Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ネットワーク初心者でも使いやすい!VPC Latticeをご紹介します

Avatar for kimura.yuta kimura.yuta
May 29, 2024
Technology
0
510

ネットワーク初心者でも使いやすい!VPC Latticeをご紹介します

Avatar for kimura.yuta

kimura.yuta

May 29, 2024
Tweet

Other Decks in Technology

See All in Technology
エンジニア向け技術スタック情報
Avatar for 株式会社カウシェ kauche
0
110
実践! AIエージェント導入記
Avatar for 森本タカヒロ 1mono2prod
0
140
BigQuery Remote FunctionでLooker Studioをインタラクティブ化
Avatar for CUEBiC Inc. cuebic9bic
2
230
菸酒生在 LINE Taiwan 的後端雙刀流
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.1k
Agentic Workflowという選択肢を考える
Avatar for takuya kikuchi tkikuchi1002
1
390
Navigation3でViewModelにデータを渡す方法
Avatar for mikan mikanichinose
0
210
Oracle Cloud Infrastructure:2025年6月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
2
140
AIエージェント最前線! Amazon Bedrock、Amazon Q、そしてMCPを使いこなそう
Avatar for みのるん minorun365
PRO
11
4.1k
PHPでWebブラウザのレンダリングエンジンを実装する
Avatar for ディップ株式会社 dip_tech
PRO
0
170
原則から考える保守しやすいComposable関数設計
Avatar for Mori Atsushi moriatsushi
3
500
米国国防総省のDevSecOpsライフサイクルをAWSのセキュリティサービスとOSSで実現
Avatar for Shun Yoshie syoshie
2
820
監視のこれまでとこれから/sakura monitoring seminar 2025
Avatar for FUJIWARA Shunichiro fujiwara3
10
2.9k

Featured

See All Featured
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.5k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
28
5.4k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
790
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
81
9k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
181
53k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
430
65k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
32
5.9k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.3k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.4k

Transcript

  1. ネットワーク初心者でも使いやすい! VPC Latticeをご紹介します

  2. 自己紹介 木村優太 (きむらゆうた) CM入社:2023年3月 オフィス:日比谷オフィス 所属:AWS事業本部コンサルティング部 趣味:野球観戦・カラオケ

  3. Latticeの概要 • VPC LatticeはVPC向けのリバースプロキシサービスで、 VPCを跨いだ通信を可能 にする • HTTP、HTTPS、gRPCに対応しており、利用側のVPCと提供側のVPCのCIDRが 重複していてもアクセスができるようになっている ◦

    IPv4、IPv6についても意識しなくて接続可 ◦ RAMで共有することでクロスアカウントでの接続も可能 • 但しリージョンを跨ぐ通信に関しては対応していない • ルートテーブルの設定などネットワークに関わる部分は自動で作成してくれる

  4. 想定ユースケース • 同アカウント内で別VPCに存在しているVPC Lambdaに対してアクセスしたい • 自社のOrganizations内のアカウント間でEC2に対してアクセスをしたい • サービスを連携している他社に対して InternalALBへのアクセスを提供したい

  5. Latticeの全体像

  6. Latticeの主要コンポーネントについて

  7. サービスネットワーク • サービスネットワークはVPCとサービスを結びつけるハブの役割のリソース • サービスネットワーク1つあたりVPCとサービスそれぞれ500個まで関連付けることが 可能 • 但しVPCからは関連付けられるサービスネットワークは 1つのみ •

    IAM認証の設定やログの設定を行うことができる

  8. サービス • ドメインが払い出され、Latticeへのアクセスを行う際はこのリソースに対してアクセス を行う。カスタムドメインも設定可能 • ALBと同様にリスナーを設定でき、ルールごとにアクセスを振り分けることができる。 ◦ 設定できる条件はパスとメソッドのみで固定レスポンスは 404と500のみで固定 メッセージ

    • 時間単位で費用が発生する • IAM認証の設定やログの設定を行うことができる

  9. ターゲットグループ • サービスのリスナーに設定する転送ルールのアクション先を設定できる • ターゲットグループの対象にできるリソースは以下 ◦ IP ◦ EC2 ◦

    VPC Lambda ◦ Internal ALB • サービスとターゲットグループは同アカウント内に存在している必要がある

  10. 設計パターン

  11. セキュリティについて • Latticeのセキュリティには4つのレイヤーがある ◦ サービスとサービスネットワークの関連付け ◦ VPC とサービスネットワーク間の関連付けにセキュリティグループをアタッチす る ◦

    サービスにIAM認証をアタッチする ◦ サービスネットワークにIAM認証をアタッチする 参考:https://docs.aws.amazon.com/ja_jp/vpc-lattice/latest/ug/what-is-vpc-lattice.html#vpc-service-network-features

  12. IAM認証を活かした設計例

  13. IAM認証を活かした設計例のメリデメ • メリット ◦ サービスネットワークを集中管理することができ、責任分界点を明確にしやすい ◦ 特定のリソースにのみ特定のサービスのアクセスを許可するなど細やかな制御 ができる • デメリット

    ◦ 一部のリソースの指定方法を除き SigV4署名を行う必要がある ◦ 大規模になればなるほどサービス側に定義する、 IAM認証のポリシーが複雑に なる

  14. サービスとVPCの関連付けを活かした設計例

  15. サービスとVPCの関連付けを活かした設計例のメリデメ • メリット ◦ 経路の限定が関連付けのみとなるので容易で分かりやすい ◦ IAM認証の設定による、署名の付与などのアプリ側の改修が不要 • デメリット ◦

    サービスネットワークを数多く作成することになるので、責任分界点を決めにく い ◦ アクセスする側のVPC内の各リソースから特定のサービスに対してのみアクセ ス可能にするなどの細かい制御ができない

  16. 構築する際のつまづきポイント

  17. SGでLatticeからのアクセスを許可する アクセスを受け付ける側のリソースにて、 Latticeからのアクセスを許可する設定が必要になります。 Lattice用のプレフィックスリストが用意されているので、そちらを登録してアクセスを許可してください。

  18. IAM認証を利用する場合には権限とSigV4署名が必要 IAM認証を利用する場合、一部を除きアクセスをする側に Latticeの実行権限とSigV4の署名が必要になりま す。 どちらかが欠けると実行エラーとなってしまいますので注意してください。 参考:https://dev.classmethod.jp/articles/lattice-iam-cert/    https://docs.aws.amazon.com/ja_jp/vpc-lattice/latest/ug/sigv4-authenticated-requests.html

  19. ご清聴いただきありがとうございました。

  20. 参考

  21. VPCに関連付けられるサービスネットワークは一つのみ VPCに複数のサービスネットワークを関連づけることはできません。 VPCからアクセスしたいサービスを関連づけているサービスネットワークに関連づけるようにしてください。

  22. 実現できない例

  23. 実現できる例

  24. 実現できる例