Qiita Night~AWS vol.2~ の LT 資料です
を使い始める前におさえておきたいポイント n 選Qiita Night~AWS vol.2~May 24th, 2023小杉 隼人 | Hayato Kosugi
View Slide
Me• Cloud Engineer @ セゾン情報システムズ• AWS Community Builder• 2019 - 2023 Japan AWS Top Engineer• 12x AWS Certified2@hayaok3 @hayao_k
1. VPC Lattice が登場した背景2. VPC Lattice の主要コンポーネント3. クロスアカウントでの利用方法Appendix.EKS クラスターと VPC Lattice の接続, セキュリティ, モニタリング, Pricing3
4
AWS PrivateLink• マイクロサービス化によるサービス間通信の課題は多岐にわたる• 疎通性の確保、ロードバランシング、認証・認可、オブザーバービリティなど• 前提となる技術スタックが多く、構成が複雑に5Account 1VPCService AAccount 2VPCService BAWS Transit GatewayAWS App MeshAWS Cloud MapElastic LoadBalancingVPC PeeringVPCService CAmazon ECS
• L7 レイヤのネットワーキングサービス (2023/3/31 GA)• サービス間通信の接続、セキュリティ、モニタリングをシンプルに実現する• HTTP 1.1/2.0 または gRPC での通信をサポート6Account 1VPCService AAccount 2Amazon VPC LatticeVPCService AVPCService CAmazon ECSElastic LoadBalancing
7
Service• サービス: EC2 / コンテナ / Lambda 関数等で動作するマイクロサービスの単位• リスナー、ルール、ターゲットグループから構成される• サービスネットワーク: サービスの集合としての論理的な境界• サービスはサービスネットワークに関連付けることでクライアントから利用可能に (Service association)8VPC Lattice Service NetworkListenerHTTPS:443Rule1: /path1Rule2: /path2Target groupsGroup 1Group 2・・・Group 3・・・Amazon EC2VPCClientWeight: 60Weight: 40Amazon ECS
Service 1• クライアントとなる VPC をサービスネットワークに関連付ける (VPC association)• VPC 同士は CIDR の重複が可能• サービス間の相互通信が必要な場合、各 VPC をサービスネットワークに接続する必要がある9VPC Lattice Service NetworkVPC 210.1.0.0/16Service 2 VPC 310.1.0.0/16VPC 110.1.0.0/16Client Service 2Service 3Service1Service 3Association AssociationAssociation1 つのサービスネットワークには多数の VPC を関連付けできる1 つの VPC は 1 つのサービスネットワークに関連付けできる1 つのサービスは多数のサービスネットワークに関連付けできるService 2 と 3 が相互に通信する場合はVPC 2 と 3 もサービスネットワークに関連付けが必要
Serviceデフォルト DNS 名 orカスタムドメイン名• サービスに払い出された DNS 名を使用してアクセス (カスタムドメインも設定可能)• サービスの DNS 名はリンクローカルアドレス (169.254.171.0/24) で解決される• インターネットやオンプレミスからのアクセスはできない10VPC Lattice Service NetworkVPCClientVPCServiceAmazon Route 53service.example.com169.254.171.23VPC をサービスネットワークに関連付けると、ルートテーブルにサービスネットワークへのルートが自動で設定されるカスタムドメインを使用する場合は、デフォルト DNS 名をCNAME レコードとして登録する
• インスタンス• EC2 インスタンスまたは Auto Scaling グループを登録可能• IP アドレス• VPC 内の IP アドレスを指定する• Internal NLB を指定したい場合は IP アドレスターゲットを利用する• AWS Gateway API Controller により Kubernetes Pod を登録可能• Lambda 関数• VPC Lambda / 非 VPC Lambda どちらも可• Application Load Balancer (Internal)11
12
• AWS Resource Access Manager (RAM) で他アカウントに共有する• サービスおよびサービスネットワークを共有可能• サービスネットワーク管理用のアカウントをたてるのがよさそう13Account 1VPC Lattice Service NetworkService 1 Service 2(Shared)VPC 1Service 1Account 2Service 2Account 3VPC Lattice Service Network(Shared)VPC 2Service 2AWS RAMVPC 3ClientAssociation
• Amazon VPC Lattice の嬉しいところ• サービス間通信の接続、セキュリティ、モニタリングをシンプルに実現する• VPC 同士の接続において CIDR を考慮する必要がない• インターネット/オンプレミスからの接続はできない• 外部システムとの接続では引き続き PrivateLink などが活躍する• セキュリティ、モニタリングについては Appendix. を参照14
15
• AWS Gateway API Controller をクラスターに導入する• クラスター上で Gateway API リソースが作成されると、対応する VPC Lattice オブジェクトを作成16Service 1VPC Lattice Service NetworkService 2VPC 1Service 1Service 3 Service 4VPC 3Service 3VPC 2Service 2VPC 4Service 4 AWS ブログより引用
• 認証タイプ (AWS_IAM) と認証ポリシー• サービスおよびサービスネットワークに設定可 (デフォルト無効)• 指定した認証ポリシーと IAM エンティティのポリシーに基づいてリクエストが認証される• セキュリティグループ• VPC を サービスネットワーク に関連付ける際にセキュリティグループを指定可能• ルールのソースに VPC Lattice のリンクローカルアドレス範囲を指定する際は AWS Managed Prefix リストを活用できる• com.amazonaws..vpc-lattice17認証ポリシーの例:特定の VPC-ID かつ認証されたリクエストのみを許可{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Principal": "*","Action": "vpc-lattice-svcs:Invoke","Resource": "*","Condition": {"StringNotEquals": {"aws:PrincipalType":"Anonymous"},"StringEquals":{"vpc-lattice-svcs:SourceVpc":"vpc-1a2b3c4d"}}}]}
アクセスログの例:{"hostHeader": "example.com","sslCipher": "-","serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d","resolvedUser": "Unknown","authDeniedReason": "null","requestMethod": "GET","targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d","tlsVersion": "-","userAgent": "-","serverNameIndication": "-","destinationVpcId": "vpc-1234789","sourceIpPort": "178.0.181.150:80","targetIpPort": "131.31.44.176:80","serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d","sourceVpcId": "vpc-1234578","requestPath": "/billing","startTime": "2021-07-28T20:48:45Z","protocol": "HTTP/1.1","responseCode": 200,"bytesReceived": 42,"bytesSent": 42,"duration": 375,"requestToTargetDuration": 1,"responseFromTargetDuration": 1}• アクセスログ• CloudWatch Logs / S3 / Kinesis Data Firehoseへの出力に対応• サービスおよびサービスネットワークに対し個別にログの出力設定ができる• サービスネットワークレベルではアーカイブ用途で S3 に出力し、特定のサービスのみ調査用途でCloudWatch Logs にも出力するといった設定も可能• CloudWatch メトリクス• https://docs.aws.amazon.com/ja_jp/vpc-lattice/latest/ug/monitoring-cloudwatch.html18
• サービス• $0.0325/Service/Hour• データ処理• $0.0325/GB• リクエスト• $0.13/Per 1 million requests• 1 時間あたり最初の 300,000 リクエストは無料※ 東京リージョン 2023/5 時点19
• Introducing Amazon VPC Lattice: Simplifying application networking (NET215)• https://d1.awsstatic.com/events/Summits/reinvent2022/NET215_NEW-LAUNCH!-Introducing-Amazon-VPC-Lattice-Simplifying-application-networking.pdf• Build secure multi-account multi-VPC connectivity for your applications with Amazon VPCLattice• https://aws.amazon.com/jp/blogs/networking-and-content-delivery/build-secure-multi-account-multi-vpc-connectivity-for-your-applications-with-amazon-vpc-lattice/• Amazon VPC Lattice と AWS Gateway API コントローラーのご紹介:Kubernetes GatewayAPI の実装• https://aws.amazon.com/jp/blogs/news/introducing-aws-gateway-api-controller-for-amazon-vpc-lattice-an-implementation-of-kubernetes-gateway-api/• Amazon VPC Lattice Workshop• https://catalog.workshops.aws/handsonwithvpclattice/20
hayaok3
taka2noda
devops_vtj
hassaku63
victorrentea
lmi
ryomaru0825
hiboma
daikisuyama
isaoshimizu
doradora09
mhrtech
puku0x
afnizarnur
bermonpainter
hannesfritz
davidbonilla
andyhume
mza
jrom
frogandcode
colly
kevinliebholz
kastner
rasmusluckow