Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
これからの設計で変わること pre:invent2024アップデート速報 / pre:inve...
Search
TomoyaKitaura
December 03, 2024
Programming
1
210
これからの設計で変わること pre:invent2024アップデート速報 / pre:invent2024 network update
2024.11.27 しむそくRadio Day2の発表資料です。
TomoyaKitaura
December 03, 2024
Tweet
Share
More Decks by TomoyaKitaura
See All by TomoyaKitaura
New Relicの推せるところ・推せないところ / newrelic good and bad
tomoyakitaura
0
18
サービスレベルを管理してアジャイルを加速しよう!! / slm-accelerate-agility
tomoyakitaura
1
180
「頑張る」を「楽しむ」に変換する技術
tomoyakitaura
17
9.7k
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives
tomoyakitaura
0
150
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
tomoyakitaura
2
200
LTワークショップ3日目 / LT Workshop Day 3
tomoyakitaura
0
160
LTワークショップ2日目 / LT Workshop Day 2
tomoyakitaura
0
150
LTワークショップ(1日目) / LT workshop day 1
tomoyakitaura
1
170
これまでの監視とクラウド時代の監視 / Monitoring the Past and the Cloud
tomoyakitaura
1
280
Other Decks in Programming
See All in Programming
PHPバージョンアップから始めるOSSコントリビュート / how2oss-contribute
dmnlk
1
1.1k
複雑なフォームの jotai 設計 / Designing jotai(state) for Complex Forms #layerx_frontend
izumin5210
4
1k
アプリを起動せずにアプリを開発して品質と生産性を上げる
ishkawa
0
2.8k
Module Boundaries and Architecture with Forensic Analysis @NxSummit Amsterdam 2025
manfredsteyer
PRO
0
100
ミリしらMCP勉強会
watany
4
770
AI Agents with JavaScript
slobodan
0
250
サービスクラスのありがたみを発見したときの思い出 #phpcon_odawara
77web
4
680
Bedrock×MCPで社内ブログ執筆文化を育てたい!
har1101
6
1k
AI Coding Agent Enablement - エージェントを自走させよう
yukukotani
14
6.1k
The Nature of Complexity in John Ousterhout’s Philosophy of Software Design
philipschwarz
PRO
0
110
SwiftUI API Design Lessons
niw
1
290
新しいPHP拡張モジュールインストール方法「PHP Installer for Extensions (PIE)」を使ってみよう!
cocoeyes02
0
400
Featured
See All Featured
Large-scale JavaScript Application Architecture
addyosmani
512
110k
Thoughts on Productivity
jonyablonski
69
4.6k
YesSQL, Process and Tooling at Scale
rocio
172
14k
Embracing the Ebb and Flow
colly
85
4.6k
GitHub's CSS Performance
jonrohan
1030
460k
Designing Experiences People Love
moore
141
24k
Unsuck your backbone
ammeep
670
57k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
227
22k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.6k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
52
2.4k
Documentation Writing (for coders)
carmenintech
69
4.7k
We Have a Design System, Now What?
morganepeng
52
7.5k
Transcript
これからの設計で変わること ~pre:invent2024アップデート速報~ KDDIアジャイル開発センター株式会社 Tomoya Kitaura しむそくRadio Special DAY2 2024/11/27
自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG
コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic
弊社某ヒーローのつぶやき 3
アジェンダ 4 - 本日の題材となるアーキテクチャ - アップデート紹介 - Amazon VPC -
Block Public Access(BPA) - Amazon CloudFront - VPC origins - この変更がもたらすこと - 何が嬉しいのか - これからやっていくこと - まとめ
5 本日の題材となるアーキテクチャ
6 Amazon VPC Block Public Access(BPA) このリージョンにおいて、 パブリックアクセスを 原則、禁ずる!
Block Public Access(BPA) 7 - Block Public Accessとは - VPC
のインターネットトラフィックを 正式にブロックできるようにする新しい集中宣言型制御 - “双方向”,”インバウンドのみ”2種類の制御が可能 - 設定の単位 - リージョン単位で設定する。 - VPC、Subnet単位で除外設定が行える。 - “インバウンドのみ”の場合はNATなどを 利用した戻りの通信は許可される。 - 無料
Block Public Access(BPA)の設定画面 8
9 Amazon VPC Block Public Access(BPA) あっ・・・
10 Amazon CloudFront VPC origins Private Subnetに配置されてい るリソースをCloudFrontのオリ ジンに登録する!
CloudFront VPC Origins 11 - CloudFront VPC Originsとは - CloudFront
を使用して Private Subnet内の アプリからコンテンツを配信できるようにする機能 - ALBやNLB、EC2など、Private Subnet内にある リソースを選択し、VPC Originとして設定できる。 - VPC Originの作成後はCloudFrontのOriginとして、 選択可能 - 無料
12 これらの変更がもたらすこと
嬉しいポイント 13 - Amazon VPC Block Public Access(BPA) - リージョンの単位での制御ができるようになったため、
開発者の設定ミスなど、意図しないインターネットの 公開をより強固に防ぐことが可能となった。 - CloudFront VPC Origins - CloudFrontのオリジンに登録するためにインターネット フェイシングである必要がなくなるため、より防御面の 設定が簡素になった。 - PublicIPが少し減って料金がちょっとだけお得になった。
これからやっていきたいポイント 14 - これから新しく設計をするときはVPC Block Public Accessで 制御する前提にする。 - リージョン単位で”インバウンドのみ”を制御する方法が
いいかなと個人的には模索中 - 双方向の制御をかけてしまって、NAT Gatewayを配置す るサブネットだけ”インバウンドのみ”の制御をかける方 式もより強固かもしれない。 - その際はCloudFrontのVPC Originsを使ってなるべく Public Subnetにリソースを配置しないようにする。
まとめ 15 リージョン単位 で”インバウン ドのみ”の制御 をONに。 パブリックインターネッ トを経由せず、AWSの 内部ネットワークから アクセス可能に。
NAT Gatewayからの インバウンド通信は可 能。 ALBはPrivate Subnetに配置し、 VPC Originとして登 録
さいごに 16 ご静聴ありがとうございました!!