Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ネットワークの新要素ResourceGateway&Configuration関連アップデート
Search
t-kikuchi
December 10, 2024
0
1.8k
ネットワークの新要素ResourceGateway&Configuration関連アップデート
ネットワークの新要素ResourceGateway&Configuration関連アップデート
t-kikuchi
December 10, 2024
Tweet
Share
More Decks by t-kikuchi
See All by t-kikuchi
AWSLambdaMCPServerを使ってツールとMCPサーバを分離する
tkikuchi
1
3k
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
3
690
塩野義製薬様のAWS統合管理戦略:Organizations設計と運用の具体例
tkikuchi
0
720
JAWSPANKRATION2024-ECS Best Practice All on board(english)
tkikuchi
0
810
JAWSPANKRATION2024-ECS Best Practice All on board(japanese)
tkikuchi
0
590
AWSOrganizationsユースケースで学ぶAWSアカウント管理ベストプラクティス
tkikuchi
1
880
AWS Organizationsありなしパターン別AWSのマルチアカウント管理Tips
tkikuchi
1
740
GuardDutyとSysdigのランタイムセキュリティ機能を比較してみる
tkikuchi
1
1.7k
AWS Healthの通知の実装について考えてみた
tkikuchi
0
2.2k
Featured
See All Featured
Embracing the Ebb and Flow
colly
85
4.6k
Into the Great Unknown - MozCon
thekraken
37
1.7k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.2k
The Language of Interfaces
destraynor
157
25k
Become a Pro
speakerdeck
PRO
27
5.3k
Java REST API Framework Comparison - PWX 2021
mraible
30
8.5k
The Pragmatic Product Professional
lauravandoore
33
6.5k
It's Worth the Effort
3n
184
28k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
30k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Transcript
2024/12/10 AWS事業本部コンサルティング部 菊池 聡規 ネットワークの新要素! Resource Gateway&Configuration 関連アップデートまとめ
⾃⼰紹介 2 • 2008年 オンプレエンジニア時代 • 2019年 転職しAWSに初めて触る • 2022年 クラスメソッド AWS事業本部にジョイン ◦
AWSコンサルティング業務を担当 • 2024年 2024 Japan AWS Top Engineer(Security)に選出 • 部署 ◦ AWS事業本部 • 名前(ニックネーム) ◦ 菊池聡規(としさん) • Xアカウント ◦ https://x.com/tttkkk215 • 好きな技術 ◦ コンテナ、Terraform
はじめに • re:Invent期間中にあったネットワーク系のアップデート ◦ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent
| DevelopersIO ◦ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO ◦ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ◦ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO
はじめに • re:Invent期間中にあったネットワーク系のアップデート ◦ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent
| DevelopersIO ◦ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO ◦ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ◦ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO このうちの3つがResource Gateway、 Resource Configureが 関連してるアップデート!
アップデート概要 • 【アップデート】AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO • [アップデート] Amazon
VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO ◦ どちらも別のVPCに対して1⽅向のアクセスを提供するためのもの ◦ 今まではPrivateLinkではNLBやGWLBが、VPC LatticeではServiceが必要だった ▪ これらの代わりにResource Configurationが使えるようになった!
アップデート概要 • [アップデート]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ 前提としてResource Configurationが必要 ◦
EventBridgeの「接続」メニューからResource Configurationを指定してプ ライベートAPIを作成する ◦ 作成したプライベートAPIをEventBridgeやStepFunctionsから呼び出せる
通信の流れ • 送信元リソース ⇒ VPCエンドポイント ⇒ Resource Gateway ⇒ 宛先リソース
• セキュリティグループ考慮ポイント ◦ Resource GatewayのインバウンドルールはなしでOK ▪ アウトバウンドルールは宛先リソースのCIDRレンジとポートで絞るのが推奨とのこと ◦ 宛先リソースのインバウンドルールにはResource Gatewayにつけたセキュリティグループを送信元として許可 ※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
Resource Configurationとは • 他のVPCから通信させたい宛先(リソース)を指定するもの • 後述するResource Gatewayはここで指定したIPアドレス等を宛先として通信を中 継 ※[アップデート] Amazon
VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
Resource Configurationとは • 指定出来る宛先 ◦ VPC内のプライベートIPアドレス ◦ DNS名:パブリックに解決できるもののみ。名前の最後にaws.comや amazonaws.comがつくものは不可 ▪
ここで登録したDNS名で別VPCリソースからアクセスできるわけ ではない点に注意 ▪ プライベート ホスト ゾーンのサポートにはすでに取り組んでいま す。とのこと ◦ ARN:サポートされているもののみ。⾃分が確認できたのはRDSのみ
Resource Configurationとは • ConfigurationType ◦ Resource Configurationはグループにまとめることもできる。グループにまとめた場合、グループ単位で VPCエンドポイント作成やRAM共有が可能 ◦ ARNタイプのResource
ConfigurationはAWS側で設定したグループを登録している(例:Auroraならク ラスターエンドポイントとリーダーエンドポイントがグループとして登録)
Resource Gatewayとは • 宛先リソースへの⼊⼝ • 他VPCから来た通信はまずResourceGatewayに⼊り、そこからResourceConfigurationで指定した宛先にデータ送信する ◦ そのため宛先リソースへの通信の送信元IPはResourceGatewayになる • 実体としては複数AZに配置されたENI
※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
3つの構成パターン • PrivateLinkのみで構成
3つの構成パターン • VPC Lattice ServiceNetworkとVPC Endpointで構成
3つの構成パターン • VPC Lattice ServiceNetworkとServiceNetworkのVPC関連付けで構成
3つの構成パターン • ⽐較 PrivateLink VPC Lattice+VPC Endpoint VPC Lattice IAMによるアクセス
認証 なし あり あり リソースポリシー VPCエンドポイントのポリ シー VPCエンドポイントのポリシー及び ServiceNetworkのポリシー ServiceNetworkのポリシー 他アカウントへ共有 できる単位 Resource Configuration Service Network, Resource Configuration Service Network, Resource Configuration 価格 ResourceEndpoint: $0.028/h $0.01/GB ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB もしかしたらEndpoint料⾦もかかるかも? ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB
None