AWSとCloudflareで感動のマルチベンダー バックエンド

AWSとCloudflareで 感動のマルチベンダー バックエンド UNTIL. LT #0x06 2025-02-01 byみずあめ

• https://until-tsukuba.connpass.com/event/338604/

gametreeというwebアプリをリリースした https://gametree.info/@mizuame

• https://gametree.info/@mizuame

gametreeとは GUIでぽちぽちやるだけで、 ゲーマー向けのプロフィールサ イトを作成できる。 動画も設定可能。 ゲーマー版Linktreeみたいな

構成 バックエンド: AWS , Cloudflare フロン ト: ただの MPA(Pages)

AWS高い！！！！←絶妙に間違い Lambda→100万リクエスト月/40万GB秒/月まで無料 DynamoDB→25GB容量、25read/write capacity Cognito→月アクティブユーザー数5万まで無料 API Gateway→3.5USD/100万回 0.09USD/GB転送量 じゃあ何が高いのか？ →WAF,S3,EC2,エグレス料金

AWSはWAF(Web Application Firewall)が有料 デフォだとL3,L4の攻撃は防いでくれるが、 F5連打のようなL7(DDoS,DoS,)へ対策は有料(月6ドル~) →個人でサービスを維持すると考えると高い。

Alternative WAF , CloudFront

Cloudflare Reverse Proxを使えばよくない？ DNSの設定でプロキシを有効にすると、自動でリバプロになる →確かにAPI Gatewayのドメイン自体の隠蔽はできるが、元のドメインが割れる (割り当てられるドメインは推測可能)と、そっちから迂回攻撃可能

API Gateway, Cloudflare間でmTLS mTLS(相互TLS)を使用すると元のドメインを無効にしながら、Cloudflare経由でのアク セスのみを許可できる！！！！ クライアント証明書をS3に置いて DNSの設定をいい感じにやる

実演

エグレス料金 : USD 0.09/GB 動画を配信したら、破産

これが、ベンダーロックインってコト？！ 動画を変換できる、 AWS Elemental MediaConvert はS3からの入力、出力しか受け付 けない

僕は嫌だ！！ R2

プロフィールページのルーティング /@*でルーティングを実行。 Workersでインジェクションチェック後、R2からページを拾って返す

DynamoDBの設計思想 DynamoDBでユニークであることが保証されるのは、PKとSKの組み合わせのみ。 クエリーもPKとSKにしかかけられない。 又できる限り一つのテーブルに収める(→予測可能なコスト )