Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DB管理をお客様に任せてみた
Search
hetare
January 21, 2024
1
320
DB管理をお客様に任せてみた
2024/01/22 JAWS-UG Tokyo ランチタイムLT会#7
hetare
January 21, 2024
Tweet
Share
Featured
See All Featured
Building a Modern Day E-commerce SEO Strategy
aleyda
22
6.4k
Music & Morning Musume
bryan
41
5.6k
Building a Scalable Design System with Sketch
lauravandoore
457
32k
jQuery: Nuts, Bolts and Bling
dougneiner
60
7.2k
Code Reviewing Like a Champion
maltzj
515
39k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
GraphQLの誤解/rethinking-graphql
sonatard
56
9.3k
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Become a Pro
speakerdeck
PRO
13
4.6k
Building Applications with DynamoDB
mza
88
5.6k
Building Effective Engineering Teams - LeadDev
addyosmani
32
1.9k
Transcript
DB管理をお客様に 任せてみた JAWS-UG ランチタイムLT会 株式会社アイデミー 居石 峻寛
自己紹介 おりいし たかひろ 居石 峻寛 (へたれ) 株式会社アイデミー所属 化学系研究室向けSaaS Lab Bankの開発・運用
コンテナやネットワーク周りが好き (強くなりたい)
Lab Bank要件 冗長性や堅牢性など通常のSaaSに加えて お客様『データは自社で管理、でもSaaSの利点は享受したい...』
DBのみ顧客に管理してもらう SaaSのいいところどり!! • DBは顧客管理 • アプリケーションは自社管理
DBのみ顧客に管理してもらう SaaSのいいところどり!! • DBは顧客管理 • アプリケーションは自社管理 インフラ構成について お話します!
インフラ構成 テナント = 利用企業毎にDBを分けて運用する DBはテナントごとに顧客各社で管理するVPC上に配置
インフラ構成 テナント = 利用企業毎にDBを分けて運用する DBはテナントごとに顧客各社で管理するVPC上に配置 ? どう繋ぐ? IP制限、 閉鎖路、VPN...
接続方法の選択肢 VPC間の経路を確保する方法は複数存在 → 要件に合わせた選択 IPホワイトリストでの制限 Private Link (Interface型) VPC Peering
/ Transit Gateway サイト間VPN 概要 SGやWAFで接続元IPを制限 インターネット経由 VPC間をAWSの閉鎖路で繋ぐ VPC間をAWSの閉鎖路で繋ぐ 各VPCにゲートウェイを設置し VPN経路を確保する メリット 特別なリソースの作成が不要 インフラ費用は抑えられる VPC間でCIDRの重複を許容 SGでのアクセス制御が可能 ポート単位でのアクセス制御 ローカルIPで通信が可能 NLBなどのリソースが不要 IPSecによって暗号化される オンプレや他クラウドサービスも 接続可能 デメリット インターネット経由なため セキュリティ面で不安 出口にNLB/GLBが必要 Interface型VPC endpoint コスト高 VPC間でローカルCIDRが 重複できない (顧客が自由なCIDRを使えない) インターネットを経由する
選ばれたのはPrivate Linkでした サービス展開する上での複雑性を回避 • Lab Bank VPC、顧客VPC間でのCIDR重複を気にしなくて良い • 各社エンドポイント毎にSGでのアクセス制御 •
各社エンドポイント毎にPrivate Host Zoneでのドメイン付与 • 顧客DB環境をAWSに限定するのを許容
Proxyサーバ Auroraへのアクセスはドメイン経由 Private Linkの出口であるNLBの接続先はIP or TGのみ → NginxのTCP Proxyを挟む
まとめ DBは顧客管理 & アプリは自社管理 接続方法はPrivate Linkを選択 • Lab Bank VPC、顧客VPC間でのCIDR重複を気にしなくて良い
• 各社エンドポイント毎にSGでのアクセス制御 • 各社エンドポイント毎にPrivate Host Zoneでのドメイン付与