Upgrade to Pro — share decks privately, control downloads, hide ads and more …

VPCエンドポイントを巡る名前解決とルーティングの話

矢儀丈博
February 21, 2025
1
140

 VPCエンドポイントを巡る名前解決とルーティングの話

矢儀丈博

February 21, 2025
Tweet

More Decks by 矢儀丈博

See All by 矢儀丈博
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
420
「名前解決」から振り返るAmazon VPC
yuki_ink
0
420

Featured

See All Featured
Site-Speed That Sticks
csswizardry
4
380
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
GitHub's CSS Performance
jonrohan
1030
460k
How to train your dragon (web standard)
notwaldorf
91
5.8k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
114
50k
Building Adaptive Systems
keathley
40
2.4k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
550
Embracing the Ebb and Flow
colly
84
4.6k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k

Transcript

  1. VPCエンドポイントを巡る 名前解決とルーティングの話 2025/2/21 矢儀丈博

  2. ◆自己紹介 名前:矢儀 丈博(やぎ たけひろ) 年齢:26歳 出身:山口県 業務:カード会社様のAWS基盤保守 好きなAWSサービス: Amazon VPC

    VPCエンドポイントを巡る名前解決とルーティングの話 2 #NW_JAWS

  3. ◆目次 1. イントロダクション – VPCエンドポイント使ってますか? 2. VPCエンドポイントを巡る名前解決とルーティングの話 3. Tips -

    プロキシと併用する場合の注意点①② - そのVPCエンドポイント、本当に必要ですか? 4. まとめ VPCエンドポイントを巡る名前解決とルーティングの話 3

  4. ◆イントロダクション – VPCエンドポイント使ってますか? VPCエンドポイントを巡る名前解決とルーティングの話 4

  5. ◆イントロダクション – VPCエンドポイント使ってますか? VPCエンドポイントを巡る名前解決とルーティングの話 5 AWS Cloud Private subnet ENI

    Endpoint ENI VPC AWS Cloud (Service Provider) VPC Endpoint Service Gateway Load Balancer Security Appliance Endpoint Service Network Load Balancer Application ENI AWS PrivateLink AWS PrivateLink AWS PrivateLink Private subnet (GWLB用) ゲートウェイ インターフェイス ゲートウェイ ロードバランサー VPC内のリソースがインターネットを経由せずに、 AWSのサービスや、他のAWSアカウントのサービス、 サードパーティ製SaaSアプリと通信できるようになる ENI EC2 Instance Connect

  6. AWS Cloud Private subnet ENI Endpoint ENI VPC AWS Cloud

    (Service Provider) VPC Endpoint Service Gateway Load Balancer Security Appliance Endpoint Service Network Load Balancer Application ENI AWS PrivateLink AWS PrivateLink AWS PrivateLink Private subnet (GWLB用) ゲートウェイ インターフェイス ゲートウェイ ロードバランサー VPC内のリソースがインターネットを経由せずに、 AWSのサービスや、他のAWSアカウントのサービス、 サードパーティ製SaaSアプリと通信できるようになる ENI EC2 Instance Connect ◆イントロダクション – VPCエンドポイント使ってますか? VPCエンドポイントを巡る名前解決とルーティングの話 6 本日はゲートウェイ型とインターフェイス型の VPCエンドポイントについてお話しします! ※EC2 Instance ConnectとGWLBは Route53の名前解決の要素があまりないので…

  7. ◆イントロダクション – VPCエンドポイント使ってますか? VPCエンドポイントを巡る名前解決とルーティングの話 7 種類 ゲートウェイ型 インターフェイス型 対象サービス S3・DynamoDBのみ

    S3・DynamoDBを含む多くのサービスや、 他のAWSアカウントのサービス、 サードパーティ製SaaSアプリなど アクセス制御の方法 VPCエンドポイントポリシー ※接続先の制御 セキュリティグループ ルートテーブルの設定 必要 不要 ※デフォルトの状態でOK 料金 無料 有料 ※データ転送量と利用時間による従量課金 ルートテーブルで通信を捻じ曲げる VPC内の専用ENIへのローカル通信

  8. ◆名前解決とルーティングの話 - ゲートウェイ型の場合 VPCエンドポイントを巡る名前解決とルーティングの話 8 AWS Cloud VPC Private subnet

    Endpoint Resolver Route table s3.ap-northeast-1.amazonaws.com にアクセスしに行くで~~ ①名前解決 パブリックIPを返す (例) 52.219.172.12 52.219.172.12はルートテーブルのプレフィックスリストに 入っとるわ! VPCエンドポイントにルーティングやな! ルートテーブルで通信を捻じ曲げる ②リクエスト送信

  9. ◆名前解決とルーティングの話 – インターフェイス型の場合 VPCエンドポイントを巡る名前解決とルーティングの話 9 AWS Cloud VPC Private subnet

    Resolver Route table ①名前解決 普通にVPC内のローカル通信やな VPC内の専用ENIへのローカル通信 ENIに紐づけられた プライベートIPを返す (例) 10.0.2.100 ssm.ap-northeast-1. amazonaws.com にアクセスしに行くで~~ ENI ②リクエスト 送信 AWS PrivateLink

  10. ◆イントロダクション – VPCエンドポイント使ってますか? VPCエンドポイントを巡る名前解決とルーティングの話 10 種類 ゲートウェイ型 インターフェイス型 対象サービス S3・DynamoDBのみ

    S3・DynamoDBを含む多くのサービスや、 他のAWSアカウントのサービス、 サードパーティ製SaaSアプリなど アクセス制御の方法 VPCエンドポイントポリシー ※接続先の制御 セキュリティグループ ルートテーブルの設定 必要 不要 ※デフォルトの状態でOK 料金 無料 有料 ※データ転送量と利用時間による従量課金 ルートテーブルで通信を捻じ曲げる VPC内の専用ENIへのローカル通信

  11. ◆Tips: プロキシと併用する場合の注意点① VPCエンドポイントを巡る名前解決とルーティングの話 11 • VPCエンドポイントを経由させたい通信については、プロキシ除外設定を忘れずに Internet AWS Cloud VPC

    Private subnet Endpoint Route table Public subnet Proxy Server Internet gateway Route table VPC Endpoint HTTP_PROXY=http://proxy.example.local:3128 HTTPS_PROXY=http://proxy.example.local:3128 NO_PROXY= s3.ap-northeast-1.amazonaws.com, 169.254.169.254, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, … S3へのアクセス

  12. ◆Tips: プロキシと併用する場合の注意点② VPCエンドポイントを巡る名前解決とルーティングの話 12 • プロキシ側にはVPCエンドポイントは置かないほうがよい(特にゲートウェイ型!!) AWS Cloud VPC Private

    subnet Route table Public subnet Proxy Server Internet gateway Route table VPC Endpoint S3へのアクセス 通信が意図せずVPCエンドポイントに流れてしまい、 VPCエンドポイントポリシーやバケットポリシーの 影響を受け、アクセスNGになる可能性がある。 トラブルの元になるので、できるだけ避けたい! ※VPCエンドポイントポリシーによりアクセス先S3バケットの 限定を行いたい場合は、リージョン構成を含め 慎重な設計が必要 s3.ap-northeast-1.amazonaws.com にアクセスしに行くで~~

  13. ◆Tips: そのVPCエンドポイント、本当に必要ですか? VPCエンドポイントを巡る名前解決とルーティングの話 13 Internet AWS Cloud Public subnet Internet

    gateway Route table VPC パブリック IP アドレスを使用する場合、AWS でホストされているインスタンスとサービス間のすべての通信は AWS のプライベー トネットワークを使用します。AWS ネットワークから発信され、AWS ネットワーク上の送信先を持つパケットは、AWS 中国リージョ ンとの間のトラフィックを除いて、AWS グローバルネットワークにとどまります。 https://aws.amazon.com/jp/vpc/faqs/#Connectivity AWS Cloud Public subnet Internet gateway Route table VPC 誤 正

  14. ◆まとめ • VPCエンドポイントを利用することで、VPC内のリソースがインターネットを経由せずに、 AWSのサービスや、他のAWSアカウントのサービス、サードパーティ製SaaSアプリと通信できるようになる • しかし、VPCエンドポイントを使わなかった場合の通信経路が、いわゆる「インターネット」にあたるのか、 本当にVPCエンドポイントを利用する意味があるかという点は、立ち止まって考える余地がある • VPCエンドポイントを利用するためには注意しなければならないポイントもあるので、設計は慎重に! VPCエンドポイントを巡る名前解決とルーティングの話

    14

  15. ◆参考 • 2つのVPCエンドポイントの違いを知る | DevelopersIO • 【ゲートウェイ VPC エンドポイント】EC2からプライベート経路でS3などのAWSサービスへアクセスする -

    サーバーワークスエンジニアブログ • 経由で仮想アプライアンスにアクセスする AWS PrivateLink - Amazon Virtual Private Cloud • 「VPCエンドポイント」にトラフィックが到達する仕組みとマルチAZ構築の2軸で整理 これでVPCエンドポイントは怖くない|伊藤忠テクノソリューションズ • VPC 内 から AWS サービスへの利用頻度の高いプライベート通信方法 #EC2 – Qiita VPCエンドポイントを巡る名前解決とルーティングの話 15

  16. VPCエンドポイントを巡る 名前解決とルーティングの話 2025/2/21 矢儀丈博