[レポート] AWSネットワークの新機能まとめ #JAP202 #reinvent

2021.12.01

re:Invent 2021 で行われた「AWSネットワークの新機能まとめ」セッションのレポートです

セッションはオンデマンドで公開されていますので、レポートを見て興味が出た場合はぜひご確認ください。

セッション概要

セッション名:AWS ネットワークの新機能まとめ

AWS では、お客様の様々な課題を解決するための新サービスや新機能を続々とリリースしています。本セッションでは、2020 年、2021 年に行われたネットワーク関連機能のアップデートをまとめてご紹介します。

スピーカー:AWS Network Solutions Architect Yosuke Okumura

対象視聴者

セッション概要通りですが、2020 年〜2021 年にかけて行われた AWS のネットワーク関連のアップデートをまとめて確認したい方向けです。

レポート

アジェンダ

  • AWS Gateway Load Balancer
  • AWS Network Firewall
  • AWS Transit Gateway のアップデート
    • アプライアンスモード
    • Transit Gateway Connect
  • Amazon VPC の アップデート
    • ルーティング機能の拡張
  • Network Load Balancer のアップデート
    • Application Load Balancer 型ターゲットグループ


AWS Gateway Load Balancer

  • VPC 上でネットワークアプライアンスを冗長化するためのロードバランサーサービス
    • ELB の中の 1 種類
  • セキュリティアプライアンスを冗長化したいが、従来は VRRP や HA などの手法は取れない状況だった
  • 従来の方法
    • Lambda を利用して EC2 のルート設定を変更
    • VPN と BGP による切り替え

  • AWS Gateway Load Balancer の概要
    • GWLB エンドポイントを作成してエンドポイントをルートテーブルのターゲットに指定
    • GWLB とセキュリティアプライアンスは GENEVE で接続
    • セキュリティアプライアンスを水平スケーリングが可能
  • トラフィックフローの解説


AWS Network Firewall

  • VPC 上に配置するマネージドファイアウォール
  • 構成イメージは GWLB と同様
    • エンドポイントを作成してアクセス

  • ファイアウォールの可用性を AWS が担保
    • SLA は 99.99%
  • ステートレスパケットフィルタとステートフルバケットフィルタ両方に対応
    • ステートレスは 5-tuple(送信元 IP、送信先 IP、送信元ポート、送信先ポート、プロトコル)
    • ステートフルは 5-tple、ドメインリスト、Suricata 互換 IPS
  • ユースケース
    • Transit Gateway と組み合わせたデプロイモデル


AWS Transit Gateway アプライアンスモード

  • アプライアンスモードを有効化すると、戻りパケットが必ず行きと同じ経路 (AZ) を通るようにするサービス


AWS Transit Gateway Connect

  • Transit Gateway Connect は様々なネットワークとの相互接続を楽にするサービス
    • 従来は、Transit Gateway と アプライアンスを Site-to-Site VPN により接続(ルーティングが複雑)
    • Connect アタッチメントにより従来の Site-to-Site VPN の代わりに BGP over GRE で接続
    • BGP の経路交換が可能となる


Amazon VPC のルーティング機能の拡張

  • Local ルートより詳細なルート設定が可能になった
    • サブネット間通信で特定サブネットを経由できる
    • VPC の外側に向かうルートの設定は不可能(VPC 内の制御のみ)

  • ユースケース
    • プライベートサブネットから AWS Network Firewall → NAT Gateway 経由のインターネット通信の戻りを Firewall 経由とする(戻り通信のプライベートサブネット宛のルートのターゲットを Firewall にする)


Network Load Balancer の Application Load Balancer 型ターゲットグループ

  • Network Load Balancer (NLB) のターゲットグループに Application Load Balancer (ALB) タイプが追加
    • ALB 背後のインスタンスに固定 IP アドレスでアクセス可能になる
    • 従来は ALB の IP アドレス変更を契機に Lambda で NLB のターゲット書き換えが必要だった

  • ユースケース
    • 特定の VPC から PrivateLink 経由で 別 VPC の ALB 配下のインスタンスにアクセス(NLB 経由で ALB アクセス)
    • HTTP/HTTPS Listener と TCP/UDP Listener を複合利用可能(下図のイメージ)

まとめ

2020 年〜2021 年のアップデートをまとめて確認できるセッションでした。従来のアーキテクチャとの比較とユースケースの紹介があるため、新しい機能を理解しやすいです。