Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ネットワーク初心者でも使いやすい!VPC Latticeをご紹介します

kimura.yuta
May 29, 2024
Technology
0
310

ネットワーク初心者でも使いやすい!VPC Latticeをご紹介します

kimura.yuta

May 29, 2024
Tweet

Other Decks in Technology

See All in Technology
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
500
AWS⼊社という選択肢、⾒えていますか
iwamot
2
1.1k
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
2
850
組み込みLinuxの時系列
puhitaku
4
1.1k
Amazon CloudWatch Network Monitor のススメ
yuki_ink
0
160
私はこうやってマインドマップでテストすることを出す!
mineo_matsuya
0
300
ドメイン名の終活について - JPAAWG 7th -
mikit
32
19k
Lambdaと地方とコミュニティ
miu_crescent
2
320
20241108_CS_LLMMT
shigashiyama
0
260
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
120
DMARC 対応の話 - MIXI CTO オフィスアワー #04
bbqallstars
1
140
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
410

Featured

See All Featured
Testing 201, or: Great Expectations
jmmastey
38
7.1k
Speed Design
sergeychernyshev
24
610
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Scaling GitHub
holman
458
140k
Docker and Python
trallard
40
3.1k
The Cost Of JavaScript in 2023
addyosmani
45
6.7k
Optimising Largest Contentful Paint
csswizardry
33
2.9k
Faster Mobile Websites
deanohume
305
30k
Building Your Own Lightsaber
phodgson
102
6.1k

Transcript

  1. ネットワーク初心者でも使いやすい! VPC Latticeをご紹介します

  2. 自己紹介 木村優太 (きむらゆうた) CM入社:2023年3月 オフィス:日比谷オフィス 所属:AWS事業本部コンサルティング部 趣味:野球観戦・カラオケ

  3. Latticeの概要 • VPC LatticeはVPC向けのリバースプロキシサービスで、 VPCを跨いだ通信を可能 にする • HTTP、HTTPS、gRPCに対応しており、利用側のVPCと提供側のVPCのCIDRが 重複していてもアクセスができるようになっている ◦

    IPv4、IPv6についても意識しなくて接続可 ◦ RAMで共有することでクロスアカウントでの接続も可能 • 但しリージョンを跨ぐ通信に関しては対応していない • ルートテーブルの設定などネットワークに関わる部分は自動で作成してくれる

  4. 想定ユースケース • 同アカウント内で別VPCに存在しているVPC Lambdaに対してアクセスしたい • 自社のOrganizations内のアカウント間でEC2に対してアクセスをしたい • サービスを連携している他社に対して InternalALBへのアクセスを提供したい

  5. Latticeの全体像

  6. Latticeの主要コンポーネントについて

  7. サービスネットワーク • サービスネットワークはVPCとサービスを結びつけるハブの役割のリソース • サービスネットワーク1つあたりVPCとサービスそれぞれ500個まで関連付けることが 可能 • 但しVPCからは関連付けられるサービスネットワークは 1つのみ •

    IAM認証の設定やログの設定を行うことができる

  8. サービス • ドメインが払い出され、Latticeへのアクセスを行う際はこのリソースに対してアクセス を行う。カスタムドメインも設定可能 • ALBと同様にリスナーを設定でき、ルールごとにアクセスを振り分けることができる。 ◦ 設定できる条件はパスとメソッドのみで固定レスポンスは 404と500のみで固定 メッセージ

    • 時間単位で費用が発生する • IAM認証の設定やログの設定を行うことができる

  9. ターゲットグループ • サービスのリスナーに設定する転送ルールのアクション先を設定できる • ターゲットグループの対象にできるリソースは以下 ◦ IP ◦ EC2 ◦

    VPC Lambda ◦ Internal ALB • サービスとターゲットグループは同アカウント内に存在している必要がある

  10. 設計パターン

  11. セキュリティについて • Latticeのセキュリティには4つのレイヤーがある ◦ サービスとサービスネットワークの関連付け ◦ VPC とサービスネットワーク間の関連付けにセキュリティグループをアタッチす る ◦

    サービスにIAM認証をアタッチする ◦ サービスネットワークにIAM認証をアタッチする 参考:https://docs.aws.amazon.com/ja_jp/vpc-lattice/latest/ug/what-is-vpc-lattice.html#vpc-service-network-features

  12. IAM認証を活かした設計例

  13. IAM認証を活かした設計例のメリデメ • メリット ◦ サービスネットワークを集中管理することができ、責任分界点を明確にしやすい ◦ 特定のリソースにのみ特定のサービスのアクセスを許可するなど細やかな制御 ができる • デメリット

    ◦ 一部のリソースの指定方法を除き SigV4署名を行う必要がある ◦ 大規模になればなるほどサービス側に定義する、 IAM認証のポリシーが複雑に なる

  14. サービスとVPCの関連付けを活かした設計例

  15. サービスとVPCの関連付けを活かした設計例のメリデメ • メリット ◦ 経路の限定が関連付けのみとなるので容易で分かりやすい ◦ IAM認証の設定による、署名の付与などのアプリ側の改修が不要 • デメリット ◦

    サービスネットワークを数多く作成することになるので、責任分界点を決めにく い ◦ アクセスする側のVPC内の各リソースから特定のサービスに対してのみアクセ ス可能にするなどの細かい制御ができない

  16. 構築する際のつまづきポイント

  17. SGでLatticeからのアクセスを許可する アクセスを受け付ける側のリソースにて、 Latticeからのアクセスを許可する設定が必要になります。 Lattice用のプレフィックスリストが用意されているので、そちらを登録してアクセスを許可してください。

  18. IAM認証を利用する場合には権限とSigV4署名が必要 IAM認証を利用する場合、一部を除きアクセスをする側に Latticeの実行権限とSigV4の署名が必要になりま す。 どちらかが欠けると実行エラーとなってしまいますので注意してください。 参考:https://dev.classmethod.jp/articles/lattice-iam-cert/    https://docs.aws.amazon.com/ja_jp/vpc-lattice/latest/ug/sigv4-authenticated-requests.html

  19. ご清聴いただきありがとうございました。

  20. 参考

  21. VPCに関連付けられるサービスネットワークは一つのみ VPCに複数のサービスネットワークを関連づけることはできません。 VPCからアクセスしたいサービスを関連づけているサービスネットワークに関連づけるようにしてください。

  22. 実現できない例

  23. 実現できる例

  24. 実現できる例