Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DB管理をお客様に任せてみた
Search
hetare
January 21, 2024
1
500
DB管理をお客様に任せてみた
2024/01/22 JAWS-UG Tokyo ランチタイムLT会#7
hetare
January 21, 2024
Tweet
Share
Featured
See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Building Adaptive Systems
keathley
43
2.7k
Automating Front-end Workflow
addyosmani
1370
200k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.9k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.4k
Stop Working from a Prison Cell
hatefulcrawdad
271
21k
Code Review Best Practice
trishagee
69
19k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
31
1.3k
Product Roadmaps are Hard
iamctodd
PRO
54
11k
A better future with KSS
kneath
238
17k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.3k
Transcript
DB管理をお客様に 任せてみた JAWS-UG ランチタイムLT会 株式会社アイデミー 居石 峻寛
自己紹介 おりいし たかひろ 居石 峻寛 (へたれ) 株式会社アイデミー所属 化学系研究室向けSaaS Lab Bankの開発・運用
コンテナやネットワーク周りが好き (強くなりたい)
Lab Bank要件 冗長性や堅牢性など通常のSaaSに加えて お客様『データは自社で管理、でもSaaSの利点は享受したい...』
DBのみ顧客に管理してもらう SaaSのいいところどり!! • DBは顧客管理 • アプリケーションは自社管理
DBのみ顧客に管理してもらう SaaSのいいところどり!! • DBは顧客管理 • アプリケーションは自社管理 インフラ構成について お話します!
インフラ構成 テナント = 利用企業毎にDBを分けて運用する DBはテナントごとに顧客各社で管理するVPC上に配置
インフラ構成 テナント = 利用企業毎にDBを分けて運用する DBはテナントごとに顧客各社で管理するVPC上に配置 ? どう繋ぐ? IP制限、 閉鎖路、VPN...
接続方法の選択肢 VPC間の経路を確保する方法は複数存在 → 要件に合わせた選択 IPホワイトリストでの制限 Private Link (Interface型) VPC Peering
/ Transit Gateway サイト間VPN 概要 SGやWAFで接続元IPを制限 インターネット経由 VPC間をAWSの閉鎖路で繋ぐ VPC間をAWSの閉鎖路で繋ぐ 各VPCにゲートウェイを設置し VPN経路を確保する メリット 特別なリソースの作成が不要 インフラ費用は抑えられる VPC間でCIDRの重複を許容 SGでのアクセス制御が可能 ポート単位でのアクセス制御 ローカルIPで通信が可能 NLBなどのリソースが不要 IPSecによって暗号化される オンプレや他クラウドサービスも 接続可能 デメリット インターネット経由なため セキュリティ面で不安 出口にNLB/GLBが必要 Interface型VPC endpoint コスト高 VPC間でローカルCIDRが 重複できない (顧客が自由なCIDRを使えない) インターネットを経由する
選ばれたのはPrivate Linkでした サービス展開する上での複雑性を回避 • Lab Bank VPC、顧客VPC間でのCIDR重複を気にしなくて良い • 各社エンドポイント毎にSGでのアクセス制御 •
各社エンドポイント毎にPrivate Host Zoneでのドメイン付与 • 顧客DB環境をAWSに限定するのを許容
Proxyサーバ Auroraへのアクセスはドメイン経由 Private Linkの出口であるNLBの接続先はIP or TGのみ → NginxのTCP Proxyを挟む
まとめ DBは顧客管理 & アプリは自社管理 接続方法はPrivate Linkを選択 • Lab Bank VPC、顧客VPC間でのCIDR重複を気にしなくて良い
• 各社エンドポイント毎にSGでのアクセス制御 • 各社エンドポイント毎にPrivate Host Zoneでのドメイン付与