2025-06-20 PrivateLinkがNLBなしで作れるようになり便利になった

Transcript

1. PrivateLinkがNLBなしで作れるようになり 便利になった Copyright © 3-shake, Inc. All Rights Reserved. 2025-06-20

   JAWS-UG東京 ランチタイムLT会 #24 すずきまさし

2. Copyright © 3-shake, Inc. All Rights Reserved. おまえだれよ 2 •

   すずきまさし/masasuzu/@masasuz • 株式会社スリーシェイク Sreake事業部所属 • クラウドインフラなんでも屋さんをしてます ◦ 設計、運用、構築等の支援をやってます。 ◦ 支援だけでなく実作業もなんでもやります。 • AWSちょっとわかる ◦ AWS Community Builder Cloud Operation Since 2024 • Google Cloudほんのちょっとわかる • Terraformちょっとわかる

3. • PrivateLinkとは • 従来のNLBを使用したPrivateLinkとその課題 • Resource Gatewayを使用したPrivateLinkとその利点 Copyright © 3-shake,

   Inc. All Rights Reserved. 話すこと 3

4. Copyright © 3-shake, Inc. All Rights Reserved. PrivateLinkとは 01 4

5. • AWS サービスや他VPCリソースやサードパーティリソースに対してトラフィックをパブリックインターネット に公開せずにプライベート接続を提供するものです。 • VPC Endpointを通して対向サービスと接続をします。 Copyright © 3-shake,

   Inc. All Rights Reserved. PrivateLinkとは 5

6. 今回は、別VPCにあるリソースに対してプライベートアクセスを提供するパターンについて説明します。 Copyright © 3-shake, Inc. All Rights Reserved. 今回言及するPrivateLink 6

7. Copyright © 3-shake, Inc. All Rights Reserved. 従来のPrivateLink 02 7

8. 従来はNLBの設置が必須でした。 • 構成要素 ◦ VPC Endpoint ◦ Endpoint Service ◦

   NLB ▪ Target Group • Target Copyright © 3-shake, Inc. All Rights Reserved. 従来のPrivateLink構成 8

9. NLBはTarget Groupで転送する先のターゲットを指定できるのですが、以下のものが設定できます。 • インスタンス • IPアドレス • Lambda関数 • Application

   Load Blancer 特にIPアドレスを使用する場合に問題となります。 Copyright © 3-shake, Inc. All Rights Reserved. 従来のPrivateLink構成の課題 9

10. RDSをターゲットにしている場合、以下の作業が必要です。 1. エンドポイントを名前解決して IPを取得 2. 取得したIPをターゲットに設定 RDSがフェイルオーバーしたときに、 IPが変わってしまう。そのため、 IPが変わったときにターゲットも付け替え る仕組みが必要となる。

    Copyright © 3-shake, Inc. All Rights Reserved. 従来のPrivateLink構成の課題 10

11. Access Amazon RDS across VPCs using AWS PrivateLink and Network

    Load Balancer | AWS Database Blog Copyright © 3-shake, Inc. All Rights Reserved. 解決策(全体像) 11

12. 1. Amazon RDS フェイルオーバープロセスにより、新しいプライマリインスタンス IP が Route 53 に更新されます。 2.

    フェイルオーバーイベントを契機に SNSトピックにトリガーされます。 3. SNSトピックにサブスクリプションされている Lambda関数を起動します。 4. Lambda 関数は、RDSエンドポイントの IP を取得し、Network Load Balancer から現在登録されている IP を取得 します。 5. 両方のIPアドレスが同一かどうかを確認します。同一でない場合は、エンドポイントを指す新しい IPアドレスを Network Load Balancerに登録し、古いIPアドレスをNetwork Load Balancerから登録解除します。 6. これで、すべての新しいユーザー接続が新しいプライマリ インスタンスにリダイレクトされます。 Copyright © 3-shake, Inc. All Rights Reserved. 解決策(手順) 12

13. • できるけど単純にめんどくさい • NLBのターゲットにIPアドレスだけでなく、 DNS Nameが設定できてたら楽なのに Copyright © 3-shake, Inc.

    All Rights Reserved. 解決策(課題) 13

14. Copyright © 3-shake, Inc. All Rights Reserved. NLBを使用しないPrivateLink 03 14

15. • 最近のアップデートでNLBが不要でPrivateLinkが構成できるようになりました。 • 構成要素 ◦ VPC Endpoint (Resource Endpoint) ◦

    Resource Configuration ◦ Resource Gateway Copyright © 3-shake, Inc. All Rights Reserved. Resource Gatewayを利用したPrivateLink 15

16. Copyright © 3-shake, Inc. All Rights Reserved. PrivateLink比較 16

17. • IPアドレスだけでなく、 DNS Nameでリソース指定ができるようになった ◦ フェイルオーバー時にピタゴラ装置的な仕組みが不要になった ◦ 名前解決をわざわざしなくて良くなった • NLBと比べて、Resource

    Gateway、Resource Configurationの設定が楽 Copyright © 3-shake, Inc. All Rights Reserved. 嬉しいところ 17

18. Copyright © 3-shake, Inc. All Rights Reserved. まとめ 04 18

19. • NLBを使用したPrivateLinkには課題があった ◦ IP指定しているターゲットがフェイルオーバーした際など、 IPの付け替えをする必要があった。 • Resource Gatewayを使用したPrivateLinkはリソース指定にDNS Nameが使える。 ◦

    そのため、IPアドレスにまつわるもろもろの管理をしなくても済むようになった。 ◦ 若干煩雑なNLBの設定をしなくてすむようになった Copyright © 3-shake, Inc. All Rights Reserved. まとめ 19

20. • AWS PrivateLink（AWS でホストされているサービスに安全にアクセス） | AWS • What is AWS

    PrivateLink? - Amazon Virtual Private Cloud • Access Amazon RDS across VPCs using AWS PrivateLink and Network Load Balancer | AWS Database Blog • AWS が AWS PrivateLink 経由での VPC リソースへのアクセスを発表 - AWS • Securely share AWS resources across VPC and account boundaries with PrivateLink, VPC Lattice, EventBridge, and Step Functions | AWS News Blog • Access VPC resources through AWS PrivateLink - Amazon Virtual Private Cloud Copyright © 3-shake, Inc. All Rights Reserved. 参考リンク 20