Slide 1

Slide 1 text

NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデートについて 2024/12/16 五味 なぎさ

Slide 2

Slide 2 text

自己紹介  所属:某SIer勤務  職種:インフラ・クラウドアーキテクト 最近はパブリッククラウド案件推進部署のマネージャー業が中心  趣味:キックボクシング、離島でダイビング  好きなAWSサービス:NW系サービス全般 JAWSに初めて参加したのはNW-JAWS勉強会#7(2020/12 オンライン)  その他:JAWS-UGクラウド女子会運営、2024 Japan AWS Top Engineer 2022/2023/2024 Japan AWS All Certifications Engineers X(旧Twitter):@nagisa_53

Slide 3

Slide 3 text

re:Invent 2024および開催前期間に発表されたNW関連のアップデートの 内、自身にとって嬉しかった(推し)アップデートについて ・アップデートの内容 ・なぜ嬉しかったか ・一部サービスについては実際に触ってみた結果 についてお話していきます。 ※結果的に予選落ちの3件になってしまいましたがご了承ください ※本日の内容は個人の見解であり、所属する組織の公式見解ではありません 本日お話する内容について

Slide 4

Slide 4 text

 対象のアカウント/リージョン内のVPCへのパブリックアクセスを 統一的にブロックできるようになりました  以下のように双方向ブロック/Ingress方向のみブロックから選択可能  各VPCで設定されているSecurity GroupやNetwork ACLよりも優先される ① VPCがブロックパブリックアクセスに対応

Slide 5

Slide 5 text

 なぜ嬉しかったか ① VPCがブロックパブリックアクセスに対応 これまでは意図せずVPCがインターネット公開されてしまうリスクに対し、 設定されたものを検出/修復する、権限管理を細かく行うことでリスクを軽 減するなどの対策が主となり、(特に大量のVPCを管理しているケースなど で)予防的措置を取る難易度が高かった 今回のアップデートにより、VPCのインターネットアクセス拒否設定が簡素 化され、統一的なVPCアクセスの予防制御が行いやすくなった

Slide 6

Slide 6 text

 CloudFrontからVPCのプライベートサブネットにある ALB、NLB、EC2 へ直接接続できるようになりました ② Amazon CloudFront が VPC Originに対応 AWS Cloud Virtual private cloud (VPC) Private subnet Amazon CloudFront Application Load Balancer Instances Origin

Slide 7

Slide 7 text

 なぜ嬉しかったか ② Amazon CloudFront が VPC Originに対応 これまでCloudFrontのOriginとしてVPC上のリソースを利用する場合、パブ リックサブネットにグローバルIPアドレスを持つリソース(ALB/NLB/EC2 等)が必要だった ・VPC内のリソースをインターネットにさらす必要があった (Headerによる制限やManaged Prefix Listによる送信元制限はできたものの) ・グローバルIPアドレスの利用が必須で、コスト面でデメリットがあった 今回のアップデートにより、VPC内のOriginをインターネットに直接さらす 必要がなくなり、また、外部公開向けにVPC内リソースへのグローバルIPア ドレス付与が必須ではなくなった

Slide 8

Slide 8 text

 実際に触ってみた  前提として事前に以下のリソースがあるとします  VPC  プライベートサブネット  Internet Gateway  オリジンとなるInternal ALB(今回はALBから固定レスポンスを返す形で検証)  大まかな流れ ① Cloud FrontでVPC Originを作成  作成が完了するとVPCの指定したオリジンと同じサブネットにVPC Origin用のENIが作成される (専用のSecurity Groupも併せて作成される) ② オリジンとなるInternal ALBのSecurity Groupに①で作られたSGからInbound通信を許可す るルールを適用 ③ ①で作成したVPC Originを利用するCloud Frontディストリビューションを作成 ② Amazon CloudFront が VPC Originに対応

Slide 9

Slide 9 text

 実際に触ってみた  無事に疎通 ② Amazon CloudFront が VPC Originに対応

Slide 10

Slide 10 text

 実際に触ってみて分かったこと  パブリックサブネットは不要だがIGWは必要  ユーザ側でIGW向けのルート設定は不要だが、AWS内部の通信で利用されている模様  OriginのSGではVPC OriginのENIに付与されるSGからのInbound通信だけ許可す れば疎通可能。以下Developer Guideより。  Origin(今回はALB)のログにはAWS内部で利用されているグローバルIPアドレ ス(おそらくCloud Front内部で利用されているもの)が送信元として記録され ていた ② Amazon CloudFront が VPC Originに対応

Slide 11

Slide 11 text

 CloudFrontがAnycast静的IPアドレスに対応しました  Anycast静的IPアドレスとは?  Anycastアドレスが割り当てられたインタフェース群に対しいくつかの固定のIP アドレスが割り当てられ、ネットワーク的な距離が最も近いインタフェースに 配信されるという技術  障害時動作やパフォーマンス面でもメリットがあるが、複数のエッジへの固定 エンドポイント(= 静的IPアドレス)を提供する目的でも利用される ※ALB/NLB等はGlobal Acceleratorを利用することでAnycast静的IPアドレスが利用可能 ③ CloudFrontがAnycast静的IPアドレスに対応

Slide 12

Slide 12 text

 なぜ嬉しかったか ③ CloudFrontがAnycast静的IPアドレスに対応 これまでCloudFrontのIPアドレスは固定不可だった クライアント側でIPアドレスベースの送信先制限を行っていた場合に以下のような対応が 必要であった ・CloudFrontを経由しない入り口を作る ・広いIPアドレスレンジへの通信を許可する&CloudFrontのIPアドレス変更に追随 今回のアップデートによりCloudFrontのIPアドレスが固定できるようになっ たため、上記のようなケースに対応できるようになった ※ただし、利用には月額3,000USDかかるため、 どうしても固定する必要があるかの検討は必要そう

Slide 13

Slide 13 text

 実際に触ってみた(お金は払えないので設定画面のみ) ③ CloudFrontがAnycast静的IPアドレスに対応 ①こちらを選択 ② リクエストを送信 ③ Static IPsが確保できたらディス トリビューションの設定側で指定 価格クラスで「すべてのエッジロケーションを使用する」を選択する、IPv6はオフにするなど、前提となる 設定があるため、詳しくはDeveloper Guideを確認してください。

Slide 14

Slide 14 text

 14:00~AWS目黒オフィスでのオフライン開催です  LT枠もまだ空いているので、興味のある方はご参加お願いします!  エスコート枠(女性参加者1名につき男性も参加できる制度)であれば男性も参加可能です! 1/25(土)にクラウド女子会でre:Capイベントやります connpass URL