1. はじめに
Amazon ECS を利用して OpenAI の Realtime API(WebSocket)を動作させ、ALB を使って TLS(WSS)対応した セキュアな WebSocket チャットボットを構築する。
前回の記事では Amazon ECS で OpenAI Realtime API (WebSocket) を使った ChatBot を構築した。この ChatBot に対して テキスト だけではなく 音声 で会話ができるように拡張する。
ところで、ChatBot の Webブラウザで動作するサンプルアプリケーション が音声入出力をサポートしたい場合に、Webブラウザは ChatBotサーバーとの接続にHTTPS/WSS(TLS)接続 を要求する。これは、マイクなどのデバイスを安全に利用するためのセキュリティ要件になっている。
Webブラウザは、マイクを利用するWebアプリに対し、以下の条件を求める。
- HTTPS(TLS)接続で配信されていること
- 信頼できる認証機関(CA)発行の証明書を使用していること(自己署名証明書は不可)
これを満たさない場合、ブラウザはマイクの利用を許可しない
そこで、今回は ChatBot サーバー を ALB(Application Load Balancer)を使って WebSocket の TLS(WSS)に対応させる。
2. ALB を使って TLS をサポートする理由
ALB を使うことで、TLS 証明書の管理が容易になり、負荷分散やスケーリングが簡単になる。AWS Certificate Manager(ACM)を利用すれば、証明書の取得や更新が自動化され、運用負担を大幅に軽減できる。
また、ALB は複数の ECS タスクにリクエストを分散できるため、負荷分散が自動で行われ、トラフィックの急増にも対応しやすくなる。スケールアウト時も ALB が新規タスクに自動でルーティングするため、手動で設定を変更する必要がない。
一方、ECS 内で TLS を処理する場合、各コンテナで個別に証明書を管理する必要があり、手動更新や設定変更の手間が増えます。スケール時には新たにデプロイされるタスクごとに証明書を適用する必要があり、管理が煩雑になりがちです。特に大規模環境では、証明書管理の負担とスケーリングの課題から ALB の利用したほうがよい。
3. システム構成
- クライアントから WebSocket/TLS(WSS)で ALB に接続
- ALB から WebSocket (WS) で ECS に接続
- ECS から WebSocket/TLS (WSS) で OpenAI に接続
4. 必要な AWS リソース
| サービス・機能 | 役割・説明 |
|---|---|
| Amazon ECS(Fargate) | ChatBot を動作させる |
| Application Load Balancer(ALB) | WebSocket(WSS)経由の通信を処理 |
| AWS Certificate Manager(ACM) | TLS(SSL)証明書を取得し ALB に適用 |
| Amazon Route 53 | カスタムドメインで WebSocket にアクセスする場合に必要 |
5. ChatBot を ALB で TLS (WSS) に対応させる
前回の記事の 4. Amazon ECSで ChatBot の Docker を起動する の (2) タスク定義を作成 まで作業を進めたあと、次のようなステップで TLS (WSS) に対応する。
- Amazon Route 53 でドメインを取得 (有料)
- AWS Certificate Manager(ACM)で証明書を発行(無料)
- Application Load Balancer(ALB)に証明書を適用
- ALB に Route 53 で取得したドメインを設定する
(1) Route 53 でドメインを取得
Route 53 のコンソール でドメインを取得する。Route 53 でのドメインの取得方法は下記の記事を参考に実施すれば良い。
(2) AWS Certificate Manager (ACM) で証明書を作成する
ACM のコンソール で証明書をリクエストする。証明書の発行はこちらのサイトの通り行えば良い。AWS Certificate Manager (ACM) を通じてプロビジョニングされたパブリック SSL/TLS 証明書は無料だ。
(3) ALB に TLS(WSS)対応を設定
Amazon ECS のコンソールでクラスタにサービスを作成する
- [クラスター] のページで [作成したクラスタ名] を選択する
- [サービス] の [作成] を選択する
[作成] のページが開く
- [デプロイ設定] までスクロール
- [ファミリー] と [リビジョン] であらかじめ作成しておいたタスクを設定する
- [サービス名] を設定する (任意の名称)
- [ロードバランシング] までスクロール
- [ロードバランサー名] を設定する (任意の名称)
- [リスナー] の [ポート] に 443 を設定する
- [リスナー] の [プロトコル] に HTTPS を設定する
- [リスナー] の [証明書] に ACM 証明書から選択 を選択し、 ACM で作成しておいた証明書 を選択する
- 一番下までスクロールして [作成] ボタンを選択肢サービスを作成する
(4) ALB に Route 53 で取得したドメインを設定する
サービスを作成すると、ALBには独自のDNS名が設定される。例えば、先ほど作成したALBのDNS名を確認するには次のコマンドを実行する
aws elbv2 describe-load-balancers --names "<your_alb_name>" --query 'LoadBalancers[0].DNSName' --output text
xxxxx-xxxxxxxx-xxxx-xxx-xxxxxxxxxx.us-east-1.elb.amazonaws.com
このままの状態では、証明書に設定されたドメイン名とALBのDNS名が異なるため、エラーが発生する。
wscat -c xxxxx-xxxxxxxx-xxxx-xxx-xxxxxxxxxx.us-east-1.elb.amazonaws.com
error: Hostname/IP does not match certificate's altnames: Host: xxxxx-xxxxxxxx-xxxx-xxx-xxxxxxxxxx.us-east-1.elb.amazonaws.com. is not in the cert's altnames: DNS:xxx-xxxxxx-xxxxxxxxxx.com, DNS:*.xxx-xxxxxx-xxxxxxxxxx.com
この問題を解決するため、Route 53 を使用して独自ドメインをALBに割り当てる。
- Route 53 のコンソール を開く
- [レコード作成] ボタンを選択する
- [レコードを作成] ページに移動する
- [レコード名] を設定する (任意の名称)
- [エイリアス] を Enable にする
- [トラフィックのルーティング先] に ALB と ALBを作成したリージョン を設定する
- [ロードバランサー] を設定する
- [レコードを作成] を選択する
この手順で設定した レコード名 がDNSに登録され、そのドメイン名を使ってALBにアクセスできるようになります。
5. クライアントから WSS で接続して動作確認
wscat で動作確認
テキストで ChatBot と会話できることを確かめた
wscat -c wss://<your_chatbot_domain_name>/ws
Connected (press CTRL+C to quit)
> Hi ChatGPT
< Hello! How can I assist you today?
> What is AWS?
< AWS, or Amazon Web Services, is a comprehensive cloud computing platform provided by Amazon. It offers a range of services including computing power, storage, databases, machine learning, analytics, and more, enabling businesses to deploy and manage applications and infrastructure in the cloud.
Webブラウザ で動作確認
音声で ChatBot と会話できることを確かめた
Webブラウザで https://<your_chatbot_domain_name> に接続すると下記のUIが表示される。
[Start Audio] を選択すると、音声で ChatBot と会話ができる
参考サイト