Slide 1

Slide 1 text

これからの設計で変わること ~pre:invent2024アップデート速報~ KDDIアジャイル開発センター株式会社 Tomoya Kitaura しむそくRadio Special DAY2 2024/11/27

Slide 2

Slide 2 text

自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ■技術コミュニティ運営 - - JAWS-UG コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ■著書 - 俺たちのSREとNew Relic

Slide 3

Slide 3 text

弊社某ヒーローのつぶやき 3

Slide 4

Slide 4 text

アジェンダ 4 - 本日の題材となるアーキテクチャ - アップデート紹介 - Amazon VPC - Block Public Access(BPA) - Amazon CloudFront - VPC origins - この変更がもたらすこと - 何が嬉しいのか - これからやっていくこと - まとめ

Slide 5

Slide 5 text

5 本日の題材となるアーキテクチャ

Slide 6

Slide 6 text

6 Amazon VPC Block Public Access(BPA) このリージョンにおいて、 パブリックアクセスを 原則、禁ずる!

Slide 7

Slide 7 text

Block Public Access(BPA) 7 - Block Public Accessとは - VPC のインターネットトラフィックを 正式にブロックできるようにする新しい集中宣言型制御 - “双方向”,”インバウンドのみ”2種類の制御が可能 - 設定の単位 - リージョン単位で設定する。 - VPC、Subnet単位で除外設定が行える。 - “インバウンドのみ”の場合はNATなどを 利用した戻りの通信は許可される。 - 無料

Slide 8

Slide 8 text

Block Public Access(BPA)の設定画面 8

Slide 9

Slide 9 text

9 Amazon VPC Block Public Access(BPA) あっ・・・

Slide 10

Slide 10 text

10 Amazon CloudFront VPC origins Private Subnetに配置されてい るリソースをCloudFrontのオリ ジンに登録する!

Slide 11

Slide 11 text

CloudFront VPC Origins 11 - CloudFront VPC Originsとは - CloudFront を使用して Private Subnet内の アプリからコンテンツを配信できるようにする機能 - ALBやNLB、EC2など、Private Subnet内にある リソースを選択し、VPC Originとして設定できる。 - VPC Originの作成後はCloudFrontのOriginとして、 選択可能 - 無料

Slide 12

Slide 12 text

12 これらの変更がもたらすこと

Slide 13

Slide 13 text

嬉しいポイント 13 - Amazon VPC Block Public Access(BPA) - リージョンの単位での制御ができるようになったため、 開発者の設定ミスなど、意図しないインターネットの 公開をより強固に防ぐことが可能となった。 - CloudFront VPC Origins - CloudFrontのオリジンに登録するためにインターネット フェイシングである必要がなくなるため、より防御面の 設定が簡素になった。 - PublicIPが少し減って料金がちょっとだけお得になった。

Slide 14

Slide 14 text

これからやっていきたいポイント 14 - これから新しく設計をするときはVPC Block Public Accessで 制御する前提にする。 - リージョン単位で”インバウンドのみ”を制御する方法が いいかなと個人的には模索中 - 双方向の制御をかけてしまって、NAT Gatewayを配置す るサブネットだけ”インバウンドのみ”の制御をかける方 式もより強固かもしれない。 - その際はCloudFrontのVPC Originsを使ってなるべく Public Subnetにリソースを配置しないようにする。

Slide 15

Slide 15 text

まとめ 15 リージョン単位 で”インバウン ドのみ”の制御 をONに。 パブリックインターネッ トを経由せず、AWSの 内部ネットワークから アクセス可能に。 NAT Gatewayからの インバウンド通信は可 能。 ALBはPrivate Subnetに配置し、 VPC Originとして登 録

Slide 16

Slide 16 text

さいごに 16 ご静聴ありがとうございました!!