Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
VPC間通信ができる新サービスVPC Lattice。ん?似たようなサービス他にもなかったっけ? サービスを一度整理してみましょう
Search
Yasutaka OHMURA
July 16, 2023
Technology
2
2.6k
VPC間通信ができる新サービスVPC Lattice。ん?似たようなサービス他にもなかったっけ? サービスを一度整理してみましょう
VPC Peering, Transit Gateway, PrivateLinkの復習と、VPC Latticeの紹介
Yasutaka OHMURA
July 16, 2023
Tweet
Share
More Decks by Yasutaka OHMURA
See All by Yasutaka OHMURA
「S3 Express One ZoneとEFSアーカイブを少しだけ詳しくなろう」re:Growth 2023 in Sapporo
bigmuramura
0
490
Other Decks in Technology
See All in Technology
NewSQL Landscape
oracle4engineer
PRO
5
3.2k
.NET GraphQL Client のリアル
sansantech
PRO
1
250
【リラン】AIの光と闇?失敗しないために知っておきたいAIリスクとその対応 ①政府の動き編
tkhresk
0
140
TiDBにおけるテーブル設計と最適化の事例
cygames
0
790
知識と実践を紡ぐGenAI / Connecting Knowledge and experience with GenAI
aki_moon
2
180
DevRelによる信頼構築とデータ駆動で変わるエンジニア採用 / DevRel Trust Building to Data Driven Engineering Hiring
bobtani
1
130
LLM評価の落とし穴~開発者目線で気をつけるポイント~
rishigami
11
3.2k
多言語化対応における TypeScript の型定義を通して開発のしやすさについて考えた / TSKaigi TypeScript Multilingualization
nabeliwo
2
390
パフォーマンス最適化のベストプラクティス
databricksjapan
0
200
RailsConf 2024 Keynote "Startups on Rails in 2024"
irinanazarova
0
800
CockroachDB はどのくらい「しぶとい」のか? / How tough is CockroachDB?
kota2and3kan
13
4.9k
TypescriptでのContextualな構造化ロギングと社内全体への導入
leveragestech
3
580
Featured
See All Featured
How GitHub (no longer) Works
holman
305
140k
The Language of Interfaces
destraynor
151
23k
Producing Creativity
orderedlist
PRO
338
39k
Typedesign – Prime Four
hannesfritz
36
2.1k
Clear Off the Table
cherdarchuk
86
310k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
26
2.3k
Raft: Consensus for Rubyists
vanstee
133
6.3k
GraphQLとの向き合い方2022年版
quramy
33
13k
Code Reviewing Like a Champion
maltzj
515
39k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
275
13k
Faster Mobile Websites
deanohume
300
30k
Transcript
2023/7/14 AWS事業本部 大村 保貴 1 ん?似たようなサービス他にもなかったっけ? サービスを一度整理してみましょう VPC間通信ができる新サービスVPC Lattice
ときに 2
ときに VPCとVPCを接続しないと いけない場面はありませんか? 3
諸般の事情により 4
諸般の事情により 5
カオスからの脱却 6
だけど 7
だけど VPCのCIDRがかぶっている L3のルーティングよくわからん クロスアカウント接続がよくわからん 似たような接続サービスが多くてわからん 8
VPC Latticeを知っておこう 新サービス 9
自己紹介 10 大村 保貴 (Yasutaka Ohmura) クラスメソッド株式会社 AWS事業本部 カスタマーソリューション部 ソリューションアーキテクト
• 経歴 ◦ ITインフラのコンサル→ 自社IoTサービス → クラスメソッド • 受賞 ◦ 2023 Japan AWS All Certifications Engineers ◦ 2023 Japan AWS Top Engineer • 仕事 ◦ AWS、SaaSを利用した環境の設計・構築・コンサルティング、プリセールス ◦ HPC(スパコン)、ライフサイエンス分野 • 好きなもの ◦ こだわりのあるコーヒー • 最近のハマっているもの ◦ 炭火で焼いたホルモン
セッション対象者とゴール 想定聴講者 ・VPC Latticeの名前は聞いたことはあるけど何かは知らない ・VPC間接続サービスがいろいろあることは知っている ・普段Webアプリを開発している、ネットワークは自信ない ゴール ・VPC間接続できる各種サービスを把握する 11
Agenda 1. VPC間接続サービスの復習 2. 新登場VPC Lattice 12
1. VPC間接続サービスの復習 13
VPC間接続サービスの復習 VPC Peering Transit Gateway PrivateLink 14
VPC Peering VPC Peering Transit Gateway PrivateLink 15
VPC Peering VPCとVPCをシンプルに接続 16 画像引用: VPC ピアリングの基本
VPC Peering 推移的なルーティングは不可 17 画像引用: VPC ピアリングの基本
VPC Peering 相互に通信が必要ならフルメッシュ 18 画像引用: VPC 全体にルーティングする VPC ピアリング設定
VPC Peering VPC Peeringの接続確立は無料 同じAZのデータ転送料は無料 AZ、リージョンを跨ぐデータ転送は $0.01/GB 19 利用費が安い
VPC Peering CIDRが重複していると接続できません 20
VPC Peering 少数のVPC間接続なら不都合なく安価 接続数が多くなると管理が大変 21
Transit Gateway VPC Peering Transit Gateway PrivateLink 22
Transit Gateway VPC Peeringは規模が大きくなると管理が大変 23 画像引用: VPC 全体にルーティングする VPC ピアリング設定
Transit Gateway Transit Gatewayを使えば中継できます 24 画像引用: VPC 全体にルーティングする VPC ピアリング設定
Transit Gateway 同じ構成を取るなら管理がシンプル 25 画像引用: VPC 全体にルーティングする VPC ピアリング設定
Transit Gateway アタッチ数に応じた料金がかかります 26 画像引用: VPC 全体にルーティングする VPC ピアリング設定
Transit Gateway NAT Gatewayの個数を集約することもできる 27 画像引用: 【AWS Transit Gateway】複数VPCのアウトバウンド通信を集約する環境を作る
Transit Gateway CIDRが重複していると接続できません 28
Transit Gateway Transit Gateway専用サブネットが推奨構成 29 画像引用: AWS Black Belt Online
Seminar AWS Transit Gateway
Transit Gateway ルーティングの管理がシンプルに 規模が大きいと便利 でも、利用費はそれなり 30
PrivateLink VPC Peering Transit Gateway PrivateLink 31
PrivateLink CIDRが重複していると接続できませんでした 32
PrivateLink CIDRが重複していてもVPC間接続ができる 33 VPCエンドポイントのDNS名でアクセスする
PrivateLink 1つのサービスに対して複数接続できる(1対多) 34
PrivateLink CIDRが重複しても通信できる 接続は1対多の関係 接続を確立するまでの設定がやや複雑 35
VPC間接続サービスの復習 VPC Peering Transit Gateway PrivateLink 36
3. 新登場VPC Lattice 37
VPC Lattice VPC Latticeとは 38 アプリーケーション向けのVPC間接続サービス
VPC Lattice アプリケーションネットワーキングサービス 39 APIを呼び出すだけであればネットワーク設計などの手間になる部分を VPC Lattice が抽象化してくれます
VPC Lattice 対応プロトコル 40 ・HTTP 1.1 / 2.0 ・gRPC
VPC Lattice なので、SSH接続する様な用途ではない 41
VPC Lattice 上位互換のVPC間接続サービスではない 42 アプリケーション向けのVPC間接続サービスです
VPC間接続サービス VPC Peering Transit Gateway PrivateLink VPC Lattice 43
VPC Lattice Latticeは格子の意味 44
VPC Lattice 登場背景 45
VPC Lattice 最近の傾向 46 ・マルチアカウント前提 ・マイクロサービス
VPC Lattice ネットワーク要素が多く設定も複雑 47 ・VPC Peering ・Transit Gateway ・PrivateLink
VPC Lattice アプリ開発者がネットワークの達人である必要はない 48 画像引用: AWS re:Invent 2022 - [NEW]
Introducing Amazon VPC Lattice: Simplifying app networking (NET215)
VPC Lattice ネットワーク周りが抽象化された 49 ・CIDR重複しててもOK ・L3のルーティング設定不要 ・クロスアカウント接続も容易
VPC Lattice 主要コンポーネント 50
VPC Lattice ・Target Group ・VPC Lattice Service ・VPC Lattice Service
Network 51
VPC Lattice ・Target Group ・VPC Lattice Service ・VPC Lattice Service
Network 52
Target Group アクセス先の対象リソースの登録 53 登録するとVPC Lattice内で管理できる 設定項目は ・プロトコル(HTTP / HTTPS)
・ポート番号 ・プロトコルのバージョン(HTTP1 / 2, gRPC)
Target Group ターゲットグループに登録できるリソース 54 ・EC2、Auto Scalingグループ ・Lambda、VPC Lambda ・Internal ALB
・IPアドレス(Internal NLBも含む)
VPC Lattice ・Target Group ・VPC Lattice Service ・VPC Lattice Service
Network 55
VPC Lattice Service VPC Lattice 経由でアクセスできるリソースとして登録 56 ・ドメイン名が割り当てられる ・リスナー設定と、ターゲットグループの紐づけ
VPC Lattice Service ドメイン名はカスタムドメインの割り当てもできる 57 画像引用: VPC Lattice クロスアカウント接続に必要な要素を図解してみた
VPC Lattice Service Network ・Target Group ・VPC Lattice Service ・VPC
Lattice Service Network 58
VPC Lattice Service Network VPCとVPC Lattice Serviceを接続して中継してくれるハブ 59
ルートテーブルの追加は自動 60
VPC Lattice Service Network VPC Lattice Service Networkに繋げるだけ 61 アクセス元のVPC側
アクセス先のVPC側(ターゲットグループ)
VPC Lattice Service Network アクセス制御・セキュリティ設定 62
VPC Lattice Service Network VPC Latticeのセキュリティレイヤー 63 1. VPC Lattice
Service Network(ハブ) に VPC と VPC Lattice Service を関連付けする、しない 2. セキュリティーグループ、ネットワーク ACL の設定によるネットワークレベルの制御 3. VPC Lattice 認証ポリシーによる VPC Lattice Service / Service Network レベルの制御(オプション)
VPC Lattice Service Network セキュリティグループで制御(手動対応) 64
設定完了 65
VPC Lattice 抽象化していた構成図を具体的にすると 66
VPC Lattice 67
VPC Lattice 68
VPC Lattice 69
VPC Lattice 70
クロスアカウント接続も楽 71
VPC Lattice Resource Access Manager(RAM)で共有するだけ 72
VPC Lattice VPC Lattice Service Network を共有した例 73
VPC Lattice HTTP/S でアクセスするだけなら設定が簡単 ネットワークを意識することが少ない クロスアカウント接続もRAMで共有するだけ 74
VPC間接続サービス まとめ 75
VPC間接続サービス VPC Peering Transit Gateway PrivateLink VPC Lattice 76
VPC間接続サービス VPC Lattice はアプリ向けのVPC間接続サービス APIサービスを提供するような用途で利用できる特化型 その分、ネットワーク周りはよしなにやってくれます 77
VPC間接続サービス 汎用性が高いのは ・VPC Peering ・Transit Gateway 守備範囲が広い!だけどCIDRの重複時はNG 接続規模、用途に応じた選択を 78
VPC間接続サービス PrivateLinkは唯一SaaSとしてのAPI提供できる 79 画像引用: Transit Gateway,PrivateLink VPC アーキテクチャー deep dive
VPC間接続サービス VPC Peering Transit Gateway PrivateLink VPC Lattice 80
セッションアンケート 81 満足度上位のセッションを後日ブログで公開予定! 回答へのご協力をよろしくお願いします。 https://forms.gle/gnLmdXpsXmek8KVTA
82
bigmuramura
oracle4engineer
sansantech
tkhresk
cygames
aki_moon
bobtani
rishigami
nabeliwo
databricksjapan
irinanazarova
kota2and3kan
leveragestech
holman
destraynor
orderedlist
hannesfritz
cherdarchuk
marcduiker
rmw
vanstee
quramy
maltzj
stephaniewalter
deanohume
![VPC Lattice アプリ開発者がネットワークの達人である必要はない 48 画像引用: AWS re:Invent 2022 - [NEW]](https://files.speakerdeck.com/presentations/ba2ddf5955294641b6706ca308771319/slide_47.jpg){kind=link}
