Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
これからの設計で変わること ~pre:invent2024アップデート速報~ KDDIアジャイル開発センター株式会社 Tomoya Kitaura しむそくRadio Special DAY2 2024/11/27
Slide 2
Slide 2 text
自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ■技術コミュニティ運営 - - JAWS-UG コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ■著書 - 俺たちのSREとNew Relic
Slide 3
Slide 3 text
弊社某ヒーローのつぶやき 3
Slide 4
Slide 4 text
アジェンダ 4 - 本日の題材となるアーキテクチャ - アップデート紹介 - Amazon VPC - Block Public Access(BPA) - Amazon CloudFront - VPC origins - この変更がもたらすこと - 何が嬉しいのか - これからやっていくこと - まとめ
Slide 5
Slide 5 text
5 本日の題材となるアーキテクチャ
Slide 6
Slide 6 text
6 Amazon VPC Block Public Access(BPA) このリージョンにおいて、 パブリックアクセスを 原則、禁ずる!
Slide 7
Slide 7 text
Block Public Access(BPA) 7 - Block Public Accessとは - VPC のインターネットトラフィックを 正式にブロックできるようにする新しい集中宣言型制御 - “双方向”,”インバウンドのみ”2種類の制御が可能 - 設定の単位 - リージョン単位で設定する。 - VPC、Subnet単位で除外設定が行える。 - “インバウンドのみ”の場合はNATなどを 利用した戻りの通信は許可される。 - 無料
Slide 8
Slide 8 text
Block Public Access(BPA)の設定画面 8
Slide 9
Slide 9 text
9 Amazon VPC Block Public Access(BPA) あっ・・・
Slide 10
Slide 10 text
10 Amazon CloudFront VPC origins Private Subnetに配置されてい るリソースをCloudFrontのオリ ジンに登録する!
Slide 11
Slide 11 text
CloudFront VPC Origins 11 - CloudFront VPC Originsとは - CloudFront を使用して Private Subnet内の アプリからコンテンツを配信できるようにする機能 - ALBやNLB、EC2など、Private Subnet内にある リソースを選択し、VPC Originとして設定できる。 - VPC Originの作成後はCloudFrontのOriginとして、 選択可能 - 無料
Slide 12
Slide 12 text
12 これらの変更がもたらすこと
Slide 13
Slide 13 text
嬉しいポイント 13 - Amazon VPC Block Public Access(BPA) - リージョンの単位での制御ができるようになったため、 開発者の設定ミスなど、意図しないインターネットの 公開をより強固に防ぐことが可能となった。 - CloudFront VPC Origins - CloudFrontのオリジンに登録するためにインターネット フェイシングである必要がなくなるため、より防御面の 設定が簡素になった。 - PublicIPが少し減って料金がちょっとだけお得になった。
Slide 14
Slide 14 text
これからやっていきたいポイント 14 - これから新しく設計をするときはVPC Block Public Accessで 制御する前提にする。 - リージョン単位で”インバウンドのみ”を制御する方法が いいかなと個人的には模索中 - 双方向の制御をかけてしまって、NAT Gatewayを配置す るサブネットだけ”インバウンドのみ”の制御をかける方 式もより強固かもしれない。 - その際はCloudFrontのVPC Originsを使ってなるべく Public Subnetにリソースを配置しないようにする。
Slide 15
Slide 15 text
まとめ 15 リージョン単位 で”インバウン ドのみ”の制御 をONに。 パブリックインターネッ トを経由せず、AWSの 内部ネットワークから アクセス可能に。 NAT Gatewayからの インバウンド通信は可 能。 ALBはPrivate Subnetに配置し、 VPC Originとして登 録
Slide 16
Slide 16 text
さいごに 16 ご静聴ありがとうございました!!