いつも記事を読んでいただきありがとうございます!
エンジニアのMasaki(@MASAKIOKUDA-eng)です👍
今回は11/14(木)に参加した「NW-JAWS #13 ~re:Inventに行く前に振り返り~」のアウトプットとして、イベント参加レポートを記事にしてみました!
初見の方でもわかるように、なるべく平易な表現を心がけて記事を執筆いたしますので、お気軽に読んでいただければと思います。
目次
- イベント概要(connpassより)
- メインセッション
- re:Invent 2023終了後~2024年のネットワーク関連のアップデート
- オンプレ接続のお供! AWS Direct Connectに改めて入門しよう
- LT
- Amazon CloudWatch Network Monitor のススメ
- UTM on EC2のネットワークってどうやってAWSで設計するの?(DCとの接続テストも合わせて共有!)
- メール警察!?Amazon SESが守るメール世界の治安※諸説あり
- グレー障害に備える 〜ベストプラクティスとApplication Recovery Controller Zonal Shift〜
- インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
- まとめ
イベント概要(connpassより)
re:Invent 2023終了後~2024年のネットワーク関連のアップデート
- お話しすること
- re:Invent2023終了後からのネットワーク関連のアップデート
- LocalZoneでBYOIP
- すべてのローカルリージョンでBYOIP(持ち込みIP)を利用可能
- Amazon Route53の地理的近接性ルーティング拡張
- プライベートホストゾーンに拡張
- NLBの証明書対応が拡張
- 量子暗号が実装されたら、鍵長で防ぐのは
- パブリックIPv4の課金開始
- EC2の無料枠と合わせて無料枠が拡張
- IPv6リース時間が調整可能
- 32ビットの最大値まで可能
- ALBのHTTPクライアントのキープアライブ期間を調整可能
- Amazon CloudFrontでLambda Functiosのアクセスコントールをサポート
- Amazon Route 53 Profilesリリース
- リージョン単位でまとめてリゾルバ設定可能
- パブリックIPv4アドレスの削除が可能
- Direct Connectの帯域Up
- Amazon Route Resolver DNS Filewallがドメインリダイレクト対応
- 自分が行きたいドメインだけに行くことができる
- VPC LatticeがTLSパススルーに対応
- AWS Cloud WAN Service Intectionリリース
- Elastic Fabric AdopterでIPを使わなくてもいい
- IPアドレス枯渇問題への対応
- Amazon VPC IPAMが任意のインターネットレジストリに登録されている情報を持ってこれる
- NLB・GWLB・NW FirewallのTCPタイムアウト調整可能
- 柔軟なネットワーク設定が可能になる
- AWS Transit Gatewayでセキュリティグループを対応
- AWS CloudTrailでVPCエンドポイント対応
- 異なるVPCでのセキュリティグループ共有
- Amazon Route 53で新しいレコードタイプに対応
- Private LinkでUDP対応
- CloudFrontでWAFブロックされたものは無料
オンプレ接続のお供! AWS Direct Connectに改めて入門しよう
- Direct Connectとは
- セキュアかつ広帯域な接続サービス(クラウド-オンプレ)
- 日本所属のDirect Connectro
- DXの接続タイプは3種類ある
- ダイレクトコネクトゲートウェイ
- VIFを増やさずにVGWを複数関連付けできる
- 20個までしか利用できない
- VPC間のハブ用途としては利用できない
- VPCハブ用途としてTGWを利用できる(5000個まで)
- トランジットVIFを利用する必要がある
- トランジットGWをハブとして利用するのであれば共用型でも使える
- VIFを増やさずにVGWを複数関連付けできる
- SLA周り
- 99.99%(非冗長なマルチ構成+AWS SAからのレビューを受けた構成)
- 注意事項
- オンプレ環境のASNとVGWのASNは重複不可
- DXGWを介せばVGW間でASの重複可能
- オンプレ環境のASNとVGWのASNは重複不可
- メンテナンス・障害への対応
- BFD(双方向フォワーディング検出)で対処可能
- AWS Black Beltをチェックしてみる
Amazon CloudWatch Network Monitor のススメ
- NW疎通監視の重要性
- NW障害はサービス停止に直結する
- 有事に備えた監視+障害発生時のコミュニケーションが重要
- AWSからもNetwork Monitorがサービス提供されている
- Network Monitorの概要
- ICMPプロトコルのパフォーマンス可視化を行える
- ベストプラクティス(個人体感)
- AZごとにモニターを作成する
- 複数の宛先を設定する
- すべては切り分け観点で考えてみる
- 監視する意味を考えて設定してみる
UTM on EC2のネットワークってどうやってAWSで設計するの?(DCとの接続テストも合わせて共有!)
- UTMとは
- 統合脅威管理の略
- AWSではAMIを利用
- 構成イメージ
- Client→AWS on UTM→オンプレ環境
- 注意事項
- Direct ConnectとSite To SiteだとDirect Connectの方が優先される
- Direct Connectのフェイルオーバーテストがある
- Direct ConnectとSite To SiteだとDirect Connectの方が優先される
メール警察!?Amazon SESが守るメール世界の治安※諸説あり
- AngelDojoへの参加経験
- AWS主催の企画フェーズから設計構築フェーズまでのハッカソン
- Workng BackWardsの考え方
- SES導入を通じた課題解決
- 専用IPを利用することでIPアドレス管理を簡単に行える
- メール送信のバウンス率(存在しないアドレスへの誤送信率)改善にも役立つ
- Virtual Deliverabilly Managerを利用することで可視化が可能
- まとめ
- 手軽にバウンス率改善ができる
グレー障害に備える 〜ベストプラクティスとApplication Recovery Controller Zonal Shift〜
- グレー障害に関するベストプラクティスについて紹介する
- グレー障害とは
- 視点別のオブザーバビリティを示したもの
- システム全体では健全だが、単体で見ると障害が起きている状態
- 障害分離境界によって発生しうる
- Zonal Shiftとは
- ELBの特定を手動で無効化させる(=特定AZを切り離す)
- 名前解決の仕組みを使って動いている
- 手動ゾーンシフトはユーザ起因で使える
- ゾーン自動シフトはAWS起因で使える
- まとめ
- ベストプラクティスに応じて障害復旧方法を設計しテストしておくこと
- W-Aを定期的にチェックしてみる
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
- アプリ概要
- PDF・パワポをアップロードして管理するアプリケーション
- 問題点
- ファイルアップロードに時間がかかる
- AWS環境で再現している、ローカルでは再現していない
- やってみたこと
- CloudFrontのタイムアウト値を変更→変わらない
- Geventが原因だった
- まとめ
- アプリ・インフラ双方を行ったり来たりして調査することが重要
まとめ
NW-JAWSを通じて、AWSで提供しているネットワークサービスに関する理解が深まりました。そのうえで、今回アップデートした機能の味見を行っていきたいなぁと思いました。
そのうえで、発表者のプレゼンスキルが高いと思ったので、自身のプレゼンスキルを磨くきっかけにもなりました!
LT資料
re:Invent 2023終了後~2024年のネットワーク関連のアップデート
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
Amazon CloudWatch Network Monitor のススメ
メール警察!?Amazon SESが守るメール世界の治安 ※諸説あり