ネットワークの新要素ResourceGateway&Configuration関連アップデート

Transcript

1. 2024/12/10 AWS事業本部コンサルティング部 菊池 聡規 ネットワークの新要素！ Resource Gateway&Configuration 関連アップデートまとめ

2. ⾃⼰紹介 2 • 2008年 オンプレエンジニア時代 • 2019年 転職しAWSに初めて触る • 2022年 クラスメソッド AWS事業本部にジョイン ◦

   AWSコンサルティング業務を担当 • 2024年 2024 Japan AWS Top Engineer(Security)に選出 • 部署 ◦ AWS事業本部 • 名前（ニックネーム） ◦ 菊池聡規（としさん） • Xアカウント ◦ https://x.com/tttkkk215 • 好きな技術 ◦ コンテナ、Terraform

3. はじめに • re:Invent期間中にあったネットワーク系のアップデート ◦ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent

   | DevelopersIO ◦ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました！ #AWSreInvent | DevelopersIO ◦ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ◦ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました！ | DevelopersIO ◦ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO

4. はじめに • re:Invent期間中にあったネットワーク系のアップデート ◦ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent

   | DevelopersIO ◦ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました！ #AWSreInvent | DevelopersIO ◦ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ◦ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました！ | DevelopersIO ◦ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO このうちの３つがResource Gateway、 Resource Configureが 関連してるアップデート！

5. アップデート概要 • 【アップデート】AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました！ #AWSreInvent | DevelopersIO • [アップデート] Amazon

   VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO ◦ どちらも別のVPCに対して1⽅向のアクセスを提供するためのもの ◦ 今まではPrivateLinkではNLBやGWLBが、VPC LatticeではServiceが必要だった ▪ これらの代わりにResource Configurationが使えるようになった！

6. アップデート概要 • [アップデート]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました！ | DevelopersIO ◦ 前提としてResource Configurationが必要 ◦

   EventBridgeの「接続」メニューからResource Configurationを指定してプ ライベートAPIを作成する ◦ 作成したプライベートAPIをEventBridgeやStepFunctionsから呼び出せる

7. 通信の流れ • 送信元リソース ⇒ VPCエンドポイント ⇒ Resource Gateway ⇒ 宛先リソース

   • セキュリティグループ考慮ポイント ◦ Resource GatewayのインバウンドルールはなしでOK ▪ アウトバウンドルールは宛先リソースのCIDRレンジとポートで絞るのが推奨とのこと ◦ 宛先リソースのインバウンドルールにはResource Gatewayにつけたセキュリティグループを送信元として許可 ※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用

8. Resource Configurationとは • 他のVPCから通信させたい宛先（リソース）を指定するもの • 後述するResource Gatewayはここで指定したIPアドレス等を宛先として通信を中 継 ※[アップデート] Amazon

   VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用

9. Resource Configurationとは • 指定出来る宛先 ◦ VPC内のプライベートIPアドレス ◦ DNS名：パブリックに解決できるもののみ。名前の最後にaws.comや amazonaws.comがつくものは不可 ▪

   ここで登録したDNS名で別VPCリソースからアクセスできるわけ ではない点に注意 ▪ プライベート ホスト ゾーンのサポートにはすでに取り組んでいま す。とのこと ◦ ARN：サポートされているもののみ。⾃分が確認できたのはRDSのみ

10. Resource Configurationとは • ConfigurationType ◦ Resource Configurationはグループにまとめることもできる。グループにまとめた場合、グループ単位で VPCエンドポイント作成やRAM共有が可能 ◦ ARNタイプのResource

    ConfigurationはAWS側で設定したグループを登録している（例：Auroraならク ラスターエンドポイントとリーダーエンドポイントがグループとして登録）

11. Resource Gatewayとは • 宛先リソースへの⼊⼝ • 他VPCから来た通信はまずResourceGatewayに⼊り、そこからResourceConfigurationで指定した宛先にデータ送信する ◦ そのため宛先リソースへの通信の送信元IPはResourceGatewayになる • 実体としては複数AZに配置されたENI

    ※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用

12. ３つの構成パターン • PrivateLinkのみで構成

13. ３つの構成パターン • VPC Lattice ServiceNetworkとVPC Endpointで構成

14. ３つの構成パターン • VPC Lattice ServiceNetworkとServiceNetworkのVPC関連付けで構成

15. ３つの構成パターン • ⽐較 PrivateLink VPC Lattice+VPC Endpoint VPC Lattice IAMによるアクセス

    認証 なし あり あり リソースポリシー VPCエンドポイントのポリ シー VPCエンドポイントのポリシー及び ServiceNetworkのポリシー ServiceNetworkのポリシー 他アカウントへ共有 できる単位 Resource Configuration Service Network, Resource Configuration Service Network, Resource Configuration 価格 ResourceEndpoint: $0.028/h $0.01/GB ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB もしかしたらEndpoint料⾦もかかるかも？ ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB
16. None