Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ネットワークの新要素ResourceGateway&Configuration関連アップデート
Search
t-kikuchi
December 10, 2024
0
1.3k
ネットワークの新要素ResourceGateway&Configuration関連アップデート
ネットワークの新要素ResourceGateway&Configuration関連アップデート
t-kikuchi
December 10, 2024
Tweet
Share
More Decks by t-kikuchi
See All by t-kikuchi
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
3
610
塩野義製薬様のAWS統合管理戦略:Organizations設計と運用の具体例
tkikuchi
0
540
JAWSPANKRATION2024-ECS Best Practice All on board(english)
tkikuchi
0
710
JAWSPANKRATION2024-ECS Best Practice All on board(japanese)
tkikuchi
0
500
AWSOrganizationsユースケースで学ぶAWSアカウント管理ベストプラクティス
tkikuchi
1
720
AWS Organizationsありなしパターン別AWSのマルチアカウント管理Tips
tkikuchi
1
560
GuardDutyとSysdigのランタイムセキュリティ機能を比較してみる
tkikuchi
1
1.6k
AWS Healthの通知の実装について考えてみた
tkikuchi
0
2k
developersio-2023-aws-api-publication-checklist
tkikuchi
11
9.3k
Featured
See All Featured
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.4k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
The Language of Interfaces
destraynor
156
24k
Documentation Writing (for coders)
carmenintech
67
4.6k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.7k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Thoughts on Productivity
jonyablonski
69
4.4k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Into the Great Unknown - MozCon
thekraken
35
1.6k
Git: the NoSQL Database
bkeepers
PRO
427
64k
Optimising Largest Contentful Paint
csswizardry
34
3.1k
Transcript
2024/12/10 AWS事業本部コンサルティング部 菊池 聡規 ネットワークの新要素! Resource Gateway&Configuration 関連アップデートまとめ
⾃⼰紹介 2 • 2008年 オンプレエンジニア時代 • 2019年 転職しAWSに初めて触る • 2022年 クラスメソッド AWS事業本部にジョイン ◦
AWSコンサルティング業務を担当 • 2024年 2024 Japan AWS Top Engineer(Security)に選出 • 部署 ◦ AWS事業本部 • 名前(ニックネーム) ◦ 菊池聡規(としさん) • Xアカウント ◦ https://x.com/tttkkk215 • 好きな技術 ◦ コンテナ、Terraform
はじめに • re:Invent期間中にあったネットワーク系のアップデート ◦ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent
| DevelopersIO ◦ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO ◦ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ◦ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO
はじめに • re:Invent期間中にあったネットワーク系のアップデート ◦ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent
| DevelopersIO ◦ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO ◦ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ◦ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO このうちの3つがResource Gateway、 Resource Configureが 関連してるアップデート!
アップデート概要 • 【アップデート】AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO • [アップデート] Amazon
VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO ◦ どちらも別のVPCに対して1⽅向のアクセスを提供するためのもの ◦ 今まではPrivateLinkではNLBやGWLBが、VPC LatticeではServiceが必要だった ▪ これらの代わりにResource Configurationが使えるようになった!
アップデート概要 • [アップデート]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ 前提としてResource Configurationが必要 ◦
EventBridgeの「接続」メニューからResource Configurationを指定してプ ライベートAPIを作成する ◦ 作成したプライベートAPIをEventBridgeやStepFunctionsから呼び出せる
通信の流れ • 送信元リソース ⇒ VPCエンドポイント ⇒ Resource Gateway ⇒ 宛先リソース
• セキュリティグループ考慮ポイント ◦ Resource GatewayのインバウンドルールはなしでOK ▪ アウトバウンドルールは宛先リソースのCIDRレンジとポートで絞るのが推奨とのこと ◦ 宛先リソースのインバウンドルールにはResource Gatewayにつけたセキュリティグループを送信元として許可 ※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
Resource Configurationとは • 他のVPCから通信させたい宛先(リソース)を指定するもの • 後述するResource Gatewayはここで指定したIPアドレス等を宛先として通信を中 継 ※[アップデート] Amazon
VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
Resource Configurationとは • 指定出来る宛先 ◦ VPC内のプライベートIPアドレス ◦ DNS名:パブリックに解決できるもののみ。名前の最後にaws.comや amazonaws.comがつくものは不可 ▪
ここで登録したDNS名で別VPCリソースからアクセスできるわけ ではない点に注意 ▪ プライベート ホスト ゾーンのサポートにはすでに取り組んでいま す。とのこと ◦ ARN:サポートされているもののみ。⾃分が確認できたのはRDSのみ
Resource Configurationとは • ConfigurationType ◦ Resource Configurationはグループにまとめることもできる。グループにまとめた場合、グループ単位で VPCエンドポイント作成やRAM共有が可能 ◦ ARNタイプのResource
ConfigurationはAWS側で設定したグループを登録している(例:Auroraならク ラスターエンドポイントとリーダーエンドポイントがグループとして登録)
Resource Gatewayとは • 宛先リソースへの⼊⼝ • 他VPCから来た通信はまずResourceGatewayに⼊り、そこからResourceConfigurationで指定した宛先にデータ送信する ◦ そのため宛先リソースへの通信の送信元IPはResourceGatewayになる • 実体としては複数AZに配置されたENI
※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
3つの構成パターン • PrivateLinkのみで構成
3つの構成パターン • VPC Lattice ServiceNetworkとVPC Endpointで構成
3つの構成パターン • VPC Lattice ServiceNetworkとServiceNetworkのVPC関連付けで構成
3つの構成パターン • ⽐較 PrivateLink VPC Lattice+VPC Endpoint VPC Lattice IAMによるアクセス
認証 なし あり あり リソースポリシー VPCエンドポイントのポリ シー VPCエンドポイントのポリシー及び ServiceNetworkのポリシー ServiceNetworkのポリシー 他アカウントへ共有 できる単位 Resource Configuration Service Network, Resource Configuration Service Network, Resource Configuration 価格 ResourceEndpoint: $0.028/h $0.01/GB ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB もしかしたらEndpoint料⾦もかかるかも? ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB
None