Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
組織におけるAWSネットワーク集約王者決定戦
Search
平木佳介
May 15, 2024
1
510
組織におけるAWSネットワーク集約王者決定戦
まるクラ勉強会 ONLINE #2 #02 - AWS&Google Cloudの環境分離戦略編 - 登壇資料
平木佳介
May 15, 2024
Tweet
Share
More Decks by 平木佳介
See All by 平木佳介
踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る
khiraki
1
3.9k
AWS re:Inforce 2024 re:Cap セミナー ~IAM Access Analyzerのアップデートを語ります~
khiraki
1
620
速さの鍵を握る! Fastly で実現する CDN の力
khiraki
1
640
クラウドの落とし穴:AWS Backupで発生した高額請求の衝撃とその教訓
khiraki
0
6.1k
AIと一緒に音楽を作ろう ~作曲体験セッション~ | DevelopersIO 2023
khiraki
0
1.6k
Amazon Security Lake サービス概要
khiraki
0
5.6k
Featured
See All Featured
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
Reflections from 52 weeks, 52 projects
jeffersonlam
347
20k
Making Projects Easy
brettharned
116
5.9k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
0
98
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Gamification - CAS2011
davidbonilla
80
5.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
How to Think Like a Performance Engineer
csswizardry
22
1.2k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
For a Future-Friendly Web
brad_frost
175
9.4k
Rails Girls Zürich Keynote
gr2m
94
13k
Transcript
まるクラ勉強会 ONLINE #2 - AWS&Google Cloudの環境分離戦略編 - 組織におけるAWSネットワーク集約王者決定戦 クラスメソッド(株) AWS事業本部
平木 佳介 1
自己紹介 2 ~$ whoami 平木佳介 (Hiraki Keisuke) ~$ ~$ jobs
[2]+ 実行中 クラスメソッド(株) AWS事業本部 コンサルティ ング部 ~$ ~$ groups ソリューションアーキテクト | AWS Community Builder ~$ ~$ cat 平木佳介.conf | grep 趣味 趣味: 旅行/推し事 ~$ ~$ cat 平木佳介.conf | grep 最近戯れているサービス 最近戯れているサービス: Transit Gateway
3 イントロ 皆さんはネットワーク集約 と聞いて何を思い浮かべますか?
4 イントロ Transit Gateway? Network Firewall? AWSのサービスって200種類あんねん... Route 53 Application
Recovery Controller? AWS Nanmo Wakaran? Direct Connect Gateway? Gateway Load Balancer?
5 イントロ 本日はそんなお悩みのAWSエンジニアのために 様々なソリューションたちが集結し頂点を決めます
6 イントロ • 「頂点を決める」と言っていますが決まりません ◦ AWSのベストプラクティスがシステムのベストプラクティスとは限らないため • 部門毎に評価します ◦ インバウンド通信(インターネット)
◦ アウトバウンド通信(インターネット) ◦ DNS(オンプレミス-AWS間) ◦ VPCエンドポイント • 評価項目は以下で5段階で評価します ◦ コストの低さ ◦ 運用効率の高さ ◦ 学習コストの良さ ◦ 柔軟性の高さ ◦ セキュリティ ルール
7 組織におけるAWSネットワーク集約王者決定戦 開幕!
8 部門 インバウンド通信 01 02 04 03 アウトバウンド通信 DNS VPCエンドポイント
9 部門 インバウンド通信 01 02 04 03 アウトバウンド通信 DNS エンドポイント
10 インバウンド通信 Transit Gateway PrivateLink VS.
11 インバウンド通信 Transit Gateway メリット デメリット 接続先のVPCが多数となる場合に効率良くルーティングの設定 が可能となる。 ブラックホールルートを活用することでアプリケーションVPC間 の通信を禁止するようなルーティングも可能。
Transit Gatewayルートテーブルが複数必要となるためルーティン グの知識がある程度必要。 Transit Gatewayのトラフィック量やアタッチメントに対してのコスト そこそこ発生してしまう。
12 インバウンド通信 PrivateLink メリット デメリット セキュリティグループとエンドポイントポリシでのアクセス制御が 可能。 接続先VPCのCIDRが考慮不要となる。 接続先のVPCが多いほど設定する PrivateLinkが増えてしまう。
プロバイダ(NLB)があるAZにのみ作成可能なことを考慮に入れ る必要がある。
13 インバウンド通信 評価 組織全体で共通のインバウンド通信を設ける場合 ⇒接続先VPCが多くなることから、こちらのほうが運 用効率良し。 ※CIDR重複を避けられない場合はPrivateLinkの併 用もあり。 プロジェクト内でのみマルチアカウント構成を取っ ている場合やSaaSとして他社に提供するような場
合もあれば検討の余地あり。
14 部門 インバウンド通信 01 02 04 03 アウトバウンド通信 DNS エンドポイント
15 アウトバウンド通信 NAT Gateway Network Firewall VS.
16 アウトバウンド通信 NAT Gateway メリット デメリット 割高になりやすいNAT Gatewayの費用を集約し、コストを下げ ることができる。 シンプルに構築可能。
アウトバウンド通信の制御を行いたい場合には、各アプリケーショ ン側で考慮することになる。
17 アウトバウンド通信 Network Firewall メリット デメリット Network Firewallによるトラフィックの検査が可能になりセキュ リティが向上する。 マネージドサービスによる高可用性とスケーラビリティを享受で
きる。 ポリシーをホワイトリスト形式にするかブラックリスト形式にするか など設定が複雑になる。 Network Firewallのコストが割高となる。
18 アウトバウンド通信 評価 セキュリティ要件が緩い環境やNAT Gatewayのコ ストを減らしたい場合に検討する。 ※場合によってはTransit Gatewayを使ったことで 料金が増えることもある セキュリティ要件が高い環境かつ大規模な基盤の
ガバナンスを効かせたい場合に検討する。 内部通信も検査したい場合は、監査用VPCで分離 するアーキテクチャもよし。
19 アウトバウンド通信 Tips Route 53 Resolver DNS Firewall とは、 Route
53 Resolver の Firewall を提供する機能。 • ドメインベースのフィルタリング • Firewall ManagerやRAMを活用したクロースアカウント でのポリシー管理 などが実装可能。 EC2が乗っ取られたような場合に悪意のあるサーバとの DNSを介した通信をブロック可能。 ※直接名前解決先のIPアドレスを使用したアクセスを行っ た場合はブロックされないため、攻撃の根本的な対策とは なりえない。
20 部門 インバウンド通信 01 02 04 03 アウトバウンド通信 DNS エンドポイント
21 DNS オンプレ管理 AWS管理 VS.
22 DNS オンプレ管理 メリット デメリット オンプレミス側の処理で高速な名前解決が必要なソリューショ ンの場合には有効。 リゾルバールールをRAMで共有することでDNSアカウントとメン バーアカウント間の接続が不要。 レコード管理が煩雑となり運用効率が下がる恐れがある
DNSサーバを管理する必要が出るため運用コストが発生する。
23 DNS AWS管理 メリット デメリット Route53のマネージドサービスとしてのメリットを享受できる。 ALIASレコードや様々なルーティングポリシーなど多機能な Route53を活用できる。 オンプレミスのDNSサーバーからRoute53への移行が必要とな る。
物理的な距離によるレイテンシは発生する
24 DNS 評価 自社のDNSサーバーで管理する必要がある要件 がある場合にはこちらの方法になる。 Route53でドメイン管理が行える要件の場合には 基本的にはこちらのほうが良さそう。 DNSサーバが不要であったりレコード設定が容易 などのメリットが大きい。
25 部門 インバウンド通信 01 02 04 03 アウトバウンド通信 DNS エンドポイント
26 VPCエンドポイント VPCエンドポイント集約構成
27 VPCエンドポイント VPCエンドポイント集約構成 メリット デメリット 案外高いVPCエンドポイントのコストを下げることができる。 Transit Gatewayではなくても集約VPCまでIP到達可能な状態 であれば良い。 VPCエンドポイントポリシーで細かく制御を行っているような場合
に上限にひっかかる可能性がある (とはいえ20,480文字)
28 VPCエンドポイント 評価 強制的にVPC内サービスとAWSサービスとの間を プライベートに保てるのでおすすめ。 アカウント数が多ければ多いほどコスト削減の割 合が増えていく。
29 そもそもなぜネットワーク集約するのか
30 なぜネットワーク集約するのか アカウント数が多ければ多いほど、様々な管理コストがかかってきます。 より管理者・担当者双方が楽になるためにも集約して少しでも運用負荷を減らす。 セキュリティガ バナンス コスト削減 運用負荷 の軽減
31