Upgrade to Pro — share decks privately, control downloads, hide ads and more …

RDS Proxy? なにそれ おいしいの??

Kento Suzuki
October 29, 2022
Technology
1
780

RDS Proxy? なにそれ おいしいの??

2022/10/29
【オフライン】JAWS-UG青森 2022 Autumn 【八戸開催】登壇資料

Kento Suzuki

October 29, 2022
Tweet

More Decks by Kento Suzuki

See All by Kento Suzuki
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
130
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
290
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
550
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
330
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
660
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
810
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
1
630
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
320
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
650

Other Decks in Technology

See All in Technology
いまからでも遅くない!コンテナでWebアプリを動かしてみよう!コンテナハンズオン編
nomu
0
170
Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Control Secure GUI Access to the Production Environment with Change Manager
yuj1osm
0
110
Platform Engineeringで クラウドの「楽しくない」を解消しよう
jacopen
4
140
[OpsJAWS Meetup33 AIOps] Amazon Bedrockガードレールで守る安全なAI運用
akiratameto
1
120
LINE NEWSにおけるバックエンド開発
lycorptech_jp
PRO
0
330
Qiita Organizationを導入したら、アウトプッターが爆増して会社がちょっと有名になった件
minorun365
PRO
1
230
手を動かしてレベルアップしよう!
maruto
0
240
どちらかだけじゃもったいないかも? ECSとEKSを適材適所で併用するメリット、運用課題とそれらの対応について
tk3fftk
2
240
Cracking the Coding Interview 6th Edition
gdplabs
14
28k
エンジニア主導の企画立案を可能にする組織とは?
recruitengineers
PRO
1
280
ウォンテッドリーのデータパイプラインを支える ETL のための analytics, rds-exporter / analytics, rds-exporter for ETL to support Wantedly's data pipeline
unblee
0
140
DeepSeekとは?何がいいの? - Databricksと学ぶDeepSeek! 〜これからのLLMに備えよ!〜
taka_aki
1
160

Featured

See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3k
Unsuck your backbone
ammeep
669
57k
For a Future-Friendly Web
brad_frost
176
9.6k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Six Lessons from altMBA
skipperchong
27
3.6k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.1k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
40
2k
How to Ace a Technical Interview
jacobian
276
23k
The Pragmatic Product Professional
lauravandoore
32
6.4k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
100
18k

Transcript

  1. RDS Proxy? なにそれ おいしいの?? 2022/10/29 JAWS-UG⻘森 2022 Autumn 1

  2. 自己紹介 鈴⽊ 健⽃ ( Suzuki Kento ) Twitter︓ @k_suzuki_pnx 所属︓アイレット株式会社

    お仕事︓ AWSのインフラ構築・運⽤ 経歴︓ ・新卒 3 年⽬(エンジニア歴 = 社会⼈歴) ・2022 APN ALL AWS Certifications Engineer ・2022 APN AWS Top Engineer ・JAWS DAYS 2022 で発表 「S3の話をしよう ~ S3のコストとセキュリティについて考える ~」 2

  3. 自己紹介 鈴⽊ 健⽃ ( Suzuki Kento ) Twitter︓ @k_suzuki_pnx 所属︓アイレット株式会社

    お仕事︓ AWSのインフラ構築・運⽤ 経歴︓ ・新卒 3 年⽬(エンジニア歴 = 社会⼈歴) ・2022 APN ALL AWS Certifications Engineer ・2022 APN AWS Top Engineer ・JAWS DAYS 2022 で発表 「S3の話をしよう ~ S3のコストとセキュリティについて考える ~」 3

  4. 4 RDS Proxy

  5. 5 先月の私

  6. 6 普段、業務で構築依頼を受ける中で お客様からこんな構成図を渡されることが…

  7. 7

  8. 8 RDS Proxy を入れないとダメでしょ!

  9. 9 Lambda から RDS へ 接続したい RDS Proxy を使おう︕ Lambda

    → RDS 直接接続するのは アンチパターン

  10. 10 ちょっと待った!

  11. 11 Lambda から RDS へ 接続したい RDS Proxy を使おう︕ Lambda

    → RDS 直接接続するのは アンチパターン なぜ アンチパターンなのか︖ なぜ RDS Proxy を使うのか︖

  12. 12 この 2 つの解説を通して、 RDS Proxy を理解してみよう! なぜ アンチパターンなのか︖ なぜ

    RDS Proxy を使うのか︖ 目的

  13. 13 Lambda → RDS アンチパターン

  14. 14 前提︓Lambda の仕組み 呼び出されるたびにコンテナを作成し処理を実⾏ (マイクロVM) Lambda コンテナ (マイクロVM) 呼び出し

  15. 15 Lambda で RDS にログインして処理を実⾏ DBコネクションが張られる Lambda が実⾏される頻度が少なければ問題なし

  16. 16 DBコネクションが張られる RDS の最⼤同時接続数の制限に引っかかる RDS へログインする Lambda が 何度も 実⾏される

    エラー Lambdaコンテナ

  17. 17 じゃあ、 max_connections パラメーターで 最大接続の上限を上げればいいじゃん

  18. 18

  19. 19 なぜ max_connections のパラメータが存在しているか ( max_connections の変更が推奨されない理由) メモリの逼迫を避けるため コネクションを作るにはメモリを使用

  20. 20 コネクションをプーリングする何か必要がある ? Lambdaコンテナ

  21. 21 RDS Proxy そこで現れたのは

  22. 22 コネクションを指定した期間使い回すことができる

  23. 23 ここでまた疑問が浮上

  24. 24 ポーリングといえば SQS がいるじゃないか SQS じゃダメなの?

  25. 25 ダメじゃない。だけど... ・Lambda 実⾏されるの量によっては上限に引っかかる可能性はある ・⾯倒 定期的に SQS からキューを 取り出すワーカーが必要

  26. 26 RDS Proxy はおいしい

  27. 27 完

  28. 28 実際に使ってみて気づいた点

  29. 29 その1 AWS Secrets Manager が必須

  30. 30 AWS Secrets Manager とは 特徴 ・シークレットのセキュアなストレージ ・アプリケーションに悪影響を与えずにシークレットを⾃動ローテーション ・複数の AWS

    リージョンへのシークレットの⾃動レプリケーション ・プログラムでのシークレットの取得 ・シークレットの使⽤状況の監査と監視 ・シークレットあたり 0.4 USD/⽉ & 10,000 件の API コールあたり0.05USD DBの接続情報やAPIキーなど、 各種機密情報の管理を楽にするマネージドサービス

  31. 31 必須なのです

  32. 32 具体的に何を入力するの? ・ユーザー名 ・パスワード ・DB エンジン ・RDS ホスト名 ・ポート番号 ・DB

    クラスター名

  33. 33 その2 AWS 環境のどこかでパスワード情報を 管理する必要がある

  34. 34 RDS Proxy が入ると RDS には IAM 認証情報を⽤いてログインすることが可能 ・AWS の内部でパスワードを管理する必要がない

    ・EC2 や ECS などに紐づいた IAM Role を⽤いて DB にログインできる IAM Role パスワードなしでログイン

  35. 35 RDS Proxy が入ると Secret Manager でパスワードを管理する必要がある ・Lambda → RDS

    Proxy 間、もしくは RDS Proxy → RDS 間はパスワード認証を⽤いる IAM Role IAM認証 パスワード認証 Secret Manager 参考:Amazon RDS Proxy の使⽤ https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/rds-proxy.html

  36. 36 その3 権限管理をちゃんとしていないと シークレットが見えてしまう

  37. 37 ・不⽤意に IAM ユーザにadmin 権限を付与するのは NG ・「リソースのアクセス許可」は⼊れておく

  38. 38 まとめ

  39. 39 Lambda と RDS と聞いたら RDS Proxy を思い浮かべられるよう周りに布教をお願いします

  40. 40 脳死で Lambda → RDS は ダメ。ゼッタイ。