AWS re:Invent 2020 AWS networking:AWSのネットワーク関連の新機能

アマゾン ウェブ サービス(AWS)は、2020年に開催した「re:Invent2020」で、ネットワークに関連したリーダーシップセッション「AWS networking:A global network for every workload」を行いました。AWSは、複雑化が進むネットワークをもっと簡単に利用するためのサービスを提供し、セキュリティ、可用性、拡張性、利便性を強化しています。ネットワークをベストな状態で利用するために追加された新機能の中から、注目すべきものピックアップしてご紹介します。

Elastic Load Balancing(ELB)
耐障害性を高めるため、ロードバランサーが大きく進化

企業におけるネットワークの利用環境が複雑になり、使用するデバイスもアプリケーションも増えています。利用する場所も社内から社外へと広がっています。こうした状況に対応し、マネージド型サービスで提供しているAWSのロードバランサーであるElastic Load Balancing(ELB)が進化しています。
ELBでは、ロードバランサーへのニーズがL4からL7へと多様化したことから、Application Load Balancer(ALB)、Network Load Balancer(NLB)、Gateway Load Balancer(GWLB)、Classic Load Balancer(CLB)という4種類のロードバランサーを用意しています。これらはすべて、耐障害性の向上に必要な高い可用性、自動スケーリング、堅牢なセキュリティを実現しています。

簡単に負荷分散できる新しいコントローラの登場

大きなトピックのひとつが、AWS Load Balancer Controllerです。これは、Application Load Balancer Ingress Controllerに替わるものです。Kubernetesの複数のアプリケーションで、ALBの機能共有が可能になりました。さらに、Kubernetes Pod上で実行されているサービスへの負荷分散がNLBでネイティブ対応になり、設計がとてもシンプルになりました。

可用性が向上し、ロードバランシングも向上

ロケーションカバレッジを拡大するため、ALBがAWS Outpostsで利用可能になりました。AWS Outpostsは、オンプレミスでAWSのマネージド型サービスを提供するために誕生したサービスです。AWS Outposts上のALBは、リージョンのALBと同様に、Amazon Virtual Private Cloud(Amazon VPC)内で動作します。これにより、オンプレミス施設の近くで実行する必要があるアプリケーションの可用性が向上し、低レイテンシのロードバランシングのメリットも得ることができます。

gRPC対応で用途が広がり、操作も簡単に

ALBがgRPC対応になりました。gRPCは高性能なため、マイクロサービスの統合やクライアントサーバ通信で積極的に利用されています。
今回の機能拡張により、ALBを使用して、マイクロサービス間またはgRPC対応クライアントとサービス間のgRPCトラフィックの終了、ルーティング、およびロードバランシングが可能になりました。

NLBで、多くの機能拡張

・IPv6に対応し、クライアントからの接続をIPv4とIPv6のデュアルスタックモードで受けられるようになりました。
 これにより、アプリケーションを変更することなく、IPv6のクライアント接続が可能になりました。

・UDP対応可能なIP対象が拡充されました。従来はインスタンスタイプだけでしたが、新たにKubernetesやIoTから、NLBをUDPで使えるようになりました。

・IPセッションアフィニティ機能が追加されました。これにより、同じクライアントIPからのセッションは、同じターゲットへルーティングされるようになりました。

・Application Layer Protocol Negotiation(ALPN)に対応しました。ALPNはTLSの拡張機能のひとつで、アプリケーションレイヤーにおけるセキュアな通信において、
 どのプロトコルを実行すべきか決めるネゴシエーションを可能にするものです。これにより、NLBでHTTP/2が利用可能になりました。

HTTP Desync攻撃に対応し、高セキュリティを実現

HTTP Desync攻撃への対策として、ALBとCLBでHTTP Desync緩和機能がサポートされ、セキュリティ機能が大きく向上しました。
最近のWebアプリケーションでは、コンテンツ配信ネットワーク(CDN)やプロキシをフロントエンドに配置し、バックエンドのサーバにリクエストを転送するような構成が多くなっています。HTTP Desync攻撃は、このフロントエンドとバックエンド間で異なる解釈の違いを利用し、悪意のあるリクエストを送り込む攻撃です。
HTTP Desync緩和機能では、設定された脅威レベルに基づいてリクエストを分類します。曖昧なリクエストはフロントエンドで拒否し、セキュリティを確保します。

Amazon CloudFront
CDNサービスで、4つの機能追加

Amazon CloudFrontは、データ、動画、アプリケーションおよびAPIを、低レイテンシの高速転送で安全に配信するCDNサービスです。今回新たに、リアルタイムログ配信機能、TLS1.3対応、Brotli圧縮のネイティブ対応、Origin Shieldという4つの機能が     追加されました。

リアルタイムログの配信をサポートし、利便性が向上

CloudFrontアクセスのリアルタイムログの配信サポートが開始されました。CloudFrontは、お客様のAmazon Simple Storage Service(Amazon S3)バケットへのアクセスログ配信をサポートしており、通常は数分でログが配信されます。しかし、時間が重要な要素となるお客様の場合は、アクセスログデータをリアルタイムで取得する必要があります。
新しいリアルタイムログの配信サポートでは、数秒でアクセスログデータを利用できるようになり、利便性が大幅に向上します。

TLS1.3に対応し、ハンドシェイクが簡略化されて高速に

TLS1.3がサポートされ、性能が改善されました。CloudFrontでは、クライアントとの往復通信を暗号化し安全を確保するために、TLSを使用するHTTPSをサポートしています。その最新バージョンに対応したことで、ハンドシェイクプロセスがシンプルになり、パフォーマンスが向上しました。アメリカのリージョンテストでは、最大33%のTLSネゴシエーションの時間短縮が確認されています。

広くサポートされているBrotli圧縮に対応

Brotli圧縮形式でコンテンツを圧縮できるようになりました。Brotliは、広くサポートされているロスレス圧縮アルゴリズムです。CloudFrontのBrotli圧縮は、Gzipと比較して最大24%のファイルサイズ縮小を実現します。ファイルサイズが小さいほど、コンテンツをより速く配信できるため、アプリケーションのパフォーマンスが向上します。

オリジンの負荷を軽減するAmazon CloudFront Origin Shieldを追加

Amazon CloudFront Origin Shieldは、CloudFrontキャッシュインフラストラクチャ内の追加レイヤーです。キャッシュヒット率を高めることで、オリジン側の負荷を最小限に抑えて可用性を向上させ、運用コストを削減するために役立ちます。データの利用者が異なるリージョンに分散している場合などに、大幅な負荷軽減が見込めます。実際に、ライブストリーミング、画像処理、およびマルチCDNワークロードにOrigin Shieldを使用している当社のお客様から、大きな効果があったとの声が寄せられています。

AWS Global Accelerator
TCP Edge Termination機能で、エンドポイントへの接続を最適化

AWS Global Acceleratorは、アプリケーションの可用性とパフォーマンスを改善するネットワーキングサービスです。このサービスに、TCP Edge Termination機能が追加されました。
通常、TCP接続はインターネット上のクライアントとAWSリージョンのアプリケーションエンドポイントとの間で確立されます。そのため、クライアントがエンドポイントから遠ざかれば遠ざかるほど、初期接続のセットアップにかかる時間が長くなります。
TCP Edge Termination機能により、Global Acceleratorはクライアントとクライアントに最も近いAWSエッジロケーション間のTCP接続を確立し、初期セットアップ時間を短縮することが可能になりました。トラフィックのスループットが大幅に改善されます。

AWS Gateway Load Balancer
透過的なネットワークゲートウェイとロードバランサー

透過的なネットワークゲートウェイとロードバランサーの両方を兼ね備えたユニークなサービス、AWS Gateway Load Balancerが誕生しました。
透過的なネットワークゲートウェイは、全トラフィックの出入り口がひとつで済むので便利です。また、ファイアウォール、侵入検知と防止システム、分析、可視化など、サードパーティから提供される仮想アプライアンスのデプロイ、スケーリング、管理が簡単に行えます。

AWS Network Firewall
ネットワーク保護を簡単にデプロイできるマネージド型サービス

Amazon VPCに不可欠なネットワーク保護を簡単にデプロイできるマネージド型サービスとしてリリースされたのが、AWS Network Firewallです。アプリケーションのタイプやプロトコルを問わず、Amazon VPC全体に保護を適用する新しいセキュリティサービスです。対象は、Amazon VPC間の通信はもとより、インターネットへの通信、インターネットからの通信、AWS Direct ConnectやVPNを経由した通信の検閲も含まれます。
配置場所とポリシーさえ決めてしまえば、数回クリックするだけでセットアップできます。さらに、ネットワークトラフィックに合わせて自動的に拡張されるため、インフラストラクチャのデプロイと管理について心配する必要はありません。

AWS PrivateLink
AWSリソースとオンプレミスをつなぐデフォルトに

AWSリソースとオンプレミス環境を接続する際のデフォルトになりつつあるのが、AWS PrivateLinkです。セキュリティを重視する企業から、特に注目されています。このサービスの最大の特長は、2つの方法で閉域接続が可能ということです。

1つ目は、Amazon VPCまたはアカウントへリクエストを発信するとき、一方向だけを許可する方法です。発信側にアクセスはできないものの、レスポンスを返すことは可能です。

2つ目は、トラフィックをパブリックインターネットに公開することなく、Amazon VPC、AWSのサービス、およびオンプレミスネットワーク間をプライベート接続する方法です。

これにより、高いセキュリティとパフォーマンスを実現します。

AWS Transit Gateway
IGMP対応でマルチキャストアプリケーションの構築を簡単に

マルチキャストアプリケーションのデプロイメントと管理を簡素化するため、AWS Transit Gatewayで、IPマルチキャスト用のIGMP(インターネットグループ管理プロトコル)がサポートされました。IGMPは、マルチキャストのグループやメンバーを管理するときによく使われる方法で、動的にスケールアップ・スケールダウンすることができます。
AWS Transit GatewayのIGMPマルチキャストは、単一のデータストリームを多数のユーザーに同時に配信します。これにより、お客様はニュース記事や株価などのサブスクリプションデータをストリーミング配信するなど、マルチキャストアプリケーションなどを簡単にクラウドで構築できます。


富士ソフト アマゾン ウェブ サービス (AWS)のご紹介

 



北村 明彦北村 明彦(Akihiko Kitamura)

ソリューション事業本部
インフラ事業部 クラウドソリューション部
第1技術グループ
主任 / フェロー

この記事を読んだ人はこちらの記事も読んでいます。