第92回 雲勉【オンライン：初心者向け】AWSのELBについて改めて学んでみた

Transcript

1. 第92回 雲勉【オンライン︓初⼼者向け】 AWSのELBについて改めて学んでみた 2022/12/22

2. アジェンダ 2 0.⾃⼰紹介 1.はじめに 2.ELBについて 3.ALBについて 4.ハンズオン_CloudFrontのオリジンにALBを設定してみる 5.NLBについて 6.ハンズオン_ターゲットにALBを設定してみる 7.終わりに

   8.質疑応答(19:50~20:00)

3. ０．講師⾃⼰紹介 3 n 名前 ⼤川 雅登(Masato Okawa) • (所属) クラウドインテグレーション事業部

   • (経歴) SIer → SES → CIer • (アイレット歴) アイレット歴1年9ヶ⽉ • (趣味) ポッドキャストを聴くこと(ex.フリーアジェンダや上京ボーイズ)

4. 1.はじめに 4

5. 1．はじめに 5 n どうしてELBなの︖ • パブリッククラウドの特徴はペットから家畜へ

6. 1．はじめに 6 • よくある構成の簡略版 Amazon Elastic Compute Cloud (Amazon EC2)

   Client Amazon Relational Database Service (Amazon RDS) Elastic Load Balancing Amazon Elastic Compute Cloud (Amazon EC2) Amazon Relational Database Service (Amazon RDS) Client Amazon Relational Database Service (Amazon RDS) Amazon EC2 Auto Scaling Elastic Load Balancing Client 1 2 3 Client Amazon Relational Database Service (Amazon RDS) Elastic Load Balancing Amazon Elastic Container Service (Amazon ECS) Amazon Relational Database Service (Amazon RDS) Elastic Load Balancing Amazon Elastic Kubernetes Service (Amazon EKS) Client 4 5

7. 要するに、ELBはよく使うので押さえておこう︕ 7

8. 2. ELBについて 8

9. 2．ELBについて 9 n そもそもLoad Balancerとは • 負荷分散装置。リクエストの内容によって後段の各サーバへアクセスを振り分けたりすることができる。 n Elastic Load

   Balancerの特徴 • 柔軟なアプリケーション管理が必要な場合は、Application Load Balancer の使⽤を推奨します。⾮常に⾼度な パフォーマンスと静的 IP がアプリケーションで必要な場合は、Network Load Balancer の使⽤を推奨しま す。EC2-Classic ネットワーク内で構築された既存のアプリケーションがある場合は、Classic Load Balancer を使⽤する必要があります https://aws.amazon.com/jp/elasticloadbalancing/features/ n ELBは4つ • Application Load Balancer • Network Load Balancer • Gateway Load Balancer • Classic Load Balancer

10. 3. Application Load Balancerについて 10

11. 3．Application Load Balancerについて 11 n Application Load Balancer(IUUQTBXTBNB[PODPNKQFMBTUJDMPBECBMBODJOHBQQMJDBUJPOMPBECBMBODFS ODTOMPDEO) •

    レイヤー7で負荷分散。(リクエスト属性 (X-Forwarded-For ヘッダーなど) に基づいて、HTTP/HTTPS トラフィックを ターゲット (Amazon EC2 インスタンス、マイクロサービス、コンテナ) に負荷分散) • コンテンツベースのルーティング • パスベースのルーティング: HTTP ヘッダーの URL パスに基づいてクライアントのリクエストをルーティングできます。 • ソース IP アドレス CIDR ベースのルーティング: リクエスト元のソース IP アドレス CIDR に基づいてクライアントのリ クエストをルーティングできます。 • HTTPS サポート(AWS Certificate Manager を使⽤した SSL 証明書の管理も可能) • AWS WAF を使⽤できる。

12. 4.ハンズオン_CloudFrontのオリジンにALBを設定してみる 12

13. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 13 n Application Load Balancers ΁ͷΞΫηεΛ੍ݶ͢Δ https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/restrict-access-to-load-balancer.html • Elastic

    Load Balancing の Application Load Balancer によって提供されるウェブアプリケーションやその他のコ ンテンツには、CloudFront はオブジェクトをキャッシュしてユーザー（閲覧者）に直接提供し、Application Load Balancer の負荷を軽減できます。CloudFront は、レイテンシーを削減し、分散型サービス拒否 (DDoS) 攻 撃を吸収することにも役⽴ちます。 • ただし、ユーザーが CloudFront をバイパスして、Application Load Balancer に直接アクセスできる場合には、 これらのメリットを得られません。ですが、 Amazon CloudFront と Application Load Balancer を設定して、 ユーザーがApplication Load Balancer に直接アクセスできないようにすることができます。 • これにより、ユーザーは CloudFront 経由でしか Application Load Balancer にアクセスできず、CloudFront を 使⽤するメリットを得ることができます。

14. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 14 1.CloudFront を設定して、Application Load Balancer に送信するリクエストにカスタ ム HTTP ヘッダーを追加します。

    2.カスタム HTTP ヘッダーを含むリクエストだけを転送するように、Application Load Balancer を設定します。 3.（オプション）このソリューションのセキュリティを向上させるためには、HTTPS が 必要です。

15. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 15 構成 AWS Cloud Virtual Private Cloud (VPC) Public

    subnet Private subnet Application Load Balancer Amazon EC2 Amazon CloudFront

16. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 16 n 事前準備 • Route53でレコード登録(ALBに使⽤するサブドメイン) n 事前準備 • ACMで証明書を作成

17. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 17 n 事前準備 • EC2を作成(Apacheをインストールしindex.htmlファイルを作成済)し、ターゲットグループとして指定 する。(ターゲットグループとはALBに対するリクエストのルーティング先となるリソース)

18. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 18 n 事前準備 • ALBを作成し、リスナーをHTTPS:443とし、先ほど作成したターゲットを指定する。(リスナーとはロードバラン サーにアクセスできるプロトコルやポートを設定する機能であり、合わせて、そのアクセスの振り分け先を設定す るリスナールール機能がある)

19. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 19 n 事前準備 • Route53に設定したサブドメインにアクセスしindex.htmlが表⽰されるのを確認する(ALBとの名前解決設定済)

20. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 20 n オリジンの設定 • オリジンドメインにALBと紐付けているサブドメインを設定 • プロトコルはHTTPSのみ • カスタムヘッダーを追加(ここのヘッダー名と値は次のALBの

    設定でも使⽤する)

21. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 21 n ALBのリスナー設定 • リスナーのルールを編集する

22. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 22 n ALBのリスナーのルール設定 • HTTPヘッダーに先程のヘッダー名と値を設定する

23. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 23 n ALBのリスナーのルール設定 • CloudFront以外からのリクエスト転送先の設定

24. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 24 n ALBのリスナーのルール設定 • CloudFront以外からのリクエスト転送先の設定（固定レスポンスの設定）

25. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 25 n ALBのリスナーのルール設定 • 更新ボタンを押下し、2つのルールがある状態にする。

26. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 26 n アクセス確認 • ALBと紐付けているサブドメイン

27. 4．ハンズオン_CloudFrontのオリジンにALBを設定してみる 27 n アクセス確認 • CloudFrontに設定している代替ドメインにアクセス

28. 5. Network Load Balancerについて 28

29. 5．Network Load Balancerについて 29 n Network Load Balancer(IUUQTBXTBNB[PODPNKQFMBTUJDMPBECBMBODJOHOFUXPSLMPBECBMBODFS ODTOMPDEO) •

    レイヤー４で負荷分散。 (TCP と UDP の両⽅のトラフィックを負荷分散し、接続をターゲット (Amazon EC2 インスタンス、マイクロサービス、コンテナ) にルーティング) • 低レイテンシ(レイテンシの影響を受けやすいアプリケーションに対して⾮常に低いレイテンシを 提供) • ソース IP アドレス(クライアント側のソース IP を保持し、バックエンドがクライアントの IP ア ドレスを確認できるようにします。) • TLSオフロード(クライアント TLS セッションの終了をサポートします。AWS Certificate Manager (ACM) を使って暗号化できる)

30. 6.ハンズオン_ターゲットにALBを設定してみる 30

31. 6．ハンズオン_ターゲットにALBを設定してみる 31 n Network Load BalancerのターゲットグループにApplication Load Balancerを設定する https://aws.amazon.com/jp/blogs/news/application-load-balancer-aws-privatelink-static-ip-addresses-network-load-balancer/ (記事公開⽇:

    2021 年 09 ⽉ 28 ⽇) • 新機能︓Network Load Balancerのターゲットグループに、Application Load Balancerを設定できるようになりま した • 以前、NLBを利⽤してPrivateLinkの統合やALBのIPアドレスを固定するための⽅法を提案するブログを公開しまし た。このソリューションを使⽤すると、お客様はAWS Lambda関数を活⽤してALBのIPアドレスをNLBのターゲット として登録することができます。このソリューションでは、IPアドレスが変更されるとNLBのターゲットIPを更新し て、更新されたALB IPアドレスに設定します。この回避策は有効ですが、お客様が管理するコードやサービスが増え てしまいます。 (PrivateLinkとは、異なるNW空間においてプライベート接続(インターネットに出ない)を実現させるサービス。 ex.異なるVPC間のプライベート接続、AWSとオンプレミスネットワーク間のプライベート接続) • Lambdaのメンテが不要。PrivateLinkで公開するアプリケーションのユースケースでALBの機能を使⽤できるように なった。

32. 6．ハンズオン_ターゲットにALBを設定してみる 32 構成 AWS Cloud Virtual Private Cloud (VPC) AWS

    Private Link Endpoint AWS PrivateLink Virtual Private Cloud (VPC) Network Load Balancer Application Load Balancer HTTP Target

33. 6．ハンズオン_ターゲットにALBを設定してみる 33 n 事前準備 •内部向けまたはインターネット向けのALB •ALBがフォワードするターゲットグループ •エンドポイントサービスの作成(NLBを指定) •エンドポイントの作成(エンドポイントサービスの「サービス名」を設定) •エンドポイントサービス側で接続リクエストの承諾

34. 6．ハンズオン_ターゲットにALBを設定してみる 34 n ターゲットグループの作成(ALBを指定)

35. 6．ハンズオン_ターゲットにALBを設定してみる 35 n ALBを設定したターゲットグループをNLBに紐付ける

36. 6．ハンズオン_ターゲットにALBを設定してみる 36 n エンドポイントサービスの作成(NLBを指定)

37. 6．ハンズオン_ターゲットにALBを設定してみる 37 n エンドポイントの作成(エンドポイントサービスの「サービス名」を設定)

38. 6．ハンズオン_ターゲットにALBを設定してみる 38 n エンドポイントサービス側で接続リクエストの承諾

39. 6．ハンズオン_ターゲットにALBを設定してみる 39 n NLBを配置していないVPC下のEC2からNLBにアクセス

40. 7．終わりに 40 l 今回はALB、NLBについて基本的なことを説明しました。 l ELBのターゲットにFargateやLambdaを使⽤するケース、複数ルーティングを設定する ケース等、⾊々な使い⽅ができ、奥深いサービスと思いますので、今回の内容を⼊り⼝に知 識を深めていただけると幸いです。