2024/12/10 AWS事業本部コンサルティング部 菊池 聡規 ネットワークの新要素！ Resource Gateway&Configuration 関連アップデートまとめ

⾃⼰紹介 2 ● 2008年 オンプレエンジニア時代 ● 2019年 転職しAWSに初めて触る ● 2022年 クラスメソッド AWS事業本部にジョイン ○ AWSコンサルティング業務を担当 ● 2024年 2024 Japan AWS Top Engineer(Security)に選出 ● 部署 ○ AWS事業本部 ● 名前（ニックネーム） ○ 菊池聡規（としさん） ● Xアカウント ○ https://x.com/tttkkk215 ● 好きな技術 ○ コンテナ、Terraform

はじめに ● re:Invent期間中にあったネットワーク系のアップデート ○ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent | DevelopersIO ○ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました！ #AWSreInvent | DevelopersIO ○ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ○ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました！ | DevelopersIO ○ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO

はじめに ● re:Invent期間中にあったネットワーク系のアップデート ○ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent | DevelopersIO ○ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました！ #AWSreInvent | DevelopersIO ○ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ○ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました！ | DevelopersIO ○ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO このうちの３つがResource Gateway、 Resource Configureが 関連してるアップデート！

アップデート概要 ● 【アップデート】AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました！ #AWSreInvent | DevelopersIO ● [アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO ○ どちらも別のVPCに対して1⽅向のアクセスを提供するためのもの ○ 今まではPrivateLinkではNLBやGWLBが、VPC LatticeではServiceが必要だった ■ これらの代わりにResource Configurationが使えるようになった！

アップデート概要 ● [アップデート]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました！ | DevelopersIO ○ 前提としてResource Configurationが必要 ○ EventBridgeの「接続」メニューからResource Configurationを指定してプ ライベートAPIを作成する ○ 作成したプライベートAPIをEventBridgeやStepFunctionsから呼び出せる

通信の流れ ● 送信元リソース ⇒ VPCエンドポイント ⇒ Resource Gateway ⇒ 宛先リソース ● セキュリティグループ考慮ポイント ○ Resource GatewayのインバウンドルールはなしでOK ■ アウトバウンドルールは宛先リソースのCIDRレンジとポートで絞るのが推奨とのこと ○ 宛先リソースのインバウンドルールにはResource Gatewayにつけたセキュリティグループを送信元として許可 ※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用

Resource Configurationとは ● 他のVPCから通信させたい宛先（リソース）を指定するもの ● 後述するResource Gatewayはここで指定したIPアドレス等を宛先として通信を中 継 ※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用

Resource Configurationとは ● 指定出来る宛先 ○ VPC内のプライベートIPアドレス ○ DNS名：パブリックに解決できるもののみ。名前の最後にaws.comや amazonaws.comがつくものは不可 ■ ここで登録したDNS名で別VPCリソースからアクセスできるわけ ではない点に注意 ■ プライベート ホスト ゾーンのサポートにはすでに取り組んでいま す。とのこと ○ ARN：サポートされているもののみ。⾃分が確認できたのはRDSのみ

Resource Configurationとは ● ConfigurationType ○ Resource Configurationはグループにまとめることもできる。グループにまとめた場合、グループ単位で VPCエンドポイント作成やRAM共有が可能 ○ ARNタイプのResource ConfigurationはAWS側で設定したグループを登録している（例：Auroraならク ラスターエンドポイントとリーダーエンドポイントがグループとして登録）

Resource Gatewayとは ● 宛先リソースへの⼊⼝ ● 他VPCから来た通信はまずResourceGatewayに⼊り、そこからResourceConfigurationで指定した宛先にデータ送信する ○ そのため宛先リソースへの通信の送信元IPはResourceGatewayになる ● 実体としては複数AZに配置されたENI ※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用

３つの構成パターン ● PrivateLinkのみで構成

３つの構成パターン ● VPC Lattice ServiceNetworkとVPC Endpointで構成

３つの構成パターン ● VPC Lattice ServiceNetworkとServiceNetworkのVPC関連付けで構成

３つの構成パターン ● ⽐較 PrivateLink VPC Lattice+VPC Endpoint VPC Lattice IAMによるアクセス 認証 なし あり あり リソースポリシー VPCエンドポイントのポリ シー VPCエンドポイントのポリシー及び ServiceNetworkのポリシー ServiceNetworkのポリシー 他アカウントへ共有 できる単位 Resource Configuration Service Network, Resource Configuration Service Network, Resource Configuration 価格 ResourceEndpoint: $0.028/h $0.01/GB ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB もしかしたらEndpoint料⾦もかかるかも？ ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB

No content