Zenn
🐷

AWS Networking Roadshow - Japanに参加してきた

2023/09/27に公開
AWS
network
tech

https://awsnetworkingroadshow-japan.splashthat.com/

キーノート:今後の AWS Networking(英語セッション/日本語通訳あり)

10:40 - 12:15
AWS,WW Tech Leader, Networking Steve Seymour

リージョンやAZの話、追加する際の重要なポイントやコンポーネントなど
そこから歴史の話(EC2やVPCそしてピアリング、TGW)
管理者と開発者の観点の違い、重要に思うポイントの差など
 →Latticeにつながる
ゼロトラストの考え方の話
 →Verified Accessにつながる
グローバルインフラストラクチャの話
 →Cloud WANにつなげる
そこから各地のロケーションをつなげる話
 →Direct Connect Site Linkにつながる

QA

IGW自体に帯域幅の制限はありますか?
 →各EC2毎にワークロードが発生するため帯域幅の制限はなくボトルネックになることはない

トランジットセンターはAZがある施設とは別にあるんですか?
 →AZとは別に複数個所の施設としてあります。これはバックボーンとの接続などに主に使われます。

AWS Artifactのレジリエンスは公開された後に更新されますか?
 →必要なものは確認後に回答します

DXのロケーションコネクトで大阪リージョンで二つ目を作成予定はありますか?
 →プランはないけどリクエストは受けています
 隣接リージョンには今後同様のサービス提供が出来るようにしていくつもり、DR的な観点を踏まえて

IPv6の対応は今後進んでいきますか?有償化に伴う関係の質問、ALBはまだ対応していない
 →今後は進めていく予定

グローバルネットワーク展開、DR対策を迅速化するAWS Cloud WAN(大阪リージョンも対応!)

1:15 - 2:00
アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト

Cloud WAN の使いどころ
vs TGW
リージョン間も統一のルートテーブルで管理可能
セグメント分割を容易に可能にする

VPCがなくてもオンプレ拠点間でフラットに接続が可能
→アウトバウンドだけIGWの各リージョンに集約も可能

複数のアタッチメントタイプをサポート、およびセグメント分割が可能
※Direct Connectは接続することが出来ない

QA

どういった事例がありますか?
 →TGWと比較されることが多く、差分としてはグローバルネットワーク管理となりその環境をまとめたいというお客さんが多い

TGWとの多段構成はできるんですか?
 →出来ますがコストの観点からお勧めできません(アタッチメント分かかる)

DXと繋げることはできますか?
 →TGWとDXをつないでそれをCloud WANに接続することで実装可能、ただ上記の懸念があります、スプリットホライズンなどは要検討

何もない状態でのTGW vs Cloud WAN
 →インターピアリングのメッシュスタティックルートを許容できるのか(リージョン3つ以上でだんだん複雑になっていく、VPCの数や)

中身はTGWと同じ←
 →VPC内のルーティングは宛先をアタッチメントにしないといけない
 内部でのフィルタリングなどはまだできない

AWS Transit Gatewayハンズオン:リージョンのコアルーターとしてVPC間トラフィックの制御を体験いただく、体験型のWorkshopです。

※ノートPCをご持参ください

2:05 - 3:05
<配付資料>

TGWとはVPCやDXなどをルーティングするリージョナルサービス
 →アウトバウンドのインターネット通信の集約やIPSアプライアンスを使用したセキュリティ対策なども可能

最近はインターネットの出口をAWS上に持ってくるのが流行っている
 →なぜなら送信元IPがAWS所有のグローバルIPアドレスになるため
※ただアクセス制限できないサイト等があるため注意が必要

TGWのアタッチメントを置く場所のルートテーブルはとても大事なのでサブネットを分ける必要がある

Cloud WAN でセキュリティVPCを入れる場合は基本的には各リージョンに設置する
共通のセキュリティVPCを置くこともできるけどリージョン間通信になってしまうので推奨されない
※コスト的にも
各リージョンで通信する前にFWを通す設定を前やったがルーティングがとても複雑になったのでこれをやるならTGWでやった方がシンプルになる
 →つまりケースバイケース

AWSネットワークを守るファイアウォールの設計パターン

3:10 - 3:55
アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト

SG/NACLのおさらい

ドメインリストグループ(ドメインベース)と脅威シグネチャグループ(既知脆弱性ベース)のマネージドルールで検査を行える
※FTP/GeoIP/IP reputationは使えない

パートナーソリューションの紹介および vs の考慮事項 vs Network Firewallの考慮事項
・ホスト型
・FWaaS型

マルチアカウント時のNetwork firewallの導入アーキテクチャ
 →RAMを使用して共有することで集約可能
また、TGWを使いセキュリティVPCを置くことでも管理可能
※マルチAZの場合はアプライアンスモードの設定をする必要がある

柔軟にマイクロサービスを運用管理する - Amazon VPC Lattice基本のキ

4:10 - 4:55
アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト

時代が変わるにつれてモノリスからマイクロサービスへ
これに伴いネットワーク管理の課題が生まれてきた

そのうえでTGWなどのL3管理→NLB/PrivateLinkでの管理を経てLatticeが生まれた

開発者とネットワーク管理者での悩みを解決するサービス

開発者はサービスを管理し、ネットワーク管理者はサービスネットワークを管理することで責任範囲を分割することが可能になる

・パスベースのルーティング機能
・IAMベースでの認証ポリシー

Discussion