背景
アップデート
2024/11/20、CloudFrontのVPC Origin機能が発表されました。
CloudFrontのオリジンをプライベートサブネットに配置できるようになりました。
従来のパブリックサブネットにオリジンを配置する構成と比較すると、セキュリティ対策が容易になります。
re:Invent参加で気になったこと
12/2~12/6にかけてre:Inventに参加してきました。
EXPOというブース型で企業展示やAWS展示が行われている大きな会場があります。
そこのAWSのネットワークブースでこのようなスライドを目にしました。
ここで気になるのはVPC to VPC NATと書いてあるコンポーネントです。
CloudFrontのVPC Origin機能の裏側
聞いてみた
ということで、そのブースに立っていたAWSの担当者の方に聞いてみました。
(※一部脚色しています)
私:「VPC to VPC NATとは何?新しいサービスなの?」
担:「新しいサービスではないよ。あれは内部のネットワークを示している。
VPC Lambdaと同じ構成だよ。」
どういうことか。
話の流れの中で消されてしまって写真を撮れていませんが、
下記のような図をホワイトボードに描いて話をしました。
VPC Lambdaに関してまとめると
- VPC LambdaはLambdaの計算リソースの実体はAWSの管理しているVPCにある
- Lambdaの実体と利用者のVPCのENIとが通信することで、Lambdaが利用者のVPC上で動いているように見えている
- その際のAWS管理VPCと利用者VPCとのネットワークのことをVPC to VPC NATと書いている
※実際にAWS管理VPCなるものが存在するかは不明ですが、AWSが管理しているリソースの海ととらえています。
今回のCloudFrontに当てはめると確かにスライドのような図になります。
結論
以上を踏まえると、CloudFrontのVPC Origin機能はVPC Lambdaのネットワークの仕組みをCloudFrontにも応用したことで可能になったと考えられそうです。
※図ではALBやELBは省略しました。
追記
参考
後で少し調べたところ、AWSさんのLambdaの記事にもVPC to VPC NATという記載がありました。