Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ネットワークの新要素ResourceGateway&Configuration関連アップデート
Search
t-kikuchi
December 10, 2024
0
2.6k
ネットワークの新要素ResourceGateway&Configuration関連アップデート
ネットワークの新要素ResourceGateway&Configuration関連アップデート
t-kikuchi
December 10, 2024
Tweet
Share
More Decks by t-kikuchi
See All by t-kikuchi
Claude Code導入後の次どうする? ~初心者が知るべき便利機能~
tkikuchi
0
20
ClaudeCodeを使ってAWSの設計や構築をしてみた
tkikuchi
0
17
ClaudeCode_vs_GeminiCLI_Terraformで比較してみた
tkikuchi
1
7.3k
AWSLambdaMCPServerを使ってツールとMCPサーバを分離する
tkikuchi
1
4.4k
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
4
840
塩野義製薬様のAWS統合管理戦略:Organizations設計と運用の具体例
tkikuchi
0
940
JAWSPANKRATION2024-ECS Best Practice All on board(english)
tkikuchi
0
1k
JAWSPANKRATION2024-ECS Best Practice All on board(japanese)
tkikuchi
0
750
AWSOrganizationsユースケースで学ぶAWSアカウント管理ベストプラクティス
tkikuchi
1
1.2k
Featured
See All Featured
Product Roadmaps are Hard
iamctodd
PRO
54
11k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6.1k
Building Adaptive Systems
keathley
43
2.8k
Six Lessons from altMBA
skipperchong
28
4k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
We Have a Design System, Now What?
morganepeng
53
7.8k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Embracing the Ebb and Flow
colly
88
4.8k
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
Music & Morning Musume
bryan
46
6.8k
Bash Introduction
62gerente
615
210k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
Transcript
2024/12/10 AWS事業本部コンサルティング部 菊池 聡規 ネットワークの新要素! Resource Gateway&Configuration 関連アップデートまとめ
⾃⼰紹介 2 • 2008年 オンプレエンジニア時代 • 2019年 転職しAWSに初めて触る • 2022年 クラスメソッド AWS事業本部にジョイン ◦
AWSコンサルティング業務を担当 • 2024年 2024 Japan AWS Top Engineer(Security)に選出 • 部署 ◦ AWS事業本部 • 名前(ニックネーム) ◦ 菊池聡規(としさん) • Xアカウント ◦ https://x.com/tttkkk215 • 好きな技術 ◦ コンテナ、Terraform
はじめに • re:Invent期間中にあったネットワーク系のアップデート ◦ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent
| DevelopersIO ◦ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO ◦ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ◦ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO
はじめに • re:Invent期間中にあったネットワーク系のアップデート ◦ AWS Verified Access がTCP経由での接続をサポートしました (プレビュー) #AWSreInvent
| DevelopersIO ◦ 【アップデート】 AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO ◦ [アップデート]AWS ワークロードのネットワークパフォーマンスを監視するCloudWatch Network Monitoring Flow Monitorsが発表されました #AWSreInvent | DevelopersIO ◦ [アップデート ]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ [アップデート ] Amazon VPC Lattice が TCP 接続に対応し、 VPC 内の幅広いリソースへアクセスができるように なりました | DevelopersIO このうちの3つがResource Gateway、 Resource Configureが 関連してるアップデート!
アップデート概要 • 【アップデート】AWS PrivateLinkでNLBを介さずにVPC内リソースにアクセスできるようになりました! #AWSreInvent | DevelopersIO • [アップデート] Amazon
VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO ◦ どちらも別のVPCに対して1⽅向のアクセスを提供するためのもの ◦ 今まではPrivateLinkではNLBやGWLBが、VPC LatticeではServiceが必要だった ▪ これらの代わりにResource Configurationが使えるようになった!
アップデート概要 • [アップデート]StepFunctionsからEventBridge経由でプライベートな APIの呼び出しが可能になりました! | DevelopersIO ◦ 前提としてResource Configurationが必要 ◦
EventBridgeの「接続」メニューからResource Configurationを指定してプ ライベートAPIを作成する ◦ 作成したプライベートAPIをEventBridgeやStepFunctionsから呼び出せる
通信の流れ • 送信元リソース ⇒ VPCエンドポイント ⇒ Resource Gateway ⇒ 宛先リソース
• セキュリティグループ考慮ポイント ◦ Resource GatewayのインバウンドルールはなしでOK ▪ アウトバウンドルールは宛先リソースのCIDRレンジとポートで絞るのが推奨とのこと ◦ 宛先リソースのインバウンドルールにはResource Gatewayにつけたセキュリティグループを送信元として許可 ※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
Resource Configurationとは • 他のVPCから通信させたい宛先(リソース)を指定するもの • 後述するResource Gatewayはここで指定したIPアドレス等を宛先として通信を中 継 ※[アップデート] Amazon
VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
Resource Configurationとは • 指定出来る宛先 ◦ VPC内のプライベートIPアドレス ◦ DNS名:パブリックに解決できるもののみ。名前の最後にaws.comや amazonaws.comがつくものは不可 ▪
ここで登録したDNS名で別VPCリソースからアクセスできるわけ ではない点に注意 ▪ プライベート ホスト ゾーンのサポートにはすでに取り組んでいま す。とのこと ◦ ARN:サポートされているもののみ。⾃分が確認できたのはRDSのみ
Resource Configurationとは • ConfigurationType ◦ Resource Configurationはグループにまとめることもできる。グループにまとめた場合、グループ単位で VPCエンドポイント作成やRAM共有が可能 ◦ ARNタイプのResource
ConfigurationはAWS側で設定したグループを登録している(例:Auroraならク ラスターエンドポイントとリーダーエンドポイントがグループとして登録)
Resource Gatewayとは • 宛先リソースへの⼊⼝ • 他VPCから来た通信はまずResourceGatewayに⼊り、そこからResourceConfigurationで指定した宛先にデータ送信する ◦ そのため宛先リソースへの通信の送信元IPはResourceGatewayになる • 実体としては複数AZに配置されたENI
※[アップデート] Amazon VPC Lattice が TCP 接続に対応し、VPC 内の幅広いリソースへアクセスができるようになりました | DevelopersIO より引用
3つの構成パターン • PrivateLinkのみで構成
3つの構成パターン • VPC Lattice ServiceNetworkとVPC Endpointで構成
3つの構成パターン • VPC Lattice ServiceNetworkとServiceNetworkのVPC関連付けで構成
3つの構成パターン • ⽐較 PrivateLink VPC Lattice+VPC Endpoint VPC Lattice IAMによるアクセス
認証 なし あり あり リソースポリシー VPCエンドポイントのポリ シー VPCエンドポイントのポリシー及び ServiceNetworkのポリシー ServiceNetworkのポリシー 他アカウントへ共有 できる単位 Resource Configuration Service Network, Resource Configuration Service Network, Resource Configuration 価格 ResourceEndpoint: $0.028/h $0.01/GB ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB もしかしたらEndpoint料⾦もかかるかも? ServiceNWに追加する1リソースごとに $0.14/h $0.01/GB
None