Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ネットワークの新要素ResourceGateway&Configuration関連アップデート
Search
t-kikuchi
December 10, 2024
0
2.5k
ネットワークの新要素ResourceGateway&Configuration関連アップデート
ネットワークの新要素ResourceGateway&Configuration関連アップデート
t-kikuchi
December 10, 2024
Tweet
Share
More Decks by t-kikuchi
See All by t-kikuchi
ClaudeCode_vs_GeminiCLI_Terraformで比較してみた
tkikuchi
1
6.9k
AWSLambdaMCPServerを使ってツールとMCPサーバを分離する
tkikuchi
1
4.3k
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
4
820
塩野義製薬様のAWS統合管理戦略:Organizations設計と運用の具体例
tkikuchi
0
920
JAWSPANKRATION2024-ECS Best Practice All on board(english)
tkikuchi
0
980
JAWSPANKRATION2024-ECS Best Practice All on board(japanese)
tkikuchi
0
740
AWSOrganizationsユースケースで学ぶAWSアカウント管理ベストプラクティス
tkikuchi
1
1.2k
AWS Organizationsありなしパターン別AWSのマルチアカウント管理Tips
tkikuchi
2
1.1k
GuardDutyとSysdigのランタイムセキュリティ機能を比較してみる
tkikuchi
1
1.9k
Featured
See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
57
5.8k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
Rails Girls Zürich Keynote
gr2m
95
14k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.9k
The Cost Of JavaScript in 2023
addyosmani
53
8.9k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
23
1.4k
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.4k
Side Projects
sachag
455
43k
Designing for humans not robots
tammielis
253
25k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
3.1k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
YesSQL, Process and Tooling at Scale
rocio
173
14k
Transcript
2024/12/10 AWS事業本部コンサルティング部 菊池 聡規 ネットワークの新要素! Resource Gateway&Configuration 関連アップデートまとめ
⾃⼰紹介 2 • 2008年 オンプレエンジニア時代 • 2019年 転職しAWSに初めて触る • 2022年 クラスメソッド AWS事業本部にジョイン ◦
AWSコンサルティング業務を担当 • 2024年 2024 Japan AWS Top Engineer(Security)に選出 • 部署 ◦ AWS事業本部 • 名前(ニックネーム) ◦ 菊池聡規(としさん) • Xアカウント ◦ https://x.com/tttkkk215 • 好きな技術 ◦ コンテナ、Terraform
はじめに • re:Invent期間中にあったネットワーク系のアップデート ◦ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent
| DevelopersIO ◦ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO ◦ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ◦ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO
はじめに • re:Invent期間中にあったネットワーク系のアップデート ◦ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent
| DevelopersIO ◦ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO ◦ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ◦ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO このうちの3つがResource Gateway、 Resource Configureが 関連してるアップデート!
アップデート概要 • 【アップデート】AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO • [アップデート] Amazon
VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO ◦ どちらも別のVPCに対して1⽅向のアクセスを提供するためのもの ◦ 今まではPrivateLinkではNLBやGWLBが、VPC LatticeではServiceが必要だった ▪ これらの代わりにResource Configurationが使えるようになった!
アップデート概要 • [アップデート]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ 前提としてResource Configurationが必要 ◦
EventBridgeの「接続」メニューからResource Configurationを指定してプ ライベートAPIを作成する ◦ 作成したプライベートAPIをEventBridgeやStepFunctionsから呼び出せる
通信の流れ • 送信元リソース ⇒ VPCエンドポイント ⇒ Resource Gateway ⇒ 宛先リソース
• セキュリティグループ考慮ポイント ◦ Resource GatewayのインバウンドルールはなしでOK ▪ アウトバウンドルールは宛先リソースのCIDRレンジとポートで絞るのが推奨とのこと ◦ 宛先リソースのインバウンドルールにはResource Gatewayにつけたセキュリティグループを送信元として許可 ※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
Resource Configurationとは • 他のVPCから通信させたい宛先(リソース)を指定するもの • 後述するResource Gatewayはここで指定したIPアドレス等を宛先として通信を中 継 ※[アップデート] Amazon
VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
Resource Configurationとは • 指定出来る宛先 ◦ VPC内のプライベートIPアドレス ◦ DNS名:パブリックに解決できるもののみ。名前の最後にaws.comや amazonaws.comがつくものは不可 ▪
ここで登録したDNS名で別VPCリソースからアクセスできるわけ ではない点に注意 ▪ プライベート ホスト ゾーンのサポートにはすでに取り組んでいま す。とのこと ◦ ARN:サポートされているもののみ。⾃分が確認できたのはRDSのみ
Resource Configurationとは • ConfigurationType ◦ Resource Configurationはグループにまとめることもできる。グループにまとめた場合、グループ単位で VPCエンドポイント作成やRAM共有が可能 ◦ ARNタイプのResource
ConfigurationはAWS側で設定したグループを登録している(例:Auroraならク ラスターエンドポイントとリーダーエンドポイントがグループとして登録)
Resource Gatewayとは • 宛先リソースへの⼊⼝ • 他VPCから来た通信はまずResourceGatewayに⼊り、そこからResourceConfigurationで指定した宛先にデータ送信する ◦ そのため宛先リソースへの通信の送信元IPはResourceGatewayになる • 実体としては複数AZに配置されたENI
※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
3つの構成パターン • PrivateLinkのみで構成
3つの構成パターン • VPC Lattice ServiceNetworkとVPC Endpointで構成
3つの構成パターン • VPC Lattice ServiceNetworkとServiceNetworkのVPC関連付けで構成
3つの構成パターン • ⽐較 PrivateLink VPC Lattice+VPC Endpoint VPC Lattice IAMによるアクセス
認証 なし あり あり リソースポリシー VPCエンドポイントのポリ シー VPCエンドポイントのポリシー及び ServiceNetworkのポリシー ServiceNetworkのポリシー 他アカウントへ共有 できる単位 Resource Configuration Service Network, Resource Configuration Service Network, Resource Configuration 価格 ResourceEndpoint: $0.028/h $0.01/GB ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB もしかしたらEndpoint料⾦もかかるかも? ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB
None