Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
VPCエンドポイントを巡る名前解決とルーティングの話
Search
矢儀丈博
February 21, 2025
830
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
VPCエンドポイントを巡る名前解決とルーティングの話
矢儀丈博
February 21, 2025
More Decks by 矢儀丈博
See All by 矢儀丈博
ECS組み込みのBlue/Greenデプロイを動かしてELB側の動きを観察してみる
yuki_ink
3
2.6k
Oracle Database@AWSまわりのネットワーク構成について
yuki_ink
2
470
Design for Failure - リージョンとAZについて
yuki_ink
0
420
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
700
「名前解決」から振り返るAmazon VPC
yuki_ink
0
610
Featured
See All Featured
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
400
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
140
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
150
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.3k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
150
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
440
Technical Leadership for Architectural Decision Making
baasie
3
400
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
Transcript
VPCエンドポイントを巡る 名前解決とルーティングの話 2025/2/21 矢儀丈博
◆自己紹介 名前:矢儀 丈博(やぎ たけひろ) 年齢:26歳 出身:山口県 業務:カード会社様のAWS基盤保守 好きなAWSサービス: Amazon VPC
VPCエンドポイントを巡る名前解決とルーティングの話 2 #NW_JAWS
◆目次 1. イントロダクション – VPCエンドポイント使ってますか? 2. VPCエンドポイントを巡る名前解決とルーティングの話 3. Tips -
プロキシと併用する場合の注意点①② - そのVPCエンドポイント、本当に必要ですか? 4. まとめ VPCエンドポイントを巡る名前解決とルーティングの話 3
◆イントロダクション – VPCエンドポイント使ってますか? VPCエンドポイントを巡る名前解決とルーティングの話 4
◆イントロダクション – VPCエンドポイント使ってますか? VPCエンドポイントを巡る名前解決とルーティングの話 5 AWS Cloud Private subnet ENI
Endpoint ENI VPC AWS Cloud (Service Provider) VPC Endpoint Service Gateway Load Balancer Security Appliance Endpoint Service Network Load Balancer Application ENI AWS PrivateLink AWS PrivateLink AWS PrivateLink Private subnet (GWLB用) ゲートウェイ インターフェイス ゲートウェイ ロードバランサー VPC内のリソースがインターネットを経由せずに、 AWSのサービスや、他のAWSアカウントのサービス、 サードパーティ製SaaSアプリと通信できるようになる ENI EC2 Instance Connect
AWS Cloud Private subnet ENI Endpoint ENI VPC AWS Cloud
(Service Provider) VPC Endpoint Service Gateway Load Balancer Security Appliance Endpoint Service Network Load Balancer Application ENI AWS PrivateLink AWS PrivateLink AWS PrivateLink Private subnet (GWLB用) ゲートウェイ インターフェイス ゲートウェイ ロードバランサー VPC内のリソースがインターネットを経由せずに、 AWSのサービスや、他のAWSアカウントのサービス、 サードパーティ製SaaSアプリと通信できるようになる ENI EC2 Instance Connect ◆イントロダクション – VPCエンドポイント使ってますか? VPCエンドポイントを巡る名前解決とルーティングの話 6 本日はゲートウェイ型とインターフェイス型の VPCエンドポイントについてお話しします! ※EC2 Instance ConnectとGWLBは Route53の名前解決の要素があまりないので…
◆イントロダクション – VPCエンドポイント使ってますか? VPCエンドポイントを巡る名前解決とルーティングの話 7 種類 ゲートウェイ型 インターフェイス型 対象サービス S3・DynamoDBのみ
S3・DynamoDBを含む多くのサービスや、 他のAWSアカウントのサービス、 サードパーティ製SaaSアプリなど アクセス制御の方法 VPCエンドポイントポリシー ※接続先の制御 セキュリティグループ ルートテーブルの設定 必要 不要 ※デフォルトの状態でOK 料金 無料 有料 ※データ転送量と利用時間による従量課金 ルートテーブルで通信を捻じ曲げる VPC内の専用ENIへのローカル通信
◆名前解決とルーティングの話 - ゲートウェイ型の場合 VPCエンドポイントを巡る名前解決とルーティングの話 8 AWS Cloud VPC Private subnet
Endpoint Resolver Route table s3.ap-northeast-1.amazonaws.com にアクセスしに行くで~~ ①名前解決 パブリックIPを返す (例) 52.219.172.12 52.219.172.12はルートテーブルのプレフィックスリストに 入っとるわ! VPCエンドポイントにルーティングやな! ルートテーブルで通信を捻じ曲げる ②リクエスト送信
◆名前解決とルーティングの話 – インターフェイス型の場合 VPCエンドポイントを巡る名前解決とルーティングの話 9 AWS Cloud VPC Private subnet
Resolver Route table ①名前解決 普通にVPC内のローカル通信やな VPC内の専用ENIへのローカル通信 ENIに紐づけられた プライベートIPを返す (例) 10.0.2.100 ssm.ap-northeast-1. amazonaws.com にアクセスしに行くで~~ ENI ②リクエスト 送信 AWS PrivateLink
◆イントロダクション – VPCエンドポイント使ってますか? VPCエンドポイントを巡る名前解決とルーティングの話 10 種類 ゲートウェイ型 インターフェイス型 対象サービス S3・DynamoDBのみ
S3・DynamoDBを含む多くのサービスや、 他のAWSアカウントのサービス、 サードパーティ製SaaSアプリなど アクセス制御の方法 VPCエンドポイントポリシー ※接続先の制御 セキュリティグループ ルートテーブルの設定 必要 不要 ※デフォルトの状態でOK 料金 無料 有料 ※データ転送量と利用時間による従量課金 ルートテーブルで通信を捻じ曲げる VPC内の専用ENIへのローカル通信
◆Tips: プロキシと併用する場合の注意点① VPCエンドポイントを巡る名前解決とルーティングの話 11 • VPCエンドポイントを経由させたい通信については、プロキシ除外設定を忘れずに Internet AWS Cloud VPC
Private subnet Endpoint Route table Public subnet Proxy Server Internet gateway Route table VPC Endpoint HTTP_PROXY=http://proxy.example.local:3128 HTTPS_PROXY=http://proxy.example.local:3128 NO_PROXY= s3.ap-northeast-1.amazonaws.com, 169.254.169.254, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, … S3へのアクセス
◆Tips: プロキシと併用する場合の注意点② VPCエンドポイントを巡る名前解決とルーティングの話 12 • プロキシ側にはVPCエンドポイントは置かないほうがよい(特にゲートウェイ型!!) AWS Cloud VPC Private
subnet Route table Public subnet Proxy Server Internet gateway Route table VPC Endpoint S3へのアクセス 通信が意図せずVPCエンドポイントに流れてしまい、 VPCエンドポイントポリシーやバケットポリシーの 影響を受け、アクセスNGになる可能性がある。 トラブルの元になるので、できるだけ避けたい! ※VPCエンドポイントポリシーによりアクセス先S3バケットの 限定を行いたい場合は、リージョン構成を含め 慎重な設計が必要 s3.ap-northeast-1.amazonaws.com にアクセスしに行くで~~
◆Tips: そのVPCエンドポイント、本当に必要ですか? VPCエンドポイントを巡る名前解決とルーティングの話 13 Internet AWS Cloud Public subnet Internet
gateway Route table VPC パブリック IP アドレスを使用する場合、AWS でホストされているインスタンスとサービス間のすべての通信は AWS のプライベー トネットワークを使用します。AWS ネットワークから発信され、AWS ネットワーク上の送信先を持つパケットは、AWS 中国リージョ ンとの間のトラフィックを除いて、AWS グローバルネットワークにとどまります。 https://aws.amazon.com/jp/vpc/faqs/#Connectivity AWS Cloud Public subnet Internet gateway Route table VPC 誤 正
◆まとめ • VPCエンドポイントを利用することで、VPC内のリソースがインターネットを経由せずに、 AWSのサービスや、他のAWSアカウントのサービス、サードパーティ製SaaSアプリと通信できるようになる • しかし、VPCエンドポイントを使わなかった場合の通信経路が、いわゆる「インターネット」にあたるのか、 本当にVPCエンドポイントを利用する意味があるかという点は、立ち止まって考える余地がある • VPCエンドポイントを利用するためには注意しなければならないポイントもあるので、設計は慎重に! VPCエンドポイントを巡る名前解決とルーティングの話
14
◆参考 • 2つのVPCエンドポイントの違いを知る | DevelopersIO • 【ゲートウェイ VPC エンドポイント】EC2からプライベート経路でS3などのAWSサービスへアクセスする -
サーバーワークスエンジニアブログ • 経由で仮想アプライアンスにアクセスする AWS PrivateLink - Amazon Virtual Private Cloud • 「VPCエンドポイント」にトラフィックが到達する仕組みとマルチAZ構築の2軸で整理 これでVPCエンドポイントは怖くない|伊藤忠テクノソリューションズ • VPC 内 から AWS サービスへの利用頻度の高いプライベート通信方法 #EC2 – Qiita VPCエンドポイントを巡る名前解決とルーティングの話 15
VPCエンドポイントを巡る 名前解決とルーティングの話 2025/2/21 矢儀丈博
yuki_ink
davetheseo
marketingsoph
jcasabona
ryanjones
aleyda
geoffreycrofte
rocio
auna
maggiecrowley
konakalab
baasie
chrisshort
