PoC|インターネット制限環境におけるPoC
検証に至った背景
お客様環境には、既にインターネット接続に利用する環境がデプロイされたVPCがあり、他VPC上に構築したサービス提供環境は、このインターネット接続ポイントが存在するVPCを経由してサービス提供をする必要があった。新規サービスのため、本番アカウントへの構築の前に実現性の検証をしておきたいという要望を受けて検証を行った。
各環境について
1. VPC-A(WEBサービス提供環境)
- Webサービスを提供する環境
- Webサービスを利用するユーザからアップロードされたファイルは、VPCエンドポイントを経由してS3バケットに格納される
- Webサービスを利用するユーザからアップロードされたファイルは、VPCエンドポイントを経由してS3バケットに格納される
- 管理サーバでは運用機能を管理し、Lambda、SNS、SQS、CloudWatchと連携し運用機能を提供
2. VPC-B(インターネット接続基盤-IN)
- インターネット向けインバウンド通信用の接続基盤を模した環境
- 外部(ユーザ)からWebサービスへの接続を全てリバースプロキシサーバが代理してユーザに接続結果を返す
3. VPC-B(インターネット接続基盤-OUT)
- インターネット向けアウトバウンド通信用の接続基盤を模した環境
- フォーワードプロキシサーバがWEBサーバからインターネットを経由して接続する連携先サービスへの接続を代理する
- フォーワードプロキシサーバに登録したURLのみへの接続を許可するようにホワイトリスト方式でURLフィルタリングを行う