![[レポート] AWSネットワークの新機能まとめ #JAP202 #reinvent](https://devio2023-media.developers.io/wp-content/uploads/2021/11/eyecatch_reinvent2021_sessionreport.png)
[レポート] AWSネットワークの新機能まとめ #JAP202 #reinvent
re:Invent 2021 で行われた「AWSネットワークの新機能まとめ」セッションのレポートです
セッションはオンデマンドで公開されていますので、レポートを見て興味が出た場合はぜひご確認ください。
セッション概要
セッション名:AWS ネットワークの新機能まとめ
AWS では、お客様の様々な課題を解決するための新サービスや新機能を続々とリリースしています。本セッションでは、2020 年、2021 年に行われたネットワーク関連機能のアップデートをまとめてご紹介します。
スピーカー:AWS Network Solutions Architect Yosuke Okumura
対象視聴者
セッション概要通りですが、2020 年〜2021 年にかけて行われた AWS のネットワーク関連のアップデートをまとめて確認したい方向けです。
レポート
アジェンダ
- AWS Gateway Load Balancer
- AWS Network Firewall
- AWS Transit Gateway のアップデート
- アプライアンスモード
- Transit Gateway Connect
- Amazon VPC の アップデート
- ルーティング機能の拡張
- Network Load Balancer のアップデート
- Application Load Balancer 型ターゲットグループ
AWS Gateway Load Balancer
- VPC 上でネットワークアプライアンスを冗長化するためのロードバランサーサービス
- ELB の中の 1 種類
- セキュリティアプライアンスを冗長化したいが、従来は VRRP や HA などの手法は取れない状況だった
- 従来の方法
- Lambda を利用して EC2 のルート設定を変更
- VPN と BGP による切り替え
- AWS Gateway Load Balancer の概要
- GWLB エンドポイントを作成してエンドポイントをルートテーブルのターゲットに指定
- GWLB とセキュリティアプライアンスは GENEVE で接続
- セキュリティアプライアンスを水平スケーリングが可能
- トラフィックフローの解説
AWS Network Firewall
- VPC 上に配置するマネージドファイアウォール
- 構成イメージは GWLB と同様
- エンドポイントを作成してアクセス
- ファイアウォールの可用性を AWS が担保
- SLA は 99.99%
- ステートレスパケットフィルタとステートフルバケットフィルタ両方に対応
- ステートレスは 5-tuple(送信元 IP、送信先 IP、送信元ポート、送信先ポート、プロトコル)
- ステートフルは 5-tple、ドメインリスト、Suricata 互換 IPS
- ユースケース
- Transit Gateway と組み合わせたデプロイモデル
AWS Transit Gateway アプライアンスモード
- アプライアンスモードを有効化すると、戻りパケットが必ず行きと同じ経路 (AZ) を通るようにするサービス
AWS Transit Gateway Connect
- Transit Gateway Connect は様々なネットワークとの相互接続を楽にするサービス
- 従来は、Transit Gateway と アプライアンスを Site-to-Site VPN により接続(ルーティングが複雑)
- Connect アタッチメントにより従来の Site-to-Site VPN の代わりに BGP over GRE で接続
- BGP の経路交換が可能となる
Amazon VPC のルーティング機能の拡張
- Local ルートより詳細なルート設定が可能になった
- サブネット間通信で特定サブネットを経由できる
- VPC の外側に向かうルートの設定は不可能(VPC 内の制御のみ)
- ユースケース
- プライベートサブネットから AWS Network Firewall → NAT Gateway 経由のインターネット通信の戻りを Firewall 経由とする(戻り通信のプライベートサブネット宛のルートのターゲットを Firewall にする)
Network Load Balancer の Application Load Balancer 型ターゲットグループ
- Network Load Balancer (NLB) のターゲットグループに Application Load Balancer (ALB) タイプが追加
- ALB 背後のインスタンスに固定 IP アドレスでアクセス可能になる
- 従来は ALB の IP アドレス変更を契機に Lambda で NLB のターゲット書き換えが必要だった
- ユースケース
- 特定の VPC から PrivateLink 経由で 別 VPC の ALB 配下のインスタンスにアクセス(NLB 経由で ALB アクセス)
- HTTP/HTTPS Listener と TCP/UDP Listener を複合利用可能(下図のイメージ)
まとめ
2020 年〜2021 年のアップデートをまとめて確認できるセッションでした。従来のアーキテクチャとの比較とユースケースの紹介があるため、新しい機能を理解しやすいです。
![[アップデート] Amazon VPC Reachability AnalyzerがAWS Network Firewallを含む3つのネットワークサービスをサポートしました](https://devio2023-media.developers.io/wp-content/uploads/2022/08/amazon-vpc.png)
![[アップデート] Amazon VPC Traffic Mirroring が Gateway Load Balancer へのトラフィックの送信をサポートしました](https://devio2023-media.developers.io/wp-content/uploads/2019/05/amazon-vpc.png)
