Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
これからの設計で変わること pre:invent2024アップデート速報 / pre:inve...
Search
TomoyaKitaura
December 03, 2024
Programming
1
260
これからの設計で変わること pre:invent2024アップデート速報 / pre:invent2024 network update
2024.11.27 しむそくRadio Day2の発表資料です。
TomoyaKitaura
December 03, 2024
Tweet
Share
More Decks by TomoyaKitaura
See All by TomoyaKitaura
New Relicの推せるところ・推せないところ / newrelic good and bad
tomoyakitaura
0
120
サービスレベルを管理してアジャイルを加速しよう!! / slm-accelerate-agility
tomoyakitaura
1
280
「頑張る」を「楽しむ」に変換する技術
tomoyakitaura
18
11k
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives
tomoyakitaura
0
190
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
tomoyakitaura
2
210
LTワークショップ3日目 / LT Workshop Day 3
tomoyakitaura
0
190
LTワークショップ2日目 / LT Workshop Day 2
tomoyakitaura
0
170
LTワークショップ(1日目) / LT workshop day 1
tomoyakitaura
1
210
これまでの監視とクラウド時代の監視 / Monitoring the Past and the Cloud
tomoyakitaura
1
340
Other Decks in Programming
See All in Programming
エンジニアインターン「Treasure」とHonoの2年、そして未来へ / Our Journey with Hono Two Years at Treasure and Beyond
carta_engineering
0
400
O Que É e Como Funciona o PHP-FPM?
marcelgsantos
0
150
釣り地図SNSにおける有料機能の実装
nokonoko1203
0
190
bootcamp2025_バックエンド研修_WebAPIサーバ作成.pdf
geniee_inc
0
120
AkarengaLT vol.38
hashimoto_kei
1
110
NixOS + Kubernetesで構築する自宅サーバーのすべて
ichi_h3
0
1.1k
Leading Effective Engineering Teams in the AI Era
addyosmani
7
560
デミカツ切り抜きで面倒くさいことはPythonにやらせよう
aokswork3
0
260
CSC509 Lecture 07
javiergs
PRO
0
240
タスクの特性や不確実性に応じた最適な作業スタイルの選択(ペアプロ・モブプロ・ソロプロ)と実践 / Optimal Work Style Selection: Pair, Mob, or Solo Programming.
honyanya
3
190
Webサーバーサイド言語としてのRustについて
kouyuume
1
3.8k
CSC305 Lecture 06
javiergs
PRO
0
270
Featured
See All Featured
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.5k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.2k
YesSQL, Process and Tooling at Scale
rocio
173
15k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.2k
Why You Should Never Use an ORM
jnunemaker
PRO
59
9.6k
Docker and Python
trallard
46
3.6k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
132
19k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
Building Flexible Design Systems
yeseniaperezcruz
329
39k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
Six Lessons from altMBA
skipperchong
29
4k
Transcript
これからの設計で変わること ~pre:invent2024アップデート速報~ KDDIアジャイル開発センター株式会社 Tomoya Kitaura しむそくRadio Special DAY2 2024/11/27
自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG
コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic
弊社某ヒーローのつぶやき 3
アジェンダ 4 - 本日の題材となるアーキテクチャ - アップデート紹介 - Amazon VPC -
Block Public Access(BPA) - Amazon CloudFront - VPC origins - この変更がもたらすこと - 何が嬉しいのか - これからやっていくこと - まとめ
5 本日の題材となるアーキテクチャ
6 Amazon VPC Block Public Access(BPA) このリージョンにおいて、 パブリックアクセスを 原則、禁ずる!
Block Public Access(BPA) 7 - Block Public Accessとは - VPC
のインターネットトラフィックを 正式にブロックできるようにする新しい集中宣言型制御 - “双方向”,”インバウンドのみ”2種類の制御が可能 - 設定の単位 - リージョン単位で設定する。 - VPC、Subnet単位で除外設定が行える。 - “インバウンドのみ”の場合はNATなどを 利用した戻りの通信は許可される。 - 無料
Block Public Access(BPA)の設定画面 8
9 Amazon VPC Block Public Access(BPA) あっ・・・
10 Amazon CloudFront VPC origins Private Subnetに配置されてい るリソースをCloudFrontのオリ ジンに登録する!
CloudFront VPC Origins 11 - CloudFront VPC Originsとは - CloudFront
を使用して Private Subnet内の アプリからコンテンツを配信できるようにする機能 - ALBやNLB、EC2など、Private Subnet内にある リソースを選択し、VPC Originとして設定できる。 - VPC Originの作成後はCloudFrontのOriginとして、 選択可能 - 無料
12 これらの変更がもたらすこと
嬉しいポイント 13 - Amazon VPC Block Public Access(BPA) - リージョンの単位での制御ができるようになったため、
開発者の設定ミスなど、意図しないインターネットの 公開をより強固に防ぐことが可能となった。 - CloudFront VPC Origins - CloudFrontのオリジンに登録するためにインターネット フェイシングである必要がなくなるため、より防御面の 設定が簡素になった。 - PublicIPが少し減って料金がちょっとだけお得になった。
これからやっていきたいポイント 14 - これから新しく設計をするときはVPC Block Public Accessで 制御する前提にする。 - リージョン単位で”インバウンドのみ”を制御する方法が
いいかなと個人的には模索中 - 双方向の制御をかけてしまって、NAT Gatewayを配置す るサブネットだけ”インバウンドのみ”の制御をかける方 式もより強固かもしれない。 - その際はCloudFrontのVPC Originsを使ってなるべく Public Subnetにリソースを配置しないようにする。
まとめ 15 リージョン単位 で”インバウン ドのみ”の制御 をONに。 パブリックインターネッ トを経由せず、AWSの 内部ネットワークから アクセス可能に。
NAT Gatewayからの インバウンド通信は可 能。 ALBはPrivate Subnetに配置し、 VPC Originとして登 録
さいごに 16 ご静聴ありがとうございました!!