COLUMN

AWSのネットワーク分野の2024年のアップデート10選

こんにちは、白鳥です。

そろそろ年末ということもあり、1年間のまとめもしていきたいと思います。本記事では、AWSのネットワーク分野のアップデートを振り返りたいと思います。

AWSネットワークに関しての設計や構築相談など、NTT東日本のクラウドエンジニアにてお応えします。ぜひお気軽にお問い合わせください!

1. 抽出条件

まずは抽出条件を決めておきます。今回10選の抽出は下記のような基準で行いました。

  • 対象:AWS最新情報の英語版(https://aws.amazon.com/new/)に記載があるもの
  • 対象期間:2023/12/2~2024/11/11(re:Invent 2023終了後から執筆日までのもの)
  • クラソルの読者のみなさま(日本の企業・公共団体のみなさま)にとって有益そうなもの

それでは行ってみましょう。

AWSネットワークに関しての設計や構築相談など、NTT東日本のクラウドエンジニアにてお応えします。ぜひお気軽にお問い合わせください!

2. アップデート10選のご紹介

2-1. パブリックIPv4アドレスの課金開始と無料枠の設定(2024/2/1)

AWS Free Tier now includes 750 hours of free Public IPv4 addresses, as charges for Public IPv4 begin

パブリックIPv4アドレスが有料化する情報は、このアップデートの前から知られており、当コラムでも対策や対応するコラムが出ておりました。

AWSがパブリックIPv4アドレス有料化を発表|新料金体系や節約方法を解説

一方で、無料枠が設定されたという話は実はあまり知られてはいないのではないでしょうか?新規の12か月以下のアカウントで、Amazon EC2に付与されたパブリックIPv4アドレスについては、750時間分の無料枠が設定されております。新規の検証アカウントなどでは活用してみてはいかがでしょうか?

2-2. Amazon CloudFrontがLambda Functions URLオリジンのオリジンアクセスコントロール(OAC)を新たにサポート(2024/4/11)

Amazon CloudFront now supports Origin Access Control (OAC) for Lambda function URL origins

Amazon CloudFrontのオリジンアクセスコントロール(OAC)がLambda Functions URLに対応しました。これまでOACはAmazon S3のみの対応でしたが、Lambda Functions URLに対応することで、ちょっとした処理をCloudFrontに限ることでスケーラブルにすることができ、またAWS WAFやAWS Shieldを使うことができ、署名付きURLを発行できるようになるため、URLのエンドポイントのセキュリティを高めることができます。

2-3. Amazon VPCがプライベートIPv6アドレッシングに対応(2024/8/9)

AWS announces private IPv6 addressing for VPCs and subnets - AWS

これまでIPv6アドレスはグローバルユニキャストアドレスに対応しており、インターネットへの接続性を有するアドレス帯となっておりました。グローバルユニキャストに対してインターネットからの到達性を持たせないようにするためには、サブネットごとにルートテーブルを設定し、インターネットへの接続を利用する場合には、Egress-Only Internet Gatewayを使用していました。これでもIPv6アドレスの到達性を制御できますが、管理の面においては一括管理できたほうが合理的かつ誤設定のリスクを抑えることができます。Amazon VPC IP Address Manager(IPAM)を利用し指定のアドレス帯をパブリック/プライベートに設定することができるようになるため、IPv6プライベートアドレスを効率的に利用することができるようになります。

2-4. IPAMを利用して、Amazonが提供するIPv4アドレスの連続割り当てに対応(2024/8/29)

AWS announces Amazon-provided contiguous IPv4 blocks - AWS

これまでAWSからパブリックIPv4アドレスを払い出すと、ランダムに払い出されておりました。そのため、セキュリティグループで/32で許可するなど、煩雑な管理を必要としておりました。IPAMとの併用となりますが、連続するIPアドレスをIPAMのアドレスプールに設定することで、セキュリティグループの設定数を減らすことができたりします。これらの払い出されたIPアドレスは、Elastic IPアドレスとして使用することができます。

ただし注意点が1点あり、連続したIPv4アドレスを払い出すと利用していなくてもブロックすべてで課金されますので、適切な数のパブリックIPv4アドレス数の設計が必要となります。

2-5. AWS Transit Gatewayでのセキュリティグループ参照に対応(2024/9/26)

AWS announces general availability for Security Group Referencing on AWS Transit Gateway - AWS

Transit Gatewayのセキュリティグループ設定は、これまで異なるVPCのIPアドレス帯を許可設定する場合、IPアドレスで指定する必要がありました。本アップデートにより異なるVPCでもセキュリティグループでの指定が可能となりましたので、対象のインスタンス等がIPアドレス拡張などでIPアドレス範囲が変わった場合でも、再度セキュリティグループの設定を直す必要がなくなりますので、セキュリティグループの管理が効率化できます。

2-6. Amazon Application Recovery Controllerのアップデート(2024/10/12,2024/10/23)

Cross-zone enabled Network Load Balancer now supports zonal shift and zonal autoshift - AWS

Amazon Application Recovery Controller zonal shift and zonal autoshift extends support for two new multi-AZ resources - AWS

Amazon EKS now supports Amazon Application Recovery Controller (ARC) - AWS

先日Amazon Application Recovery Controllerの解説記事を投稿しました。その際はクロスゾーン負荷分散を有効化したNLBでの対応に触れておりましたが、その後2つのAZでのNLB配下の環境での対応と、Amazon EKSでのゾーンシフト・ゾーンオートシフト対応が発表されております。Amazon Application Recovery Contorollerについての解説記事は、下記をご覧ください。

Amazon Application Recovery Controller(Amazon ARC)を利用した高可用性の実現~前編・解説編~

また、1点ご注意があり、クロスゾーン負荷分散を有効にした環境でゾーンシフト・ゾーンオートシフトを利用する場合、すべてのターゲットグループで「異常なターゲット接続終了」をオフにする必要がありますので、クロスゾーン負荷分散を有効化した環境でゾーンシフト・ゾーンオートシフトをしようと検討している方はいったんアプリケーションに影響がないか確認することをおススメします。

2-7. 異なるVPCでのセキュリティグループ共有に対応(2024/10/31)

Amazon Virtual Private Cloud launches new security group sharing features - AWS

セキュリティグループをVPC間で共有することができるようになりました。これにより、セキュリティグループの一貫性や設定数のシンプル化、管理の効率化に役立てることができます。具体的には、同じIP設定のVPCを複数(開発環境・本番環境)持たせて、同じセキュリティグループを利用することで設定ミスやどのVPCに適用したセキュリティグループかの管理が必要なくなります。

2-8. Amazon Route 53での新しいレコードタイプに対応(2024/10/31)

Amazon Route 53でHTTPS/SVCB/TLSA/SSHFPレコードに対応しました。各レコードの中身については下記で解説しておりますが、特にHTTPSレコードはHTTP/3環境で効果を発揮するレコードとなりますので、Web環境でHTTP/3対応を考えている方にはぜひ使っていただければと思います。

Amazon Route 53の新しいHTTPS/SVCB/SSHFP/TLSAリソースレコードタイプについての技術概説とユースケースの考察

2-9. AWS PrivateLinkでUDPに対応(2024/10/31)

AWS announces UDP support for AWS PrivateLink and dual-stack Network Load Balancers - AWS

これまでAWS PrivateLinkはTCPのみの対応でしたが、UDPにも対応しました。これにより、ストリーミングアプリや、QUICを使用したWebアプリをセキュアにVPC間接続させることが可能となります。デュアルスタック環境でも可能です。

2-10. Amazon CloudFrontにおいて、AWS WAFによってブロックされたリクエストを無料化(2024/11/7)

Amazon CloudFront no longer charges for requests blocked by AWS WAF - AWS

CloudFrontはデータ転送時の料金のほかに、HTTP/HTTPSのリクエスト時の料金が発生します。この際、AWS WAFによってブロックされたHTTP/HTTPSリクエスト時の料金が無料化します。これにより、DDoS攻撃によってサービスを利用不可能にするだけではなく、クラウド利用料を増加させ、予算を超過させることでサービスを利用不可能にさせるEDoS攻撃の緩和に役立たせることができるようになります。

AWSネットワークに関しての設計や構築相談など、NTT東日本のクラウドエンジニアにてお応えします。ぜひお気軽にお問い合わせください!

3. まとめ

本記事で触れていないアップデートも含めた1年間を振り返った所感ですが、ネットワーク関連は大きく分けると4つの側面がありました。

  • ネットワークセキュリティの強化

CloudFrontのLambda Functions URLオリジンのOAC対応、Route 53の新しいTLSAレコード/SSHFPレコードの対応、セキュリティグループの効率化

  • ネットワーク設定の簡素化・効率化

IPAMを前提としたIPアドレス管理の強化や、Amazon ARCのアップデート など

  • HTTP/3環境への対応

Route 53の新しいレコードHTTPSレコードの対応、PrivateLinkのUDP対応 など

  • ネットワークの柔軟化

連続したパブリックIPv4アドレスの対応、BYOIPとBYOASNの対応拡大 など

もう十分にネットワークの機能は満たされている、と思う方もいらっしゃるかもしれませんが、まだまだ多くのアップデートが続きます。引き続き最新情報をフォローしながら、皆さまにとって最適なAWS利用に向けたご支援ができればと思います。

AWSネットワークに関しての設計や構築相談など、NTT東日本のクラウドエンジニアにてお応えします。ぜひお気軽にお問い合わせください!

4. 最後に

NTT東日本では、LAN環境からネットワーク、クラウド環境まで幅広いエリアでのお客さまのクラウド化や高可用性の実現、ビジネスモデルの進化のお手伝いをさせていただいております。

経験値豊かなメンバーがご担当させていただきますので、是非お気軽にお問い合わせください!

ページ上部へ戻る

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。