DB管理をお客様に 任せてみた JAWS-UG ランチタイムLT会 株式会社アイデミー 居石 峻寛

自己紹介 おりいし たかひろ 居石 峻寛 (へたれ) 株式会社アイデミー所属 化学系研究室向けSaaS Lab Bankの開発・運用 コンテナやネットワーク周りが好き (強くなりたい)

Lab Bank要件 冗長性や堅牢性など通常のSaaSに加えて お客様『データは自社で管理、でもSaaSの利点は享受したい...』

DBのみ顧客に管理してもらう SaaSのいいところどり！！ • DBは顧客管理 • アプリケーションは自社管理

DBのみ顧客に管理してもらう SaaSのいいところどり！！ • DBは顧客管理 • アプリケーションは自社管理 インフラ構成について お話します！

インフラ構成 テナント = 利用企業毎にDBを分けて運用する DBはテナントごとに顧客各社で管理するVPC上に配置

インフラ構成 テナント = 利用企業毎にDBを分けて運用する DBはテナントごとに顧客各社で管理するVPC上に配置 ? どう繋ぐ？ IP制限、 閉鎖路、VPN...

接続方法の選択肢 VPC間の経路を確保する方法は複数存在 → 要件に合わせた選択 IPホワイトリストでの制限 Private Link (Interface型) VPC Peering / Transit Gateway サイト間VPN 概要 SGやWAFで接続元IPを制限 インターネット経由 VPC間をAWSの閉鎖路で繋ぐ VPC間をAWSの閉鎖路で繋ぐ 各VPCにゲートウェイを設置し VPN経路を確保する メリット 特別なリソースの作成が不要 インフラ費用は抑えられる VPC間でCIDRの重複を許容 SGでのアクセス制御が可能 ポート単位でのアクセス制御 ローカルIPで通信が可能 NLBなどのリソースが不要 IPSecによって暗号化される オンプレや他クラウドサービスも 接続可能 デメリット インターネット経由なため セキュリティ面で不安 出口にNLB/GLBが必要 Interface型VPC endpoint コスト高 VPC間でローカルCIDRが 重複できない (顧客が自由なCIDRを使えない) インターネットを経由する

選ばれたのはPrivate Linkでした サービス展開する上での複雑性を回避 • Lab Bank VPC、顧客VPC間でのCIDR重複を気にしなくて良い • 各社エンドポイント毎にSGでのアクセス制御 • 各社エンドポイント毎にPrivate Host Zoneでのドメイン付与 • 顧客DB環境をAWSに限定するのを許容

Proxyサーバ Auroraへのアクセスはドメイン経由 Private Linkの出口であるNLBの接続先はIP or TGのみ → NginxのTCP Proxyを挟む

まとめ DBは顧客管理 & アプリは自社管理 接続方法はPrivate Linkを選択 • Lab Bank VPC、顧客VPC間でのCIDR重複を気にしなくて良い • 各社エンドポイント毎にSGでのアクセス制御 • 各社エンドポイント毎にPrivate Host Zoneでのドメイン付与