Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
これからの設計で変わること pre:invent2024アップデート速報 / pre:inve...
Search
TomoyaKitaura
December 03, 2024
Programming
1
210
これからの設計で変わること pre:invent2024アップデート速報 / pre:invent2024 network update
2024.11.27 しむそくRadio Day2の発表資料です。
TomoyaKitaura
December 03, 2024
Tweet
Share
More Decks by TomoyaKitaura
See All by TomoyaKitaura
「頑張る」を「楽しむ」に変換する技術
tomoyakitaura
16
9.1k
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives
tomoyakitaura
0
150
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
tomoyakitaura
2
190
LTワークショップ3日目 / LT Workshop Day 3
tomoyakitaura
0
160
LTワークショップ2日目 / LT Workshop Day 2
tomoyakitaura
0
150
LTワークショップ(1日目) / LT workshop day 1
tomoyakitaura
1
170
これまでの監視とクラウド時代の監視 / Monitoring the Past and the Cloud
tomoyakitaura
1
270
エンタープライズにおけるSRE立ち上げとNew Relic選定に至った背景とは / SRE Startup and New Relic in the Enterprise
tomoyakitaura
2
790
AWSとNew Relicのデータ連携を超高速で実装した話 / The story of a super-fast implementation of data integration between AWS and New Relic
tomoyakitaura
0
1.6k
Other Decks in Programming
See All in Programming
20250326_生成AIによる_レビュー承認システムの実現.pdf
takahiromatsui
17
5.3k
RCPと宣言型ポリシーについてのお話し
kokitamura
2
150
Fluent UI Blazor 5 (alpha)の紹介
tomokusaba
0
140
体得しよう!RSA暗号の原理と解読
laysakura
3
520
S3静的ホスティング+Next.js静的エクスポート で格安webアプリ構築
iharuoru
0
190
JavaOne 2025: Advancing Java Profiling
jbachorik
1
310
Day0 初心者向けワークショップ実践!ソフトウェアテストの第一歩
satohiroyuki
0
380
いまさら聞けない生成AI入門: 「生成AIを高速キャッチアップ」
soh9834
12
3.6k
Devin入門と最近のアップデートから見るDevinの進化 / Introduction to Devin and the Evolution of Devin as Seen in Recent Update
rkaga
7
3.7k
AIエージェントを活用したアプリ開発手法の模索
kumamotone
1
740
研究開発と実装OSSと プロダクトの好循環 / A virtuous cycle of research and development implementation OSS and products
linyows
1
190
イベントソーシングによってインピーダンスミスマッチから解放された話
tkawae
1
330
Featured
See All Featured
Writing Fast Ruby
sferik
628
61k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.5k
Building Adaptive Systems
keathley
41
2.5k
The Power of CSS Pseudo Elements
geoffreycrofte
75
5.7k
Visualization
eitanlees
146
15k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
25k
Code Review Best Practice
trishagee
67
18k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
16
1.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
How GitHub (no longer) Works
holman
314
140k
Being A Developer After 40
akosma
90
590k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
4
490
Transcript
これからの設計で変わること ~pre:invent2024アップデート速報~ KDDIアジャイル開発センター株式会社 Tomoya Kitaura しむそくRadio Special DAY2 2024/11/27
自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG
コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic
弊社某ヒーローのつぶやき 3
アジェンダ 4 - 本日の題材となるアーキテクチャ - アップデート紹介 - Amazon VPC -
Block Public Access(BPA) - Amazon CloudFront - VPC origins - この変更がもたらすこと - 何が嬉しいのか - これからやっていくこと - まとめ
5 本日の題材となるアーキテクチャ
6 Amazon VPC Block Public Access(BPA) このリージョンにおいて、 パブリックアクセスを 原則、禁ずる!
Block Public Access(BPA) 7 - Block Public Accessとは - VPC
のインターネットトラフィックを 正式にブロックできるようにする新しい集中宣言型制御 - “双方向”,”インバウンドのみ”2種類の制御が可能 - 設定の単位 - リージョン単位で設定する。 - VPC、Subnet単位で除外設定が行える。 - “インバウンドのみ”の場合はNATなどを 利用した戻りの通信は許可される。 - 無料
Block Public Access(BPA)の設定画面 8
9 Amazon VPC Block Public Access(BPA) あっ・・・
10 Amazon CloudFront VPC origins Private Subnetに配置されてい るリソースをCloudFrontのオリ ジンに登録する!
CloudFront VPC Origins 11 - CloudFront VPC Originsとは - CloudFront
を使用して Private Subnet内の アプリからコンテンツを配信できるようにする機能 - ALBやNLB、EC2など、Private Subnet内にある リソースを選択し、VPC Originとして設定できる。 - VPC Originの作成後はCloudFrontのOriginとして、 選択可能 - 無料
12 これらの変更がもたらすこと
嬉しいポイント 13 - Amazon VPC Block Public Access(BPA) - リージョンの単位での制御ができるようになったため、
開発者の設定ミスなど、意図しないインターネットの 公開をより強固に防ぐことが可能となった。 - CloudFront VPC Origins - CloudFrontのオリジンに登録するためにインターネット フェイシングである必要がなくなるため、より防御面の 設定が簡素になった。 - PublicIPが少し減って料金がちょっとだけお得になった。
これからやっていきたいポイント 14 - これから新しく設計をするときはVPC Block Public Accessで 制御する前提にする。 - リージョン単位で”インバウンドのみ”を制御する方法が
いいかなと個人的には模索中 - 双方向の制御をかけてしまって、NAT Gatewayを配置す るサブネットだけ”インバウンドのみ”の制御をかける方 式もより強固かもしれない。 - その際はCloudFrontのVPC Originsを使ってなるべく Public Subnetにリソースを配置しないようにする。
まとめ 15 リージョン単位 で”インバウン ドのみ”の制御 をONに。 パブリックインターネッ トを経由せず、AWSの 内部ネットワークから アクセス可能に。
NAT Gatewayからの インバウンド通信は可 能。 ALBはPrivate Subnetに配置し、 VPC Originとして登 録
さいごに 16 ご静聴ありがとうございました!!