Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ALB「証明書上限問題」からの脱却
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
muso
January 16, 2026
Technology
0
270
ALB「証明書上限問題」からの脱却
Road to SRE NEXT 2026 @京都の発表資料
muso
January 16, 2026
Tweet
Share
More Decks by muso
See All by muso
Railsアプリの画像配信最適化 - Imgproxyを活用したパフォーマンス改善事例
nishiokashinji
0
27
Other Decks in Technology
See All in Technology
ブロックテーマでサイトをリニューアルした話 / 2026-01-31 Kansai WordPress Meetup
torounit
0
460
仕様書駆動AI開発の実践: Issue→Skill→PRテンプレで 再現性を作る
knishioka
2
610
10Xにおける品質保証活動の全体像と改善 #no_more_wait_for_test
nihonbuson
PRO
2
220
SREのプラクティスを用いた3領域同時 マネジメントへの挑戦 〜SRE・情シス・セキュリティを統合した チーム運営術〜
coconala_engineer
2
620
プロダクト成長を支える開発基盤とスケールに伴う課題
yuu26
4
1.3k
Data Hubグループ 紹介資料
sansan33
PRO
0
2.7k
こんなところでも(地味に)活躍するImage Modeさんを知ってるかい?- Image Mode for OpenShift -
tsukaman
0
120
クレジットカード決済基盤を支えるSRE - 厳格な監査とSRE運用の両立 (SRE Kaigi 2026)
capytan
6
2.6k
GitHub Issue Templates + Coding Agentで簡単みんなでIaC/Easy IaC for Everyone with GitHub Issue Templates + Coding Agent
aeonpeople
1
200
Amazon Bedrock Knowledge Basesチャンキング解説!
aoinoguchi
0
120
M&A 後の統合をどう進めるか ─ ナレッジワーク × Poetics が実践した組織とシステムの融合
kworkdev
PRO
1
420
Deno・Bunの標準機能やElysiaJSを使ったWebSocketサーバー実装 / ラーメン屋を貸し切ってLT会! IoTLT 2026新年会
you
PRO
0
300
Featured
See All Featured
Designing for Timeless Needs
cassininazir
0
130
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
0
140
Music & Morning Musume
bryan
47
7.1k
Product Roadmaps are Hard
iamctodd
PRO
55
12k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
160
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
300
The Impact of AI in SEO - AI Overviews June 2024 Edition
aleyda
5
730
The Limits of Empathy - UXLibs8
cassininazir
1
210
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.8k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2k
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
160
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2k
Transcript
ALB 「証明書上限問題」からの脱却 Road to SRE NEXT 2026 @ 京都 2026/1/16
自己紹介 活動名 無双(@nishi_okashi ) 住まい 兵庫県
前提となるお話 オンラインコミュニティサイト構築アプリ 「独自ドメイン提供」サービス お客様の好きなドメインで運用可能
課題:ALB の限界との戦い 顧客ドメインごとに SSL 証明書が必要 ここでクイズです Q. ALB にアタッチできる証明書の上限は?
A. デフォルト 25 枚
泥沼の戦い 1. 緩和申請で 100 枚 まで増枠 2. 2 台目のALB を投入
3. そして 3 台目 の足音が… 「これ、いつまで続けるの?」
解決策:NLB + Caddy NLB (Network Load Balancer) Caddy Go 製のWeb
サーバー 自動HTTPS 機能が強力
新アーキテクチャ
アーキテクチャのポイント いきなりアプリに繋ぐのではなく、既存ALB を挟む WAF やターゲットグループなどの既存資産を有効活用
移行の課題 「ダウンタイムゼロ」 で切り替えたい 手間なく証明書を発行したい http-01 チャレンジ 移行には DNS 切り替え が必要
しかし切り替え直後は証明書がない → ユーザーは SSL エラー になる
解決策:事前発行トリック 「既存のALB を経由して、新環境の証明書を作 る」 旧環境が稼働したまま、特定のアクセスだけを新環境へ転送するアプ ローチ
None
いざ、切り替え 裏で証明書確保は完了している あとは DNS をNLB へ向けるだけ → ダウンタイムゼロで移行完了!
ところでDNS の話 2 種類の方法で運用
Before: CNAME パターン A レコードはIP アドレスしか設定できない ALB のIP は定期的に変わる AWS
にはエイリアスレコードというものがあり、ALB のドメインを 登録できる 顧客全員がAWS を利用しているわけではない 解決策として弊社側でALB へ転送するドメインを用意し、顧客に CNAME 登録してもらっていた
弊社側 domain type value alb.example.com A ( エイリアスレコー ド) ALB
のデフォルトドメイ ン 顧客側 domain type value community.client.com CNAME alb.example.com これ以外にもACM 検証用のドメインを登録
Before: NS パターン CNAME が登録できない場合(ネイキッドドメイン) 、弊社へNS を向け てもらい、弊社側でレコードを登録していた
弊社側 domain type value client.com A ( エイリアスレコード) ALB のデフォルトドメイン
顧客側 domain type value client.com NS ns-xxx.awsdns-xx.com レコード管理が弊社になるので、レコード追加する必要が出た時、弊 社が対応しないといけない
After: シンプル NLB = Elastic IP ( 固定IP) ドメインの種類に関わらず… 「A
レコードでIP を向けるだけ」 顧客への案内フローが劇的に簡略化!
まとめ 課題: ALB の証明書枚数制限、管理コスト 解決: NLB + Caddy 構成への刷新 工夫:
既存ALB を活用した事前発行トリック 副産物: 固定IP 化で顧客のDNS 設定が単純化 インフラ改善がオンボーディング工数削減に繋 がった!
ご清聴ありがとうございました
nishiokashinji
torounit
knishioka
nihonbuson
coconala_engineer
yuu26
sansan33
tsukaman
capytan
aeonpeople
aoinoguchi
kworkdev
you
cassininazir
minecr
bryan
iamctodd
uxyall
portentint
aleyda
reverentgeek
inesmontani
skoyamalab
