Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
これからの設計で変わること pre:invent2024アップデート速報 / pre:inve...
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
TomoyaKitaura
December 03, 2024
Programming
300
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
これからの設計で変わること pre:invent2024アップデート速報 / pre:invent2024 network update
2024.11.27 しむそくRadio Day2の発表資料です。
TomoyaKitaura
December 03, 2024
More Decks by TomoyaKitaura
See All by TomoyaKitaura
New Relicの推せるところ・推せないところ / newrelic good and bad
tomoyakitaura
0
280
サービスレベルを管理してアジャイルを加速しよう!! / slm-accelerate-agility
tomoyakitaura
1
350
「頑張る」を「楽しむ」に変換する技術
tomoyakitaura
19
11k
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives
tomoyakitaura
0
240
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
tomoyakitaura
2
230
LTワークショップ3日目 / LT Workshop Day 3
tomoyakitaura
0
220
LTワークショップ2日目 / LT Workshop Day 2
tomoyakitaura
0
200
LTワークショップ(1日目) / LT workshop day 1
tomoyakitaura
1
240
これまでの監視とクラウド時代の監視 / Monitoring the Past and the Cloud
tomoyakitaura
1
380
Other Decks in Programming
See All in Programming
メソッドのジェネリクスでGoの夢は広がるか? / Kyoto.go #65
utgwkk
3
900
ローカルLLMでどこまでコードが書けるか -拡張版 / How much code can be written on a local LLM Extended
kishida
12
4.4k
ECSアプリログをFireLensでコスト削減しようとしたけど諦めた話 in Fargate×Node.js
akihisaikeda
2
4.2k
Developing with AI Agents — Codex, Claude Code & Cowork Practical Guide
x5gtrn
PRO
0
1.3k
フロントエンドとバックエンドで「1文字」を揃えよう
youkidearitai
PRO
0
730
セキュリティの専門家じゃなくてもできる。「セキュリティ意識」をアップデートして サプライチェーン攻撃への耐性を高めよう。
tk3fftk
5
900
Creating Composable Callables in Contemporary C++
rollbear
0
160
Strategic Design in the Frontend: Moduliths & Micro Frontends @DDDEurope
manfredsteyer
PRO
0
130
Datadog × OpenTelemetry 入門と実践のあいだ
kn_to_maxpno
1
170
AI 時代のソフトウェア設計の学び方
masuda220
PRO
29
13k
技術的負債解消で開発者の未来を開く- AIの力でコード刷新
kmd2kmd
0
110
鹿野さんに聞く!『TypeScriptコードレシピ集』で磨く実践力
tonkotsuboy_com
2
230
Featured
See All Featured
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
540
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
210
Information Architects: The Missing Link in Design Systems
soysaucechin
0
980
Building AI with AI
inesmontani
PRO
1
1.1k
GraphQLとの向き合い方2022年版
quramy
50
15k
We Are The Robots
honzajavorek
0
250
Marketing to machines
jonoalderson
1
5.5k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
200
How to build a perfect <img>
jonoalderson
1
5.7k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
210
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
170
Transcript
これからの設計で変わること ~pre:invent2024アップデート速報~ KDDIアジャイル開発センター株式会社 Tomoya Kitaura しむそくRadio Special DAY2 2024/11/27
自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG
コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic
弊社某ヒーローのつぶやき 3
アジェンダ 4 - 本日の題材となるアーキテクチャ - アップデート紹介 - Amazon VPC -
Block Public Access(BPA) - Amazon CloudFront - VPC origins - この変更がもたらすこと - 何が嬉しいのか - これからやっていくこと - まとめ
5 本日の題材となるアーキテクチャ
6 Amazon VPC Block Public Access(BPA) このリージョンにおいて、 パブリックアクセスを 原則、禁ずる!
Block Public Access(BPA) 7 - Block Public Accessとは - VPC
のインターネットトラフィックを 正式にブロックできるようにする新しい集中宣言型制御 - “双方向”,”インバウンドのみ”2種類の制御が可能 - 設定の単位 - リージョン単位で設定する。 - VPC、Subnet単位で除外設定が行える。 - “インバウンドのみ”の場合はNATなどを 利用した戻りの通信は許可される。 - 無料
Block Public Access(BPA)の設定画面 8
9 Amazon VPC Block Public Access(BPA) あっ・・・
10 Amazon CloudFront VPC origins Private Subnetに配置されてい るリソースをCloudFrontのオリ ジンに登録する!
CloudFront VPC Origins 11 - CloudFront VPC Originsとは - CloudFront
を使用して Private Subnet内の アプリからコンテンツを配信できるようにする機能 - ALBやNLB、EC2など、Private Subnet内にある リソースを選択し、VPC Originとして設定できる。 - VPC Originの作成後はCloudFrontのOriginとして、 選択可能 - 無料
12 これらの変更がもたらすこと
嬉しいポイント 13 - Amazon VPC Block Public Access(BPA) - リージョンの単位での制御ができるようになったため、
開発者の設定ミスなど、意図しないインターネットの 公開をより強固に防ぐことが可能となった。 - CloudFront VPC Origins - CloudFrontのオリジンに登録するためにインターネット フェイシングである必要がなくなるため、より防御面の 設定が簡素になった。 - PublicIPが少し減って料金がちょっとだけお得になった。
これからやっていきたいポイント 14 - これから新しく設計をするときはVPC Block Public Accessで 制御する前提にする。 - リージョン単位で”インバウンドのみ”を制御する方法が
いいかなと個人的には模索中 - 双方向の制御をかけてしまって、NAT Gatewayを配置す るサブネットだけ”インバウンドのみ”の制御をかける方 式もより強固かもしれない。 - その際はCloudFrontのVPC Originsを使ってなるべく Public Subnetにリソースを配置しないようにする。
まとめ 15 リージョン単位 で”インバウン ドのみ”の制御 をONに。 パブリックインターネッ トを経由せず、AWSの 内部ネットワークから アクセス可能に。
NAT Gatewayからの インバウンド通信は可 能。 ALBはPrivate Subnetに配置し、 VPC Originとして登 録
さいごに 16 ご静聴ありがとうございました!!
SiteGround - Reliable hosting with speed, security, and support you can count on.
tomoyakitaura
utgwkk
kishida
akihisaikeda
x5gtrn
youkidearitai
tk3fftk
rollbear
manfredsteyer
kn_to_maxpno
masuda220
kmd2kmd
tonkotsuboy_com
chriscoyier
honzajavorek
codingconduct
soysaucechin
inesmontani
quramy
jonoalderson
techseoconnect
katarinadahlin
ryanjones
