
なぜAIは組織を速くしないのか 令和の腑分け
sugino
81
53k
Featured
See All Featured
Darren the Foodie - Storyboard
khoart
PRO
3
2.7k
RailsConf 2023
tenderlove
30
1.4k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
24k
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
300
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
340
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.9k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.3k
Prompt Engineering for Job Search
mfonobong
0
180
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
130
Test your architecture with Archunit
thirion
1
2.2k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
130
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
110
Transcript
ALB 「証明書上限問題」からの脱却 Road to SRE NEXT 2026 @ 京都 2026/1/16
自己紹介 活動名 無双(@nishi_okashi ) 住まい 兵庫県
前提となるお話 オンラインコミュニティサイト構築アプリ 「独自ドメイン提供」サービス お客様の好きなドメインで運用可能
課題:ALB の限界との戦い 顧客ドメインごとに SSL 証明書が必要 ここでクイズです Q. ALB にアタッチできる証明書の上限は?
A. デフォルト 25 枚
泥沼の戦い 1. 緩和申請で 100 枚 まで増枠 2. 2 台目のALB を投入
3. そして 3 台目 の足音が… 「これ、いつまで続けるの?」
解決策:NLB + Caddy NLB (Network Load Balancer) Caddy Go 製のWeb
サーバー 自動HTTPS 機能が強力
新アーキテクチャ
アーキテクチャのポイント いきなりアプリに繋ぐのではなく、既存ALB を挟む WAF やターゲットグループなどの既存資産を有効活用
移行の課題 「ダウンタイムゼロ」 で切り替えたい 手間なく証明書を発行したい http-01 チャレンジ 移行には DNS 切り替え が必要
しかし切り替え直後は証明書がない → ユーザーは SSL エラー になる
解決策:事前発行トリック 「既存のALB を経由して、新環境の証明書を作 る」 旧環境が稼働したまま、特定のアクセスだけを新環境へ転送するアプ ローチ
None
いざ、切り替え 裏で証明書確保は完了している あとは DNS をNLB へ向けるだけ → ダウンタイムゼロで移行完了!
ところでDNS の話 2 種類の方法で運用
Before: CNAME パターン A レコードはIP アドレスしか設定できない ALB のIP は定期的に変わる AWS
にはエイリアスレコードというものがあり、ALB のドメインを 登録できる 顧客全員がAWS を利用しているわけではない 解決策として弊社側でALB へ転送するドメインを用意し、顧客に CNAME 登録してもらっていた
弊社側 domain type value alb.example.com A ( エイリアスレコー ド) ALB
のデフォルトドメイ ン 顧客側 domain type value community.client.com CNAME alb.example.com これ以外にもACM 検証用のドメインを登録
Before: NS パターン CNAME が登録できない場合(ネイキッドドメイン) 、弊社へNS を向け てもらい、弊社側でレコードを登録していた
弊社側 domain type value client.com A ( エイリアスレコード) ALB のデフォルトドメイン
顧客側 domain type value client.com NS ns-xxx.awsdns-xx.com レコード管理が弊社になるので、レコード追加する必要が出た時、弊 社が対応しないといけない
After: シンプル NLB = Elastic IP ( 固定IP) ドメインの種類に関わらず… 「A
レコードでIP を向けるだけ」 顧客への案内フローが劇的に簡略化!
まとめ 課題: ALB の証明書枚数制限、管理コスト 解決: NLB + Caddy 構成への刷新 工夫:
既存ALB を活用した事前発行トリック 副産物: 固定IP 化で顧客のDNS 設定が単純化 インフラ改善がオンボーディング工数削減に繋 がった!
ご清聴ありがとうございました
nishiokashinji
masuda220
tk3fftk
waiwai2111
a2ito
lycorptech_jp
nrinetcom
gotok365
devops_vtj
taddy_919
sansan33
sugino
khoart
tenderlove
addyosmani
rkendrick25
marktimemedia
reverentgeek
tammyeverts
mfonobong
.png){kind=avatar}
helenjbeal
thirion
sarafernandez
jdejongh
