NW-JAWS 勉強会#9.5: 1年間のNW関連の新サービス振り返り

Transcript

1. © 2023, Amazon Web Services, Inc. or its affiliates. ©

   2023, Amazon Web Services, Inc. or its affiliates. 1年間のNW関連の新サービス振り返り NW-JAWS 勉強会#9.5 Hiroki Fujii Sr. Network Specialist Technical Account Manager Amazon Web Services Japan G.K. 2023/11/01

2. © 2023, Amazon Web Services, Inc. or its affiliates. 内容についての注意点

   2 • 本資料では2023年11月1日(JST)現在のサービス内容および価格についてご説明しています。最新の 情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 • 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相違があっ た場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 • 価格は税抜表記となっています。日本居住者のお客様には別途消費税をご請求させていただきます。 • AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.

3. © 2023, Amazon Web Services, Inc. or its affiliates. 自己紹介

   3 名前：藤井 博貴 (ふじい ひろき) 所属：アマゾンウェブサービスジャパン合同会社 技術支援本部 シニア ネットワーク スペシャリスト テクニカル アカウント マネージャー ロール：AWS エンタープライズサポート (有償サポートサービス) へ ご契約のお客様に対し、Network系サービスの技術支援 経歴：外資系SIerにて担当顧客向けにオフィスやデータセンターネットワークの設計構築を従事 日系EC事業者にて商用サービス向けのバックボーンネットワークやインターネット、 パブリッククラウド周辺の企画や設計構築運用、国内外のチームマネジメントを経験 好きな AWS サービス：AWS Direct Connect, AWS Transit Gateway, Amazon CloudWatch

4. © 2023, Amazon Web Services, Inc. or its affiliates. Agenda

   4 • 新サービスリリース (リージョン対応を含む) • サービス機能拡張 • IPv6関連 • 番外編 (AWS Direct Connect サービスクオータ)

5. © 2023, Amazon Web Services, Inc. or its affiliates. ©

   2023, Amazon Web Services, Inc. or its affiliates. 新サービスリリース (リージョン対応を含む) 5

6. © 2023, Amazon Web Services, Inc. or its affiliates. ＜Amazon

   VPC Lattice＞東京リージョンにて利用可能 6 特徴 • AWS Re:Invent 2022 でプレビュー公開された 新しいサービス間接続の管理サービスである VPC Lattice が一般提供に • プレビュー時点からの差異は以下のとおり – サービスにカスタムドメインが利用可能に – オープンソースの AWS Gateway API Controller が利用可能に – サービスターゲットで ALB / NLB に対応 – IP アドレスターゲットで IPv6 に対応 注意点 • VPC Lattice は、米国東部 (オハイオ)、米国 東部 (バージニア北部)、米国西部 (オレゴン)、 アジアパシフィック (シンガポール)、アジアパシフィッ ク (東京) を含む計 11 の AWS リージョンで利 用可能 • VPC Lattice の利用料は、プロビジョンされた サービスの数と、データ処理のトラフィック量、リクエ スト数の 3 つに依存 VPC Lattice の利用開始画面 https://aws.amazon.com/about-aws/whats-new/2023/03/general-availability-amazon-vpc-lattice/ https://aws.amazon.com/jp/blogs/aws/simplify-service-to-service-connectivity-security-and-monitoring-with-amazon-vpc-lattice-now-generally-available/ 3月31日 参考ページ

7. © 2023, Amazon Web Services, Inc. or its affiliates. ＜AWS

   Direct Connect＞印西市 (千葉県) で 新しい AWS Direct Connect Location が利用可能 7 特徴 • NEC 印西データセンターに新しい AWS Direct Connect Location が開設 • 印西は日本国内で 4 番目の Location • 東京リージョンのロケーションでは 6 番目 • 1 Gbps、10 Gbps、100 Gbps の専用接続を提供 • MACsec 暗号化は 10 Gbps と 100 Gbps の接続に対応 • 関東圏内での新たなネットワーク経路としても利用可能 https://aws.amazon.com/about-aws/whats-new/2023/05/aws-direct-location-inzai-japan/ https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/Colocation.html#cross-connect-ap-northeast-1 5月30日 AWS Direct Connect 接続の設定画面 参考ページ

8. © 2023, Amazon Web Services, Inc. or its affiliates. ＜AWS

   Verified Access＞東京リージョンにて利用可能 8 特徴 ▪ Verified Access が東京リージョンをサポート ▪ Verified Access はWeb標準の認証方法 (OIDC) を利用し、企業内のWebシステムへ VPN レスで (VPN を利用せず) アクセスを実現 ▪ AWS ゼロトラストの基本原則に基づき、複数のセキュリ ティシグナルを用いた企業アプリへのアクセス (アイデンティ ティ,場所, デバイス, セキュリティ状態) ▪ 企業アプリケーションへのアクセス要求とログに対する完全 な可視性の確保 Verified Accessの利用開始画面 10月9日 参考ページ https://aws.amazon.com/jp/about-aws/whats-new/2023/10/aws-verified-access-two-regions/ https://docs.aws.amazon.com/verified-access/

9. © 2023, Amazon Web Services, Inc. or its affiliates. 大阪リージョンへの展開

   9 サービス名 発表日 特徴 注意点 AWS Cloud WAN 6月29日 Cloud WAN は、企業が AWS に グローバルな (複 数リージョンを跨ぐ) バックボーンネットワークを構築でき るマネージド WAN サービス。 東京と大阪のリージョン間のダイナミックなルーティング 設計、実装が可能。 AWS Direct Connect は現在未サ ポート (Direct Connect は Transit Gateway と連携させて利用すること が可能)。 AWS Global Accelerator 6月29日 静的なエニーキャストアドレスを利用し、トラフィックを可 能な限りユーザーに近い正常なエンドポイントから AWS グローバルネットワークに進入させることで、イン ターネットに接続するアプリケーションの可用性、セキュリ ティ、パフォーマンスを向上させるように設計されたサー ビス。 大阪に Global Accelerator のトラフィックに対応す る、新しいエッジロケーションを追加。 以前から大阪リージョンに Global Accelerator のトラフィックに対応する エッジロケーションは存在していた。 今回のアップデートにより、エッジロケー ションが増えたことにより、可用性が高く なった。 AWS Client VPN 10月16日 お客様はリモートワーカーに AWS またはオンプレミス ネットワーク内のリソースへの安全なアクセスを提供 (AWS VPN デスクトップクライアントまたは OpenVPN ベースのクライアントから選択可能)。 SSO (シングルサインオン) を実現した り、シンプルに企業内/イントラネット上 のWebシステムへの接続性をユーザー に提供したい場合、AWS Verified Access の利用も要検討。 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/building-multi- region-aws-client-vpn-with-microsoft-active-directory-and-amazon-route-53/ 参考ページ

10. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2023, Amazon Web Services, Inc. or its affiliates. 機能拡張 10

11. © 2023, Amazon Web Services, Inc. or its affiliates. ＜Application

    Load Balancer (ALB) ＞ TLS プロトコルバージョン1.3 をサポート 11 特徴 • ALB のセキュリティポリシーで TLS1.3 がサポート • TLS1.3 ではセキュリティとスピードが改善されている(以下は一例) – AEAD（Authenticated Encryption with Associated Data) で認証された暗号化を使用 – PFS（Perfect Forward Secrecy）を提供する暗号ス イートのみ使用可 – 1 回のラウンドトリップ (1-RTT) TLS ハンドシェイクによる高 速化 • 今回のアップデートで、デフォルトポリシーが “ELBSecurityPolicy- TLS13-1-2-2021-06” となる 注意点 • すべての商用 AWS リージョン、AWS GovCloud (米国) リージョン、 および AWS Outposts で利用可能 3月22日 参考ページ https://aws.amazon.com/about-aws/whats-new/2023/03/application-load-balancer-tls-1-3/ https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html#describe-ssl-policies セキュリティポリシーの選択画面

12. © 2023, Amazon Web Services, Inc. or its affiliates. ＜AWS

    Network Firewall＞ 受信 TLS 検査が新たにすべてのリージョンで利用可能に 12 特徴 • TLS セッションを復号し、インターネット、別の VPC、または別のサブネットから発信されたイン バウンド VPC トラフィックが検査可能 • TLS トラフィックの検査をするための追加のソ フトウェアやインフラストラクチャ設定が不要に 注意点 • TLSインスペクションを利用する際、パフォーマ ンスや既存のフロー、ルールなどに影響を及ぼ す可能性があるため考慮が必要 (詳細は参 考ページ欄を参照) TLS トラフィック検査設定によるネットワークファイアウォールの例 5月9日 参考ページ https://aws.amazon.com/jp/about-aws/whats-new/2023/04/aws-network-firewall-ingress-tls-inspection-new-regions/ https://docs.aws.amazon.com/ja_jp/network-firewall/latest/developerguide/tls-inspection-considerations.html

13. © 2023, Amazon Web Services, Inc. or its affiliates. ＜Network

    Load Balancer (NLB)＞ セキュリティグループをサポート 13 特徴 • アプリケーションに転送するトラフィックをフィルタリングすることが可 能に • ターゲット側で NLB のセキュリティグループのみを許容することで、 トラフィックをターゲットに直接送信されることが防げるように – 従来はターゲットのセキュリティグループでクライアントの IP アドレスからの許可をする必要があった • セキュリティグループを関連付けした NLB を作成した場合は、異 なるセキュリティグループへ変更可能 注意点 • 現在のところ、セキュリティグループを設定できるのは新規作成 時のみ • Kubernetes の場合は、AWS Load Balancer Controller の v2.6.0 以上から利用可能 8月10日 参考ページ https://aws.amazon.com/about-aws/whats-new/2023/08/network-load-balancer-supports-security-groups/ https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html NLB 作成画面

14. © 2023, Amazon Web Services, Inc. or its affiliates. ＜AWS

    PrivateLink＞ VPC エンドポイントでユーザー定義の IP アドレスを指定可能に 14 特徴 • インターフェイス型の VPC エンドポイントに割り当てられる IPv4 および IPv6 アドレスが指定可能に • IP アドレスの許可リストによる制御を行っている場合は管理 がシンプルに 注意点 • 指定する IP アドレスはエンドポイントが属する VPC の CIDR 範囲に属し、使用可能である必要がある • 全リージョンで利用可能 8月21日 参考ページ VPC エンドポイント作成画面 https://aws.amazon.com/about-aws/whats-new/2023/08/aws-privatelink-user-defined-ip-vpc-endpoints/

15. © 2023, Amazon Web Services, Inc. or its affiliates. ＜Gateway

    Load Balancer (GWLB) ＞ 仮想プライベートゲートウェイと Amazon VPC のサブネットの間 に GWLB エンドポイントをデプロイ可能に 15 特徴 • 仮想プライベートゲートウェイ (VGW) 経由で VPC に 出入りする IPv4/v6 トラフィックを、Gateway Load Balancer エンドポイント (GWLBE) にルーティングする ことが可能に – 従来はインターネットゲートウェイ (IGW) 経由の トラフィックでのみ可能だった • これにより、Direct Connect や Site-to-Site VPN 経由でオンプレミス環境との間でやり取りされるトラフィック も、AWS Network Firewall やサードパーティ製ファイ アウォールなどで検査することも可能に 注意点 • VGW による Site-to-Site VPN 接続は IPv6 トラ フィックには未対応 • イスラエルを除くすべての商用リージョン、および AWS GovCloud (米国) リージョンで利用可能 8月30日 参考ページ オンプレミスとの間のトラフィックを GWLB 経由にして サードパーティ製仮想アプライアンスで検査を行う構成 https://aws.amazon.com/about-aws/whats-new/2023/08/gateway-load-balancer-endpoint-virtual-private-gateway-vpc/ https://aws.amazon.com/jp/blogs/networking-and-content-delivery/announcing-amazon-virtual-private-gateway- ingress-routing-support-for-gateway-load-balancer/ サードパーティ製の FW, IDS/IPS など

16. © 2023, Amazon Web Services, Inc. or its affiliates. ＜AWS

    Cloud WAN＞トンネルレス接続をサポート 16 10月24日 特徴 • GRE (Generic Routing Encapsulation) トンネルを用いた AWS Transit Gateway Connect のアタッチメント接続の機 能拡張 • GREを使用せずに、直接VPC上のサードパーティー SD-WAN アプライアンスとCloud WANがeBGPを構成し経路交換が可能 • カプセル化処理や追加のパケットオーバーヘッドを無くすことで、より 効率的なスループットを実現 (アベイラビリティゾーンあたり最大 100Gbps) 参考ページ https://aws.amazon.com/jp/about-aws/whats-new/2023/10/aws-cloud-wan-tunnel-less-high-performant-global-sd-wans/ https://aws.amazon.com/jp/blogs/networking-and-content-delivery/build-global-sd-wans-with-aws-cloud-wan-tunnel-less-connect/ AWS Cloud WAN トンネルレスコネクトアタッチメントの作成画面 注意点 • AWS Cloud WANが利用可能なすべての AWS リージョンに てサポート • Cloud WAN のアタッチメントと SD-WAN アプライアンスが別サ ブネットの場合、VPC 内ルーティングの仕様により、Cloud WAN の経路を動的に学習出来ない (同じサブネットの場合、 経路学習出来る） https://docs.aws.amazon.com/ja_jp/network-manager/latest/cloudwan/cloudwan-quotas.html

17. © 2023, Amazon Web Services, Inc. or its affiliates. ＜Amazon

    VPC＞ マルチ VPC ENI アタッチメントの一般提供 17 10月26日 特徴 • 1 つの VPC でプライマリ ENI を持つインスタンスを起動し、別の VPC のセカンダリ ENI をアタッチ可能になった • (VPC Peering や AWS Transit Gateway を利用しない構 成でも) ネットワーク間で VPC レベルの分離を維持しながら、中 央集中型のアプライアンスやデータベースなどの特定の共有ワーク ロード間での通信が可能 参考ページ https://aws.amazon.com/jp/about-aws/whats-new/2023/10/multi-vpc-eni-attachments/ EC2 インスタンス ネットワークインターフェイス画面 注意点 • インスタンスと同じアベイラビリティゾーンのENIのみアタッチ可能 • 10月27日 (日本時間) 時点では、マネージメントコンソール画 面から、異なるVPCのENIはアタッチ出来ない (AWS CLI から はアタッチ可能) • すべての商業リージョン、AWS GovCloud (米国) リージョン、 Sinnet社 が運営するアマゾンウェブサービス中国 (北京) リー ジョン、および NWCD社 が運営するアマゾンウェブサービス中国 (寧夏) リージョンで利用可能

18. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2023, Amazon Web Services, Inc. or its affiliates. IPv6関連 18

19. © 2023, Amazon Web Services, Inc. or its affiliates. IPv6アドレス対応のサービス拡張

    19 サービス名 発表日 特徴 注意点 AWS Network Firewall 1月17日 AWS Network Firewall が IPv6 のサポートを開始 AWS Network Firewall エンドポイントが IPv4, IPv6 のデュア ルスタック構成のサブネットで IPv6 に対応。 東京を含む AWS Network Firewall が 提供されている全てのリージョンで利用可能。 IPv6-onlyのサブネットは非対応。 Amazon Route 53 3月10日 ハイブリッドクラウド向けの Amazon Route 53 Resolver エンドポイントが IPv6 に対応 IPv6 アドレスを持つインバウンドエンドポイントを作成して受信 DNS クエリを受け入れたり、アウトバウンドエンドポイントを作成して Amazon VPC から IPv6 アドレスを持つ DNS サーバーに DNS クエリを転送することが可能に。 本機能は、東京と大阪を含む、Route 53 リゾルバーエンドポイントに対応した全ての AWS リージョンで利用可能。 Amazon VPC 8月4日 Amazon VPC で Elastic Network Interface における プライマリ IPv6 アドレスのサポートを開始 インターフェイスに初めて割り当てられた IPv6 アドレスは プライマリ IPv6 アドレスとなり、インスタンスが終了するか ENI がデタッチされ るまで変更や削除ができなくなる。 すべての AWS リージョンで追加料金なく利用 可能。 AWS Global Accelerator 8月8日 AWS Global Accelerator が IPv6 サポートを EC2 エンド ポイントに拡張 デュアルスタックアクセラレータの提供開始 (従来の ALB をエンドポ イントとした IPv6 対応に追加）。 従来の２つの静的 IPv4アド レスに加えて、２つの IPv6 アドレスが取得される。 デュアルスタックアクセラレータの使用には追加費 用は不要。 既存の IPv4 専用アクセラレータをデュアルスタッ クに更新することも可能（更新した場合、アクセ ラレータの IPv4 の構成は変更されない）。

20. © 2023, Amazon Web Services, Inc. or its affiliates. パブリック

    IPv4 アドレスの利用に対する 新しい料金体系を発表 20 7月28日 料金体系表 AWS ブログ “パブリック IPv4 アドレスの利用 に対する新しい料金体系を発表” からの引用 背景 • パブリック IPv4 アドレスを取得するためのコストは、過去 5 年間で 300％ 以上上昇 参考ページ https://aws.amazon.com/jp/blogs/news/new-aws-public-ipv4-address-charge-public-ip-insights/ https://aws.amazon.com/jp/blogs/news/adual-stack-ipv6-architectures-for-aws-and-hybrid-networks-jp/ https://aws.amazon.com/jp/blogs/news/dual-stack-architectures-for-aws-and-hybrid-networks-part-2-jp/ https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/aws-ipv6-support.html 特徴 • 2024 年 2 月 1 日より、パブリック IPv4 アドレスの利用 に対して新しい料金体系を導入 • パブリック IPv4 アドレス使用を節約、IPv6 採用を奨励 • Public IP Insights によるパブリック IPv4 アドレスの使 用状況の可視化、IPv6 リファレンスアーキテクチャの紹介、 AWS ネットワークサービスのIPv6 サポートの拡充

21. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2023, Amazon Web Services, Inc. or its affiliates. 番外編 (AWS Direct Connect サービスクオータ) 21

22. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    Direct Connect のクォータアップデート 22 コンポーネント アップデート前 アップデート後 AWS Direct Connect 専用接続あたりの トランジット仮想インターフェイス数 1 4 AWS Direct Connect ゲートウェイあたりの Transit Gateway 数 3 6 AWS Direct Connect ゲートウェイ当たりの 仮想プライベートゲートウェイの数 10 20 トランジット仮想インターフェイスでの AWS からオンプレミスへの AWS Transit Gateway あたりのプレフィックス数 20 200 (IPv4 と IPv6 合計) 5月 参考ページ https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/limits.html 注意点：トランジット仮想インターフェイスでのオンプレミスから AWS へのプレフィックス数は 100

23. © 2023, Amazon Web Services, Inc. or its affiliates. 参考リンク集

    AWS Cloud WAN が AWS アジアパシフィック (大阪) リージョンで利用可能に https://aws.amazon.com/jp/about-aws/whats-new/2023/06/aws-cloud-wan-asia-pacific-osaka-region/ AWS Global Accelerator に新しいエッジロケーションを追加 https://aws.amazon.com/jp/about-aws/whats-new/2023/06/aws-global-accelerator-new-edge-location/ AWS Client VPN extends availability to three additional AWS Region (英語) https://aws.amazon.com/jp/about-aws/whats-new/2023/10/aws-client-vpn-additional-aws-regions/ Amazon 提供の連続した IPv6 CIDR ブロックが利用可能に https://aws.amazon.com/jp/about-aws/whats-new/2023/01/amazon-provided-contiguous-ipv6-cidr-blocks/ AWS Global Accelerator が TCP ターミネーションを IPv6 トラフィックに拡張 https://aws.amazon.com/jp/about-aws/whats-new/2023/05/aws-global-accelerator-extends-tcp-termination-ipv6-traffic/ Amazon VPC IP Address Manager が AWS リソースの IP アドレス使用率メトリクスを公開 https://aws.amazon.com/jp/about-aws/whats-new/2023/08/amazon-vpc-ip-address-utilization-metrics-aws-resources/ Announcing new AWS Network Load Balancer (NLB) availability and performance capabilities (英語) https://aws.amazon.com/jp/about-aws/whats-new/2023/10/aws-nlb-availability-performance-capabilities/ AWS の最新情報: 2023 年のアーカイブ (ネットワークとコンテンツ配信カテゴリー) リンク 23

24. © 2023, Amazon Web Services, Inc. or its affiliates. 最後に

    24 皆さま、ラスベガス (AWS re:Invent) で またお会いしましょう！ 2000以上：全カテゴリーのセッション数 80以上：ネットワークとコンテンツ配信のセッション数 AWS re:Invent 2023日本語サイト https://aws.amazon.com/jp/events/reinvent-2023/

25. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2023, Amazon Web Services, Inc. or its affiliates. Thank you!