AWSサービスの機能を調べる(Network)
皆さんは、AWSクラウドが持つ機能を調べるとき、どうしていますか?
また、使おうと考えているサービスの仕様をどのように調べていますか?
私はこのところ、AWSサービスの機能のホントのところを確認するために、AWS公式ホームページの「AWSサービス別資料」で確認を取っています。
(資料には、SlideShare 、PDF 、Youtube があります)
ちまたのインターネットでの技術ネタを調べることも過去多かったのですが、情報の鮮度もありますし、やっぱり本家の情報がしっくりと安心できます!!
今回は、この画面の左にあるカテゴリー分けから「Compute」を選んだときに、各資料にはどのような情報が含まれているかを箇条書きにします。(99-99 形式の数字はページを表します)
Networkカテゴリ
●●●資料【01_GatewayLoadBalancer】
12Page
Gateway Load Balancer 概要
15-16Page
今後のネットワークアプライアンスの展開モデル(VPC間、インターネット向け)
19-21Page
Gateway Load Balancerの操作
Routing設定の流れ(Ingress Routing)
Routing設定の流れ(Transit Gatewayと組合せ)
23-30Page
トラフィックフロー例1 Ingress Routing(行き)
トラフィックフロー例1 Ingress Routing(戻り)
トラフィックフロー例2 Transit Gatewayと組合せ(行き)
トラフィックフロー例2 Transit Gatewayと組合せ(戻り)
トラフィックフロー例3 Transit Gatewayと組合せ
トラフィックフロー例4 Transit Gatewayと組合せ(行き)
トラフィックフロー例4 Transit Gatewayと組合せ(戻り)
トラフィックフロー補足(Transit Gateway Appliance mode 前振り)
32-34Page
Transit Gateway Appliance mode disable(無効)
Transit Gateway Appliance mode enable(有効)⇒ (AZを跨ぐトラフィック)
Transit Gateway Appliance mode enable(有効)⇒ (同一AZ間トラフィック)
クロスゾーン負荷分散
36-40Page
クロスゾーン負荷分散設定
クロスゾーン負荷分散(Appliance正常時)
クロスゾーン負荷分散(AZ1 Appliance全障害)
クロスゾーン負荷分散無効の場合(AZ1 Appliance全障害)
クロスゾーン負荷分散 vs TGW Appliance mode
デモ 42-48Page
デモ1 GWLBe-GWLB間はどのようなトラフィックが流れているのか?
デモ2 TGW上でAppliance Modeを有効にした場合の動作(補足)
50-51 Amazon Linux 2をGWLBのターゲットにする
52Page 他のアカウントにGWLBエンドポイントを作成するには
53Page Gateway Load Balancerのクォータ
54Page Gateway Load Balancerのご利用料金
57-61 GWLB 設定画面
●●●資料【02_Elastic Load Balancing (ELB)】
33Page
ステッキーセッション
47Page
ALBのCognito認証/OIDC IdPによる認証
●●●資料【03_Amazon Virtual Private Cloud (VPC)】
36Page
サブネットで利用できないIPアドレス(/24の例)
49Page
カスタマーマネージドプレフィックスリスト
51-52Page
Ingress Routing 注意点
・ENIをターゲットにするのでAZ/インスタンス障害時にlambdaなどでルーティングテーブルを
切り替える仕組みが必要(TGWのインライン監査と同じ)
・他のサブネットのIGW/VGW向けのルーティングは指定したENIに向けること(非対称になる)
54Page
サブネット内のDHCP
・プライベートIPを固定の場合、DHCP経由で該当のIPが割当てられる
(EC2インスタンスのOS上のNIC設定はDHCP設定とする)
55-56Page
Route53 resolver(AmazonProvidedDNS)
・2つのアドレスが利用可能 ①VPCのネットワーク範囲(CIDR)のアドレスに+2をプラスしたIP
(10.0.0.0/16の場合は10.0.0.2)
②169.254.169.253
Route 53 Resolver for Hybrid Clouds
・オンプレミスからDirect Connect/VPN経由によるVPCProvided DNSへの
直接アクセス可能なDNSエンドポイント
・複数AZに跨ったエンドポイント設定による冗長
58Page
Amazon Time Sync Service:NTP時刻同期サービス(169.254.169.123を設定)
59Page
Egress-only Gateway(EGW) を利用してIPv6においてもプライベート利用が可能
68Page
Direct Connect Gatewayの接続例
71-73Page
AWS Transit Gateway、Multicast対応、リファレンスアーキテクチャ
75Page
VPC設計:100.64.0.0/10 CGNAT
78Page
VPC Endpoint
79Page
PrivateLink
80Page
アクセス制御:エンドポイントポリシー/セキュリティグループ
82Page
PrivateLinkはオンプレミスにネイティブ対応
84-87Page
VPCの接続バリエーション:VPC peering、PrivateLink、Transit Gateway
Transit Gateway と PrivateLinkはスケーラブル
VPCシェアリング
95-97Page
VPC Traffic Mirroring:EC2インスタンスのENIから
ネットワークトラフィックをミラーリングする機能
101Page
Amazon VPC のクォータ関連
●●●資料【04_Site-to-Site_VPN】
14Page
VPN接続3パターン
①Client VPN ②Site-to-Site VPN 仮想プライベートゲートウェイ(VGW)接続
③Site-to-Site VPN トランジットゲートウェイ(TGW)接続
20Page
Site-to-Site VPNとは?
・VGW:特定のVPCのみと通信
・TGW:多くのVPCと通信(VPN料金の他にTGWの料金も発生する)
・事前共有キーによる認証方式:IPsec対応ルーターと固定Public IP
・プライベート証明書認証方式:非固定PublicIP
22Page
Site-to-Site VPNの準備
・カスタマーゲートウェイデバイス お客様側にある物理デバイスまたはソフトウェアデバイス
・カスタマーゲートウェイ(CGW)
28Page
ルーティングのタイプ:動的(BGP) or 静的
29Page
設定時の注意:最大送信単位 (MTU)=パケットサイズが1399以下となるよう、MTU設定推奨
33Page TGWメリット(1): 複数VPCと同時接続
34Page TGWメリット(2): 柔軟なルート設計
(VPC経由でインターネット接続可、セキュリティアプライアンスをクラウドに集約)
35Page TGWメリット(3): 複数のVPNによるAct-Act通信(ECMP←複数のVPN接続を束ねる)
36Page TGWメリット(4): Acceleratedサイト間VPNオプション
仮想プライベートゲートウェイ(VGW)の冗長化
40Page 冗長化の考え方:1つのVPN接続で2つのIPsecトンネル
41Page 冗長化の考え方:単一障害点となるルーターを冗長化
42Page VGWの優先制御:AWS→オンプレミス
(Active-Standby ユーザルーターでAS Path PrependやMEDを設定して制御可能)
43Page VGWの優先制御:オンプレミス→AWS
(ユーザルーターがMED制御できる場合、AWS付与MED値によって
各AWS接続ごとの優先IPsecトンネルが決定される)
トランジットゲートウェイ(TGW)の冗長化
44Page 冗長化の考え方:1つのVPN接続で2つのIPsecトンネル
45Page 冗長化の考え方:複数のVPN接続に通信を分散するECMP
46Page 冗長化の考え方:ECMP利用時の考慮ポイント
Direct Connectとの併用によるSite-to-SiteVPN冗長化
49Page 経路制御:Direct Connect/インターネットVPN(BGP):Standby
50-51 注意点:TGW接続のDirect Connect/VPN(Static):Staticが優先
52Page 複数VPCに対するバックアップ用途のSite-to-Site VPN
(各サブネットのルートテーブルでオンプレミス向け経路をTGWへ変更)
53Page オンプレミスからAWSへ通信する際の経路選択
(「許可されたプレフィックス」でVPC側CIDRを指定)
54Page オンプレミスから同じCIDRが広報され、1つのルートテーブル内で重複
⇒ Direct Connect Gatewayアタッチメントからの経路が優先される
55-56 経路制御:ルート設計上の課題
60-62 Site-to-Site VPNを利用した拠点間通信
65-68 運用時の確認ポイント
●●●資料【05_Amazon VPC VPN 接続設定 参考資料】
●●●資料【06_Amazon_CloudFront_deep_dive】
28Page
ACM証明書とSNI証明書
30Page
8つの追加メトリクス: 追加費用!!
40Page
OAIはS3ホスティングが使えなくなる!
49Page
Cache Policy / Origin Request Policy の使用例
Behavior の Origin Reuest Policy:
指定なし:Referer 含めない
Managed-UserAgentRefererHeaders Referer を送る
54Page
Brotli圧縮
69Page
※ 4XX 系 / 5XX 系のエラーキャッシュ期間 (Error Caching Minimum TTL) は デフォルト 10 秒
07_Amazon_CloudFrontの概要.pdf の内容から変更になっている。
●●●資料【07_Amazon_CloudFrontの概要】
24Page
RangeGETリクエスト
大きなオブジェクトの場合、複数のGETリクエストを、Rangeリクエストヘッダーを使用して、小さい単位でダウンロードする場合があります。
部分的なダウンロードの効率、および部分的に失敗した転送からの回復の効率が向上します。
CloudFront は RangeGETリクエストを受け取ると、エッジロケーションのキャッシュをチェックし、
オブジェクト全体または要求部分がすでに含まれている場合、
CloudFront は要求された範囲をキャッシュから直ちに提供します。
要求された範囲がキャッシュに含まれていない場合、リクエストをオリジンに転送します。
(パフォーマンスを最適化するために、CloudFront はRangeGETで要求された範囲よりも大きい範囲を要求する場合があります)。
次に実行される処理は、オリジンが RangeGETリクエストをサポートするかどうかによって異なります。
①オリジンがRangeGETリクエストをサポートする場合:
要求された範囲が返されます。CloudFrontは要求された範囲を提供し、今後のためにその範囲を
キャッシュします。
(Amazon S3 は RangeGETリクエストをサポートしますが、Apache および IISなどの
HTTP サーバーもこのリクエストをサポートします。
お使いのHTTPサーバーがこれらをサポートするかどうかについては、
HTTP サーバーのドキュメントを参照してください。)
②オリジンがRangeGETリクエストをサポートサポートしない場合:
オブジェクト全体が返されます。CloudFront はオブジェクト全体を送信して現在のリクエストを
処理し、今後のためにオブジェクトをキャッシュします。
CloudFront はオブジェクト全体をエッジキャッシュにキャッシュした後、要求された範囲を提供
することで新しい RangeGETリクエストに応答します。
26Page
フォーワードオプション機能
27Page
キャッシュコントロールヘッダーの挙動
28Page
※オリジンが S3 で、オリジン側でヘッダー指定する場合は、Metadata に HTTPヘッダーを指定
30 – 36Page
キャッシュ動作: 動的コンテンツ機能
33Page
パラメータの順序を常に統一する
パラメータ名とパラメータ値の大文字と小文字を常に統一する
35Page
※エラーキャッシュ期間 (Error Caching Minimum TTL) はデフォルト5分
06_Amazon_CloudFront_deep_dive.pdf で変更になっている。
36Page
カスタムオリジンのタイムアウト
37Page
オリジンフェイルオーバー
42Page
ビューワー接続 SSL セキュリティポリシー
TLSバーションの指定によって、クライアントの接続はどうなるのか?
※ すべてのポリシーで TLS1.3 が有効 06_Amazon_CloudFront_deep_dive.pdf
で変更になっている。
44Page
オリジンカスタムヘッダー
Shared-Secret → CloudFrontからのアクセスのみに制御
リクエストヘッダーの調整 Cross-Origin Request Sharing(CORS) 通信時(要検討!)
46 – 49Page
署名付き URL/Cookie
50Page
フィールドレベル暗号化を使用した機密データの保護
51Page
オリジンサーバの保護
58Page
CloudFront Reports & Analytics
注意! CloudFront の CloudWatch メトリクスは 米国北部 (バージニア北部) リージョンに
出力される
67Page
DNS名前解決の高速化:CNAME ではなく AレコードのAlias設定することでクエリの回数が削減
69Page
Amazon S3オリジン自動キャッシュの無効化
75Page
Lambda@Edge のユースケース →クエリ文字列の順番に効く
78Page
Lambda@Edge 用の Lambda 関数を作成 ログはエッジのリージョンに作成される
85Page
CloudFront料金クラスを指定することで、安価なエッジロケーションのみを利用した配信が可能
●●●資料【08_Amazon_CloudFront _AWS_Lambda@Edge】
13Page
CloudFront のリージョナルエッジキャッシュ
●●●資料【09_CloudWatch Container Insights で始めるコンテナモニタリング入門】
12Page
コンテナ(群・スケジュール)
タスク
サービス(タスク数の維持・ELBとの連携・メトリクスに応じたオートスケール)
クラスタ(論理的なグループ)
15Page
Container Insights の前
メトリクスを拾うのに、カスタムメトリクス/サイドカー
19Page
※ 2019/11/27 AWS Batch Container Insights はサポート外(説明がへん)
29-36Page
タスクやコンテナを選択して、アクションから
①CloudWatch Logs Insights(アプリケーションログ・パフォーマンスログ)
※ サンプルクエリ、クエリのヘルプ
②X-Ray
※ コンテナのサイドカーとして、X-Rayデーモンを実行するコンテナを配置する
をドリルダウンできる。
37-44Page
Container Insightsの開始方法
47Page
パフォーマンスログイベント資料のURL
49Page
パフォーマンスログ・クエリの確認方法
54-56Page
ユースケース1:コンテナリソースの配分を適切に配分する
59,60Page
ユースケース2:特定のコンテナだけで問題が発生している場合の調査
●●●資料【10_Route 53 Resolver】
13-18Page
●フルサービスリゾルバ:反復/再帰問い合わせ
●スタブリゾルバ
●フォワーダー
☆DNSサーバ構成
21-33Page
AWS・DNSサービス機能
36-39Page
※ TCP Fallback RFC 5966 TCP許可も注意!!(38Page)
43-45Page
Hybrid Clouds 設定ポイント
47-49Page
digコマンド
●●●資料【11_Route 53 Hosted Zone】
30Page
CNAME制約とZoneApex
33Page
NXDOMAINとネガティブキャッシュ
43Page
ルーティングポリシー
①シンプル ②加重 ③フェールオーバー ④複数回答
⑤レイテンシー ⑥位置情報 ⑦物理的近接性
49,50Page
トラフィックフロー
56-58Page
ネームサーバーの移行
●●●資料【12_Transit_Gateway】
39Page
Outbound Services VPC 戻りの経路を書く
59-63Page
Transit Gateway アタッチメントの設計
TGWのアタッチメントENIに専用サブネットを作るのをオススメ
インスタンス等と同居するとTGWからの経路の影響を受ける
Transit Gatewayの制限
Direct ConnectのTransit Gatewayに関する制限
クロスアカウントやVPN接続の場合の Transit Gateway におけるDNSクエリ
⇒ Route 53 Resolver Endpoint が必要
68Page
戻りのENIが存在しないのでパケットが戻れない>不通になる
アタッチメント時、すべてのAZにTGWのENIをつけること(必須)
73Page
VPC Peering/DXGWで通信制限する Route Domain(Direct Connect)
Transit Gatewayを使わずともVPC PeeringとDXGWで通信制限は可能
TGWに比べてコスト削減になる
●●●資料【13_NetworkFirewall入門】
東京/大阪リージョンで利用可能
10Page
利⽤開始までのステップ
12Page
料金体系
・ファイアウォールエンドポイントに対する時間課金 $0.395/hr
・トラフィック処理量に応じた課金 $0.065/GB
17,18Page
VPC内経路のPoint
①⾏き/戻りの通信が対称になるようにルート設定を⾏う
②NATしてからファイアウォールに到達するため、送信元ベースのフィルタルールの設計
には注意が必要(送信元IPアドレスに注意)
マルチAZ構成のPoint
・各AZにFirewall subnetとエンドポイントを配置する
①1AZにつき、1エンドポイント配置し、通信の対称性に留意必要
②VPCを跨る事はできない(AZ事にFirewall配置が必要)
20-23Page
ステートレス5-tupleフィルタ
ステートフル5-tupleフィルタ
ステートフルドメインリストフィルタ
Suricata互換IPS
●●●資料【14_NetworkFirewall応用】
8Page
MSRによって、戻り経路のTargetに Firewall endpointを指定できるようになり、
NAT GatewayをFirewallの外側に配置できるようになった。
入門編では、NAT GatewayはFirewallの内側に配置するしかなかった。
12Page
様々な通信をNetwork Firewallに集約して監査する
トラフィックフロー
①VPC間通信
②オンプレミス(Direct Connect/VPN) とVPC間通信
③VPCやオンプレミス(Direct Connect/VPN)からインターネットへの通信
設計ポイント
・Transit Gatewayのルートテーブルを複数作成し、必ず監査⽤VPCを通るように制御する
・公開サーバ宛の通信を集約する:ALBまたはNLBを使ってインターネットからの通信を
まとめて検査する
・監査⽤のVPCをマルチAZ構成にする場合、Transit Gatewayのアプライアンスモード有効にする
→ 行き帰り経路を同一にする
●●●資料【15_Direct Connect】
13Page
DirectConnectロケーションでのキャリアとAWSの役割
16,17Page
DirectConnectロケーションでの接続作業&手配
Direct Connectロケーションとお客様間の接続パターン
①お客様機器持ち込み
②パートナー様専用線接続
③パートナー様閉域網(IP-VPN網、モバイル網等)経由で接続
18-20Page
①Link Aggregation
②ベストプラクティス:クリティカルなワークロードの高い回復性
③ベストプラクティス:クリティカルなワークロードの最大回復性
●Transit Gateway
24Page 仮想インターフェイスVIF ①プライベートVIF ②パブリックVIF ③トランジットVIF
25Page クロスアカウントVIF
26Page プライベート接続:Direct Connectゲートウェイ(DXGW)タイプ
27Page プライベート接続:仮想プライベートゲートウェイ(VGW)タイプ
28Page 複数のプライベートVIFによるマルチVPC接続
29Page パブリック接続
30Page パブリックVIFによるパブリックサービスへの接続
31Page トランジットVIFによるTransit Gateway(TGW)への接続
34-36Page
トランジットVIF利用時の注意点(パートナー仕様に注意)
トランジットVIF+TGW:利用時のポイント(柔軟に通信できる)
トランジットVIF+TGW:マルチアカウント対応
(トランジットVIFとDXGWは同一アカウントが所有する必要がある)
●Direct Connectゲートウェイ(DXGW)
39-44Page
1.Direct Connectゲートウェイ利用時の注意
VPC間リージョン内であればPrivateLink、Transit Gatewayなど、リージョン跨ぐ場合、
VPCピアリングで対応
2.プライベートVIF+DXGW:利用時のポイント
①1つのDXGWから最大10のVPCへ通信可能(必要であればDXGW2台目…)
②利用料は不要、特定のリージョンに属さないグローバルリソース
3.マルチアカウント対応
プライベートVIFとDXGWは同一アカウントが所有する必要がある
4.プライベートVIF(DXGW)とトランジットVIF(DXGW+TGW)の比較(処理要件を要検討)
Tips:①VGW数は10までだが、超える場合はVIFとDXGWのペアを追加
②VPC間の通信はTGWで経路を確保
●パートナー経由のDirect Connect
50-54Page
パートナーの提供サービス (占有型・共有型)
AWS Direct Connect サービスデリバリープログラム(SDP)
パートナーの提供サービス (ホスト接続: Hosted Connection)
パートナー経由のDirect Connectの注意点
●高い回復性/モニタリング
56Page デュアルロケーション (リージョン内で分散)
57Page デュアルロケーション (東京・大阪で分散)
58Page デュアルロケーション [東阪分散+大阪リージョン(ローカル)]
59Page
冗長構成における経路制御
・BGPのパス属性を用いて経路を制御
・AWS上の設定ではなく、お客様ルータの設定により経路制御を行う
60Page BGPパス属性を用いた経路制御:LP+AS-Pathの例
61Page 冗長構成における経路制御:注意点
62Page BGPコミュニティ(1)パブリック接続で使用可能なもの
63Page BGPコミュニティ(2)プライベート接続で使用可能なもの
64Page 経路制御(Active/Active)
65Page 経路制御(Active/Standby)
66Page 経路制御(Direct Connect/VPN)
67Page 非対称ルーティング時の注意
68Page 障害時の経路切替時間の短縮:BFD非対応ルーター対策
⇒ BGPのkeepalive/Hold Timerのチューニング
70Page Amazon CloudWatchによるDirect Connectのモニタリング
71Page Direct Connect フェイルオーバーテスト(意図的にActive側BGPに障害を起こす)
72-76 Direct Connect フェイルオーバーテスト(実施例)
79Page 各種クォータについて
80Page 経路集約の必要性
●料金体系 86-90Page
●●●資料【16_Direct Connect オンプレミスと AWS 間の冗長化接続】
冗長化方法
1.複数のDirect Connectによる冗長化
19Page エンタープライズのユースケースで多く取られる方法
20Page 何も設定しなければ、AWSからオンプレミス方向はActive-Activeとなる
①オンプレミス→AWS トラフィック:ユーザネットワーク機器設定による。
非対称通信もありえる。
②ユーザ⇔ルーター:iBGPで経路交換し、ベストパスを選択
21Page トラフィックを片寄する要件はユーザ・ネットワーク機器で設定
①ユーザ・ネットワーク機器で以下設定
オンプレミス→AWS:Local Preference
AWS→オンプレミス:AS Path Prepend
②現時点ではMEDによる指定で優先制御ができるが、サポート対象では無い
22Page Virtual Private Gateway (VGW) について、利用者が冗長化を考える必要はありません
23Page Tips:サブネットに関連ないルートテーブルに、VGWが持っている経路をコピー・保存できる
24Page BGPパス属性を用いた経路制御
⇒ LP(Local Preference)、AS-Path Prepend、BGPコミュニティ
25Page BFDによる経路切替時間の短縮
26Page Tips: BFDとGraceful Restartは併用しない(推奨)
27Page BFD非対応ルーターでの対応方法
2.旧来の冗長化方法
32-33 同一ロケーションで2つのDirect Connectで冗長化している場合
Connectionが別AWSデバイスにアサインされている事を
マネージメントコンソールで確認する方法
34Page 上記同一AWSデバイスにアサインしてしまった場合の対応方法
35Page 上記のように、結果としてAWSデバイスが重複してしまう例-①②③
3.コスト抑制条件に適用した冗長化
37Page コスト抑制条件に適用した冗長化:異なるサービスを併用
38Page コスト抑制条件に適用した冗長化:Site-to-SiteVPN接続を併用
4.パートナー網を経由した冗長化
40Page パートナー網経由の冗長化
①ユーザネットワーク機器は、パートナー様網の仕様により、L2、L3による接続を行う
②L3接続の場合、AWSデバイスとのBGPピアはパートナー様機器が行う
③冗長化の設計についてはパートナー様の仕様によるところが大きいので、
詳細はパートナー様窓口へ確認
5.Direct Connect Gatewayに対する冗長化
42Page Direct Connect Gateway(DXGW)に対する冗長化
①Direct Connect Gatewayは単一のリソースに見えるが内部で冗長化されている
②構成上は1ホップ増えるように見えるが、オーバーヘッドの心配は不要
③同時にアタッチ可能なVIFは30(冗長化しても15拠点が収容可能)
43Page Direct Connect Gateway(DXGW)に対する冗長化:注意点
①VGWは二つ目のDirect ConnectGatewayにアタッチできない
②内部的に冗長化されているため、DXGWを分ける必要はない
6.Transit Gatewayに対する冗長化
45Page
①ロケーション冗長は実装されている(DXGWとTGWは内部的に冗長化されているため、考慮不要)
②バックアップ用にもTransit VIFが必要(特性の異なる共有型サービス利用不可)
③DXGWから広報されるAWS側経路はDXGWの「許可されたプレフィックス」に登録のCIDRが
両方のVIFに対して広報される
46Page TGWを分ける必要が無い理由:HyperPlane
47Page Tips: TGWを分ける必要がある場合 ⇒ VPC CIDRごとに使う物理線を分割可能
例 1つしかVPCが利用できない AND 複数の接続がお互いに干渉しない要件を
クリアしたい場合など(別途冗長化要)
7.LAGによる広帯域確保
49Page LAG(Link Aggregation)による高帯域確保
8.より高い可用性を求めるためには:マルチリージョン冗長(東京/大阪リージョン)
51-53Page
9.ベストプラクティス AWS Well-Architected Framework
57-65Page
●●●資料【17_App_Mesh_Deep_Dive】
27Page AWS App Mesh の動作イメージ: ネットワークモデルとの関係
32Page トップレベルの概念まとめ
38Page 例: Amazon ECS と Amazon EKS で稼働するサービス間通信
①Amazon ECS と Amazon EKS それぞれでサービスが稼働している
②Amazon ECS で稼働するサービスと Amazon EKS で稼働するサービスの
相互通信が必要に
③[課題] アプリケーションコードの変更や対向サービスとの結合度が強くなってしまう
39Page AWS App Mesh の導⼊後のサービス間通信
①アプリケーションコードの変更:リトライやタイムアウトの処理を Envoy proxy 側で
⾏うため、アプリケーション側の変更は最⼩限
②対向サービスとの結合度:ルーティング設定は App Mesh 側で⾏うため、対向サービス
の状態や構成変更に依存しない
41Page AWS App Mesh の導⼊⼿順(1例)
①Amazon EKS での設定:AWS App Mesh Controller For K8s による設定
1. AWS App Mesh Controller For K8s のインストール
App Mesh/AWS Cloud Map を操作する権限付与
2. Namespace の変更 Mesh の指定、Sidecar Injector の有効化
3. Mesh の作成
4. AWS Cloud Map 名前空間の作成
5. Virtual node の作成
6. Virtual router の作成
7. Virtual service の作成
8. Virtual node の更新
9. Deployment の更新
②Amazon ECS での設定:マネジメントコンソールによる設定
1. Virtual node の作成
2. Virtual router の作成
3. Route の作成
4. Virtual service の作成
5. Virtual node の更新
6. タスク定義の更新
7. サービスの更新
③Amazon EKS での設定:Virtual node の更新
●●●資料【18_App_Mesh】
37-39Page
①サービスメッシュを管理するコントロールプレーンを提供する
→ ネットワークモデルをEnvoyの設定に変換して配信
②App Meshのネットワークモデル
③App Meshのモデルと実際のアプリケーションを紐付け
40-45Page App Meshの動作イメージ
46Page Virtual Node
47Page Virtual Service
48Page Virtual Router
49Page Listener
50Page Backend
51Page Meshの構築
52-58Page Amazon EC2での利用イメージ
60-61Page Amazon ECS / AWS Fargateでの利用イメージ
62-68Page Amazon EKS / Fargate for EKS / Kubernetes on EC2での利用イメージ
※ App Mesh Controler に App Mesh Inject は現在、統合されている。
機能と活用方法
71-72Page AWS App Meshのセキュリティ機能
73Page AWS App Meshで利用できる機能
74-90Page 通信可観測性を確保する
※ CloudWatch Agentをサイドカーとしてデプロイし、
8125ポートで公開されているメトリクスを取得するよう設定する
※ X-Rayデーモンのコンテナ(amazon/aws-xray-daemon)
をサイドカーとしてデプロイ
91-92Page カナリアリリース
93Page AWS App Meshのロードマップ
AWS Lambdaとの連携 LambdaをMeshに追加できるようにする
(EnvoyからLambdaを起動する)
95Page 利用料金
