Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデー...
Search
nagisa_53
December 15, 2024
Technology
560
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデートについて
nagisa_53
December 15, 2024
More Decks by nagisa_53
See All by nagisa_53
CloudFrontのHost Header転送設定でパケットの中身はどう変わるのか?
nagisa53
1
330
AWS Network Firewall Proxyを触ってみた
nagisa53
1
480
re:Inventで出たインフラエンジニアが嬉しかったアップデート
nagisa53
4
300
Rodeoで感じたアーキテクチャ図は言語の壁を越える!?
nagisa53
1
85
re:Invent 2025で発表されたNW系のアップデートについて?
nagisa53
1
85
ラスベガス到着~12/2までに現地で学んだこと
nagisa53
0
30
ALBのURL / Host Header rewriteを試してみた
nagisa53
0
470
re:Inventに向けてウォームアップしよう!
nagisa53
1
280
re:Inventに行くまでにやっておきたいこと
nagisa53
0
2.6k
Other Decks in Technology
See All in Technology
AIに「使われる」時代のSaaS戦略 〜既存WebAPIのMCPサーバー化における開発ノウハウ〜
ekispert_api
0
300
ヘルスケア領域における AI 活用と その安全性担保のための取り組み (Leveraging AI in Healthcare and Our Efforts to Ensure Its Safety) - Google I/O Extended Tokyo 2026, July 11, 2026
zettaittenani
0
230
オブザーバビリティ、本当に活用できてる? 〜API連携×生成AIで成熟度を自動評価〜
dmmsre
1
2.5k
Docker Desktop不要の時代が来る? WSL標準の「wslc」で Linuxコンテナを動かしてみた.
ueponx
0
840
貴方はどのエンジニアリングを磨くのか
hatyibei
0
110
cccccc
moznion
0
1.8k
最適な自走を最小限の支援で — M&Aで拡大する組織で少人数SREが挑んだ1年 / SRE NEXT 2026
genda
0
710
知らん間に、回ってる
ming_ayami
0
370
AIと共生する開発者プラットフォーム:バクラクのモノレポ×マイクロサービス基盤
sakajunquality
2
3k
はじめてのWDM
miyukichi_ospf
1
130
アカウントが増えてからでは遅い? ~ マルチアカウント統制の勘所 ~
kenichinakamura
0
210
攻撃者がいなくてもAIエージェントはインシデントを起こす
nomizone
0
210
Featured
See All Featured
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
750
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
250
Six Lessons from altMBA
skipperchong
29
4.3k
Skip the Path - Find Your Career Trail
mkilby
1
160
GitHub's CSS Performance
jonrohan
1033
470k
The SEO identity crisis: Don't let AI make you average
varn
0
510
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
3
890
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.7k
Tell your own story through comics
letsgokoyo
1
990
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
400
Darren the Foodie - Storyboard
khoart
PRO
3
3.4k
Thoughts on Productivity
jonyablonski
76
5.2k
Transcript
NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデートについて 2024/12/16 五味 なぎさ
自己紹介 所属:某SIer勤務 職種:インフラ・クラウドアーキテクト 最近はパブリッククラウド案件推進部署のマネージャー業が中心 趣味:キックボクシング、離島でダイビング 好きなAWSサービス:NW系サービス全般
JAWSに初めて参加したのはNW-JAWS勉強会#7(2020/12 オンライン) その他:JAWS-UGクラウド女子会運営、2024 Japan AWS Top Engineer 2022/2023/2024 Japan AWS All Certifications Engineers X(旧Twitter):@nagisa_53
re:Invent 2024および開催前期間に発表されたNW関連のアップデートの 内、自身にとって嬉しかった(推し)アップデートについて ・アップデートの内容 ・なぜ嬉しかったか ・一部サービスについては実際に触ってみた結果 についてお話していきます。 ※結果的に予選落ちの3件になってしまいましたがご了承ください ※本日の内容は個人の見解であり、所属する組織の公式見解ではありません 本日お話する内容について
対象のアカウント/リージョン内のVPCへのパブリックアクセスを 統一的にブロックできるようになりました 以下のように双方向ブロック/Ingress方向のみブロックから選択可能 各VPCで設定されているSecurity GroupやNetwork ACLよりも優先される ①
VPCがブロックパブリックアクセスに対応
なぜ嬉しかったか ① VPCがブロックパブリックアクセスに対応 これまでは意図せずVPCがインターネット公開されてしまうリスクに対し、 設定されたものを検出/修復する、権限管理を細かく行うことでリスクを軽 減するなどの対策が主となり、(特に大量のVPCを管理しているケースなど で)予防的措置を取る難易度が高かった 今回のアップデートにより、VPCのインターネットアクセス拒否設定が簡素 化され、統一的なVPCアクセスの予防制御が行いやすくなった
CloudFrontからVPCのプライベートサブネットにある ALB、NLB、EC2 へ直接接続できるようになりました ② Amazon CloudFront が VPC Originに対応
AWS Cloud Virtual private cloud (VPC) Private subnet Amazon CloudFront Application Load Balancer Instances Origin
なぜ嬉しかったか ② Amazon CloudFront が VPC Originに対応 これまでCloudFrontのOriginとしてVPC上のリソースを利用する場合、パブ リックサブネットにグローバルIPアドレスを持つリソース(ALB/NLB/EC2
等)が必要だった ・VPC内のリソースをインターネットにさらす必要があった (Headerによる制限やManaged Prefix Listによる送信元制限はできたものの) ・グローバルIPアドレスの利用が必須で、コスト面でデメリットがあった 今回のアップデートにより、VPC内のOriginをインターネットに直接さらす 必要がなくなり、また、外部公開向けにVPC内リソースへのグローバルIPア ドレス付与が必須ではなくなった
実際に触ってみた 前提として事前に以下のリソースがあるとします VPC プライベートサブネット Internet
Gateway オリジンとなるInternal ALB(今回はALBから固定レスポンスを返す形で検証) 大まかな流れ ① Cloud FrontでVPC Originを作成 作成が完了するとVPCの指定したオリジンと同じサブネットにVPC Origin用のENIが作成される (専用のSecurity Groupも併せて作成される) ② オリジンとなるInternal ALBのSecurity Groupに①で作られたSGからInbound通信を許可す るルールを適用 ③ ①で作成したVPC Originを利用するCloud Frontディストリビューションを作成 ② Amazon CloudFront が VPC Originに対応
実際に触ってみた 無事に疎通 ② Amazon CloudFront が VPC Originに対応
実際に触ってみて分かったこと パブリックサブネットは不要だがIGWは必要 ユーザ側でIGW向けのルート設定は不要だが、AWS内部の通信で利用されている模様 OriginのSGではVPC OriginのENIに付与されるSGからのInbound通信だけ許可す れば疎通可能。以下Developer
Guideより。 Origin(今回はALB)のログにはAWS内部で利用されているグローバルIPアドレ ス(おそらくCloud Front内部で利用されているもの)が送信元として記録され ていた ② Amazon CloudFront が VPC Originに対応
CloudFrontがAnycast静的IPアドレスに対応しました Anycast静的IPアドレスとは? Anycastアドレスが割り当てられたインタフェース群に対しいくつかの固定のIP アドレスが割り当てられ、ネットワーク的な距離が最も近いインタフェースに 配信されるという技術 障害時動作やパフォーマンス面でもメリットがあるが、複数のエッジへの固定
エンドポイント(= 静的IPアドレス)を提供する目的でも利用される ※ALB/NLB等はGlobal Acceleratorを利用することでAnycast静的IPアドレスが利用可能 ③ CloudFrontがAnycast静的IPアドレスに対応
なぜ嬉しかったか ③ CloudFrontがAnycast静的IPアドレスに対応 これまでCloudFrontのIPアドレスは固定不可だった クライアント側でIPアドレスベースの送信先制限を行っていた場合に以下のような対応が 必要であった ・CloudFrontを経由しない入り口を作る ・広いIPアドレスレンジへの通信を許可する&CloudFrontのIPアドレス変更に追随 今回のアップデートによりCloudFrontのIPアドレスが固定できるようになっ
たため、上記のようなケースに対応できるようになった ※ただし、利用には月額3,000USDかかるため、 どうしても固定する必要があるかの検討は必要そう
実際に触ってみた(お金は払えないので設定画面のみ) ③ CloudFrontがAnycast静的IPアドレスに対応 ①こちらを選択 ② リクエストを送信 ③ Static IPsが確保できたらディス
トリビューションの設定側で指定 価格クラスで「すべてのエッジロケーションを使用する」を選択する、IPv6はオフにするなど、前提となる 設定があるため、詳しくはDeveloper Guideを確認してください。
14:00~AWS目黒オフィスでのオフライン開催です LT枠もまだ空いているので、興味のある方はご参加お願いします! エスコート枠(女性参加者1名につき男性も参加できる制度)であれば男性も参加可能です! 1/25(土)にクラウド女子会でre:Capイベントやります connpass URL