Slide 1
Slide 1 text
2023/7/14
AWS事業本部 大村 保貴
1
ん?似たようなサービス他にもなかったっけ?
サービスを一度整理してみましょう
VPC間通信ができる新サービスVPC Lattice
Slide 2
Slide 2 text
ときに
2
Slide 3
Slide 3 text
ときに
VPCとVPCを接続しないと
いけない場面はありませんか?
3
Slide 4
Slide 4 text
諸般の事情により
4
Slide 5
Slide 5 text
諸般の事情により
5
Slide 6
Slide 6 text
カオスからの脱却
6
Slide 7
Slide 7 text
だけど
7
Slide 8
Slide 8 text
だけど
VPCのCIDRがかぶっている
L3のルーティングよくわからん
クロスアカウント接続がよくわからん
似たような接続サービスが多くてわからん
8
Slide 9
Slide 9 text
VPC Latticeを知っておこう
新サービス 9
Slide 10
Slide 10 text
自己紹介 10
大村 保貴 (Yasutaka Ohmura)
クラスメソッド株式会社
AWS事業本部 カスタマーソリューション部
ソリューションアーキテクト
● 経歴
○ ITインフラのコンサル→ 自社IoTサービス → クラスメソッド
● 受賞
○ 2023 Japan AWS All Certifications Engineers
○ 2023 Japan AWS Top Engineer
● 仕事
○ AWS、SaaSを利用した環境の設計・構築・コンサルティング、プリセールス
○ HPC(スパコン)、ライフサイエンス分野
● 好きなもの
○ こだわりのあるコーヒー
● 最近のハマっているもの
○ 炭火で焼いたホルモン
Slide 11
Slide 11 text
セッション対象者とゴール
想定聴講者
・VPC Latticeの名前は聞いたことはあるけど何かは知らない
・VPC間接続サービスがいろいろあることは知っている
・普段Webアプリを開発している、ネットワークは自信ない
ゴール
・VPC間接続できる各種サービスを把握する
11
Slide 12
Slide 12 text
Agenda
1. VPC間接続サービスの復習
2. 新登場VPC Lattice
12
Slide 13
Slide 13 text
1. VPC間接続サービスの復習
13
Slide 14
Slide 14 text
VPC間接続サービスの復習
VPC Peering
Transit Gateway
PrivateLink
14
Slide 15
Slide 15 text
VPC Peering
VPC Peering
Transit Gateway
PrivateLink
15
Slide 16
Slide 16 text
VPC Peering
VPCとVPCをシンプルに接続
16
画像引用: VPC ピアリングの基本
Slide 17
Slide 17 text
VPC Peering
推移的なルーティングは不可
17
画像引用: VPC ピアリングの基本
Slide 18
Slide 18 text
VPC Peering
相互に通信が必要ならフルメッシュ
18
画像引用: VPC 全体にルーティングする VPC ピアリング設定
Slide 19
Slide 19 text
VPC Peering
VPC Peeringの接続確立は無料
同じAZのデータ転送料は無料
AZ、リージョンを跨ぐデータ転送は $0.01/GB
19
利用費が安い
Slide 20
Slide 20 text
VPC Peering
CIDRが重複していると接続できません
20
Slide 21
Slide 21 text
VPC Peering
少数のVPC間接続なら不都合なく安価
接続数が多くなると管理が大変
21
Slide 22
Slide 22 text
Transit Gateway
VPC Peering
Transit Gateway
PrivateLink
22
Slide 23
Slide 23 text
Transit Gateway
VPC Peeringは規模が大きくなると管理が大変
23
画像引用: VPC 全体にルーティングする VPC ピアリング設定
Slide 24
Slide 24 text
Transit Gateway
Transit Gatewayを使えば中継できます
24
画像引用: VPC 全体にルーティングする VPC ピアリング設定
Slide 25
Slide 25 text
Transit Gateway
同じ構成を取るなら管理がシンプル
25
画像引用: VPC 全体にルーティングする VPC ピアリング設定
Slide 26
Slide 26 text
Transit Gateway
アタッチ数に応じた料金がかかります
26
画像引用: VPC 全体にルーティングする VPC ピアリング設定
Slide 27
Slide 27 text
Transit Gateway
NAT Gatewayの個数を集約することもできる
27
画像引用: 【AWS Transit Gateway】複数VPCのアウトバウンド通信を集約する環境を作る
Slide 28
Slide 28 text
Transit Gateway
CIDRが重複していると接続できません
28
Slide 29
Slide 29 text
Transit Gateway
Transit Gateway専用サブネットが推奨構成
29
画像引用: AWS Black Belt Online Seminar AWS Transit Gateway
Slide 30
Slide 30 text
Transit Gateway
ルーティングの管理がシンプルに
規模が大きいと便利
でも、利用費はそれなり
30
Slide 31
Slide 31 text
PrivateLink
VPC Peering
Transit Gateway
PrivateLink
31
Slide 32
Slide 32 text
PrivateLink
CIDRが重複していると接続できませんでした
32
Slide 33
Slide 33 text
PrivateLink
CIDRが重複していてもVPC間接続ができる
33
VPCエンドポイントのDNS名でアクセスする
Slide 34
Slide 34 text
PrivateLink
1つのサービスに対して複数接続できる(1対多)
34
Slide 35
Slide 35 text
PrivateLink
CIDRが重複しても通信できる
接続は1対多の関係
接続を確立するまでの設定がやや複雑
35
Slide 36
Slide 36 text
VPC間接続サービスの復習
VPC Peering
Transit Gateway
PrivateLink
36
Slide 37
Slide 37 text
3. 新登場VPC Lattice
37
Slide 38
Slide 38 text
VPC Lattice
VPC Latticeとは
38
アプリーケーション向けのVPC間接続サービス
Slide 39
Slide 39 text
VPC Lattice
アプリケーションネットワーキングサービス
39
APIを呼び出すだけであればネットワーク設計などの手間になる部分を VPC Lattice が抽象化してくれます
Slide 40
Slide 40 text
VPC Lattice
対応プロトコル
40
・HTTP 1.1 / 2.0
・gRPC
Slide 41
Slide 41 text
VPC Lattice
なので、SSH接続する様な用途ではない
41
Slide 42
Slide 42 text
VPC Lattice
上位互換のVPC間接続サービスではない
42
アプリケーション向けのVPC間接続サービスです
Slide 43
Slide 43 text
VPC間接続サービス
VPC Peering
Transit Gateway
PrivateLink
VPC Lattice
43
Slide 44
Slide 44 text
VPC Lattice
Latticeは格子の意味
44
Slide 45
Slide 45 text
VPC Lattice
登場背景
45
Slide 46
Slide 46 text
VPC Lattice
最近の傾向
46
・マルチアカウント前提
・マイクロサービス
Slide 47
Slide 47 text
VPC Lattice
ネットワーク要素が多く設定も複雑
47
・VPC Peering
・Transit Gateway
・PrivateLink
Slide 48
Slide 48 text
VPC Lattice
アプリ開発者がネットワークの達人である必要はない
48
画像引用: AWS re:Invent 2022 - [NEW] Introducing Amazon VPC Lattice: Simplifying app networking (NET215)
Slide 49
Slide 49 text
VPC Lattice
ネットワーク周りが抽象化された
49
・CIDR重複しててもOK
・L3のルーティング設定不要
・クロスアカウント接続も容易
Slide 50
Slide 50 text
VPC Lattice
主要コンポーネント
50
Slide 51
Slide 51 text
VPC Lattice
・Target Group
・VPC Lattice Service
・VPC Lattice Service Network
51
Slide 52
Slide 52 text
VPC Lattice
・Target Group
・VPC Lattice Service
・VPC Lattice Service Network
52
Slide 53
Slide 53 text
Target Group
アクセス先の対象リソースの登録
53
登録するとVPC Lattice内で管理できる
設定項目は
・プロトコル(HTTP / HTTPS)
・ポート番号
・プロトコルのバージョン(HTTP1 / 2, gRPC)
Slide 54
Slide 54 text
Target Group
ターゲットグループに登録できるリソース
54
・EC2、Auto Scalingグループ
・Lambda、VPC Lambda
・Internal ALB
・IPアドレス(Internal NLBも含む)
Slide 55
Slide 55 text
VPC Lattice
・Target Group
・VPC Lattice Service
・VPC Lattice Service Network
55
Slide 56
Slide 56 text
VPC Lattice Service
VPC Lattice 経由でアクセスできるリソースとして登録
56
・ドメイン名が割り当てられる
・リスナー設定と、ターゲットグループの紐づけ
Slide 57
Slide 57 text
VPC Lattice Service
ドメイン名はカスタムドメインの割り当てもできる
57
画像引用: VPC Lattice クロスアカウント接続に必要な要素を図解してみた
Slide 58
Slide 58 text
VPC Lattice Service Network
・Target Group
・VPC Lattice Service
・VPC Lattice Service Network
58
Slide 59
Slide 59 text
VPC Lattice Service Network
VPCとVPC Lattice Serviceを接続して中継してくれるハブ
59
Slide 60
Slide 60 text
ルートテーブルの追加は自動
60
Slide 61
Slide 61 text
VPC Lattice Service Network
VPC Lattice Service Networkに繋げるだけ
61
アクセス元のVPC側 アクセス先のVPC側(ターゲットグループ)
Slide 62
Slide 62 text
VPC Lattice Service Network
アクセス制御・セキュリティ設定
62
Slide 63
Slide 63 text
VPC Lattice Service Network
VPC Latticeのセキュリティレイヤー
63
1. VPC Lattice Service Network(ハブ) に VPC と VPC Lattice Service を関連付けする、しない
2. セキュリティーグループ、ネットワーク ACL の設定によるネットワークレベルの制御
3. VPC Lattice 認証ポリシーによる VPC Lattice Service / Service Network レベルの制御(オプション)
Slide 64
Slide 64 text
VPC Lattice Service Network
セキュリティグループで制御(手動対応)
64
Slide 65
Slide 65 text
設定完了
65
Slide 66
Slide 66 text
VPC Lattice
抽象化していた構成図を具体的にすると
66
Slide 67
Slide 67 text
VPC Lattice 67
Slide 68
Slide 68 text
VPC Lattice 68
Slide 69
Slide 69 text
VPC Lattice 69
Slide 70
Slide 70 text
VPC Lattice 70
Slide 71
Slide 71 text
クロスアカウント接続も楽
71
Slide 72
Slide 72 text
VPC Lattice
Resource Access Manager(RAM)で共有するだけ
72
Slide 73
Slide 73 text
VPC Lattice
VPC Lattice Service Network を共有した例
73
Slide 74
Slide 74 text
VPC Lattice
HTTP/S でアクセスするだけなら設定が簡単
ネットワークを意識することが少ない
クロスアカウント接続もRAMで共有するだけ
74
Slide 75
Slide 75 text
VPC間接続サービス
まとめ
75
Slide 76
Slide 76 text
VPC間接続サービス
VPC Peering
Transit Gateway
PrivateLink
VPC Lattice
76
Slide 77
Slide 77 text
VPC間接続サービス
VPC Lattice はアプリ向けのVPC間接続サービス
APIサービスを提供するような用途で利用できる特化型
その分、ネットワーク周りはよしなにやってくれます
77
Slide 78
Slide 78 text
VPC間接続サービス
汎用性が高いのは
・VPC Peering
・Transit Gateway
守備範囲が広い!だけどCIDRの重複時はNG
接続規模、用途に応じた選択を
78
Slide 79
Slide 79 text
VPC間接続サービス
PrivateLinkは唯一SaaSとしてのAPI提供できる
79
画像引用: Transit Gateway,PrivateLink VPC アーキテクチャー deep dive
Slide 80
Slide 80 text
VPC間接続サービス
VPC Peering
Transit Gateway
PrivateLink
VPC Lattice
80
Slide 81
Slide 81 text
セッションアンケート 81
満足度上位のセッションを後日ブログで公開予定!
回答へのご協力をよろしくお願いします。
https://forms.gle/gnLmdXpsXmek8KVTA
Slide 82
Slide 82 text
82