Upgrade to Pro — share decks privately, control downloads, hide ads and more …

knockrd / kichijojipm23

FUJIWARA Shunichiro
July 21, 2020
Technology
1
200

knockrd / kichijojipm23

FUJIWARA Shunichiro

July 21, 2020
Tweet

More Decks by FUJIWARA Shunichiro

See All by FUJIWARA Shunichiro
SRE不在のチームに入って2ヶ月でやったこと - 負荷試験ツールからはじめるSREプラクティスの導入
fujiwara3
11
3.8k
ISUCON運営を支えるAmazon ECSとAurora Serverless v2 / AWS Dev Day 2022 Japan
fujiwara3
5
1k
1年間のポストモーテム運用とそこから生まれたツール sre-advisor / SRE NEXT 2022
fujiwara3
6
11k
気軽に始めるGraviton2マネージドサービスによるコスト最適化 / Amazon Game Tech Night #23
fujiwara3
4
1.8k
Amazon Auroraを活用したソーシャルゲームの複数ワールドデータ統合 / AWS Dev Day Online Japan
fujiwara3
10
5.3k
GitHub Actionsに「強い」AWSの権限を渡したい / AWS credentials on Actions
fujiwara3
7
12k
ecspresso exec
fujiwara3
0
920
シングルバイナリにこだわる - AWS Lambda編 / Nature Bath vol.6
fujiwara3
4
2.2k
がんばらないスポットインスタンス運用 / Spot-instance-Matsuri
fujiwara3
1
3.1k

Other Decks in Technology

See All in Technology
How to Write Robust Python Code
hayaosuzuki
5
1.1k
copilot-cli(Fargate)でRailsを運用するためのTips / JAWS-UG Okayama 2023
interu
1
310
ユーザーストーリーマッピング
kawaguti
PRO
4
860
食べログChatGPTプラグイン導入で見えてきた未来:データサイエンティストの向き合い方
moritama1515
PRO
3
410
「Go Style Guide」から学んだ可読性の高いコードの書き方
andpad
5
2.6k
[春のDojo祭り'23] いまからでも遅くない!データベース超入門 ハンズオン編
leekwangsoo1995
2
340
プロデュ―サーさん、今日も安全運転でよろしくね☆~OBD2を用いた速度・回転数検知ツールの開発~
hato3isfriend
0
130
競プロ作問を支える技術
tsutaj
0
240
個人データの利用に対する許容度に関する社会調査
hiroshinakagawa
0
150
機械学習モデル性能向上への学習データからのアプローチ
okada_fuutass
0
110
組織一丸となってカスタマーサクセスを実現するための取り組みと悩み
zakiyama
0
140
FaaS における Java 起動時間の比較 (AWS / Azure / GCP) #jjug_ccc #jjug_ccc_d
tacck
2
670

Featured

See All Featured
Put a Button on it: Removing Barriers to Going Fast.
kastner
56
2.6k
Typedesign – Prime Four
hannesfritz
34
1.6k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
5
6.5k
Rebuilding a faster, lazier Slack
samanthasiow
70
7.7k
Adopting Sorbet at Scale
ufuk
66
8k
Unsuck your backbone
ammeep
660
56k
Building Flexible Design Systems
yeseniaperezcruz
315
35k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
25
5.3k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
9
780
[RailsConf 2023] Rails as a piece of cake
palkan
7
1.5k
Bootstrapping a Software Product
garrettdimon
PRO
299
110k
Happy Clients
brianwarren
90
6k

Transcript

  1. knockrd
    @fujiwara
    2020.07.21 ٢঵ࣉ.pm23

    View Slide

  2. ࣗݾ঺հ
    @fujiwara
    github.com/fujiwara

    View Slide

  3. ʮࠓ೥ͷલ൒ͷ׆ಈΛৼΓฦΔʯ

    View Slide

  4. ςϨϫʔΫ
    VPN ͕
    ͳ͍ͱͩΊʁ

    View Slide

  5. VPN ૿ڧରԠ

    View Slide

  6. ͳͥ VPN ͕ඞཁ͔
    1. ࣾ಺ωοτϫʔΫͷαʔόʹΞΫηε͢ΔͨΊ
    • ࢓ํͳ͍
    • Ͱ΋ฐࣾʹ͸΋͏΄΅ଘࡏ͠ͳ͍ (AWS, G Suite...)
    2. ֎෦ͷαʔό͕઀ଓݩIPΞυϨεΛ੍ݶ͍ͯ͠Δ
    • Θ͔Δ
    • Ͱ΋ਏ͍ɻͰ͖Ε͹΍Ί͍ͨ

    View Slide

  7. IP ΞυϨε੍ݶͷͳʹ͕ਏ͍͔
    ڌ఺͕͍ͬͺ͍͋Δ (ΦϑΟε͝ͱʹIPΞυϨε)
    ૿͑ͨΓݮͬͨΓ͢Δ (ͦͷͨͼʹ௥Ճ࡟আ໘౗)
    ݹ͍ΞυϨεΛফ͠๨ΕΔ (ଘࡏࣗମ๨Ε͍ͯΔ)
    IPΞυϨεͰ੍ݶͯ͠Δ͔ΒͬͯϢϧϢϧʹ͕ͪ͠
    (ଞͷೝূΛαϘΔ)
    ϦϞʔτϫʔΫͰ͸ VPN ͕ඞཁ !!!

    View Slide

  8. IP ΞυϨε੍ݶҎ֎ͷೝূΛֻ͚Ε͹…
    • github.com/oauth2-proxy/oauth2-proxy
    • github.com/sorah/nginx_omniauth_adapter
    • github.com/shogo82148/go-nginx-oauth2-adapter
    • AWS ALB
    طଘΞϓϦέʔγϣϯʹखΛೖΕͣʹ
    OAuth(OIDC)ೝূΛ௥ՃͰ͖Δɻ࠷ߴศར

    View Slide

  9. ΍ΉΛಘͣIPΞυϨε੍ݶΛ͍ͨ͠৔໘
    ϒϥ΢βҎ֎͔ΒΞΫηε͍ͨ͠Ϣʔεέʔε͕͋Δ
    CLI, ϒϥ΢βͰ͸ͳ͍ήʔϜͷΫϥΠΞϯτͳͲ
    ϒϥ΢βͰ͸ͳ͍ͨΊOAuth(OIDC)ೝূͰ͖ͳ͍
    ฐࣾͰͷྫ
    • ։ൃதήʔϜͷσόοάAPI
    • αʔόϝϯςφϯεதʹಈ࡞֬ೝ

    View Slide

  10. ͭ͘Γ·ͨ͠
    knockrd github.com/fujiwara/knockrd

    View Slide

  11. github.com/fujiwara/knockrd
    ϒϥ΢βͰΞΫηεͨ͠IPΞυϨε͔Βͷ઀ଓΛ
    ҰఆظؒڐՄ͢ΔͨΊͷιϑτ΢ΣΞ
    (໊લ͸ port knocking ͔ΒΠϯεύΠΞ)
    1. /allow ΛͳΜΒ͔ͷํ๏(OAuthͱ͔)Ͱอޢ
    2. POST /allow → IPΞυϨεΛ DynamoDB ʹه࿥
    ͜ͷઌ͸͍͔ͭ͘ͷํ๏Ͱ…

    View Slide

  12. nginx auth_request ͱ૊Έ߹ΘͤΔ
    1. /allow ΛͳΜΒ͔ͷํ๏(OAuthͱ͔)Ͱอޢ
    2. POST /allow → IPΞυϨεΛ DynamoDB ʹه࿥
    3. ଞͷ URL ͷΞΫηεͰ͸ nginx auth_request ͕ GET /auth
    4. DynamoDB ʹ͋ΔIPΞυϨεͳΒ 200 OK
    5. ͳ͔ͬͨΓ Expire ͢Δͱ 401 Unauthorized

    View Slide

  13. View Slide

  14. AWS WAFv2 / SecurityGroupͱ૊Έ߹ΘͤΔ
    1. /allow ΛͳΜΒ͔ͷํ๏(OAuthͱ͔)Ͱอޢ
    2. POST /allow → IPΞυϨεΛ DynamoDB ʹه࿥
    3. DynamoDB Stream ͔Β Lambda ͕ىಈ
    4. WAF IP Set / Security Group ʹ IPΞυϨεΛొ࿥
    5. Disallow / Expire ͢Δͱ Lambda ͕ىಈ
    6. WAF IP Set / Security Group ͔Β IPΞυϨεΛ࡟আ

    View Slide

  15. View Slide

  16. ༻๏ɾ༻ྔΛक͓ͬͯ࢖͍͍ͩ͘͞
    ಛఆͷIPΞυϨεΛҰఆ࣌ؒ(ઃఆՄೳ)͚ͩڐՄͰ͖Δ
    ࣌ݶͰࣗಈ࡟আɻ์ஔͯ͠΋ةݥ͕ӬଓԽͮ͠Β͍
    ϓϩόΠμͰNAT͞Ε͍ͯΔͱͦͷIPΞυϨεΛ࢖͍ͬͯΔͷ͸
    ࣗ෼͚ͩ͡Όͳ͍Մೳੑ͕͋ΔͷͰ஫ҙ
    (͋Δఔ౓ͷ஌͕ࣝ͋ΔΤϯδχΞ޲͚)
    ϒϥ΢β͚ͩͰΞΫηε͢Δ΋ͷ͸ૉ௚ʹ oauth2-proxy ͱ͔Ͱ
    github.com/fujiwara/knockrd

    View Slide