ネットワーキング

AWS App Mesh で構築するサービスメッシュ - マイクロサービス間通信の制御と可観測性

Envoy サイドカーによるカナリアデプロイ、リトライポリシー、mTLS 暗号化を宣言的に設定し、X-Ray 統合でサービス間の依存関係を可視化する手法を紹介します。

約 1 分で読めます

App Mesh の概要

App Mesh はマイクロサービス間の通信を制御・監視するサービスメッシュです。各サービスに Envoy プロキシをサイドカーとして配置し、サービス間のトラフィックをプロキシ経由でルーティングします。アプリケーションコードを変更せずに、トラフィックの重み付け、リトライ、タイムアウト、サーキットブレーカーを設定できます。

トラフィック制御と可観測性

仮想ルーターでトラフィックの重み付けを設定し、カナリアデプロイで新バージョンに 10% のトラフィックを流すといった制御が可能です。重み付けを段階的に変更 (10% → 25% → 50% → 100%) することで、安全にトラフィックを移行できます。リトライポリシーでは HTTP 503 エラー時に最大 3 回リトライし、指数バックオフで待機する設定を宣言的に定義します。サーキットブレーカーは外れ値検出で実装され、エラー率が閾値を超えたエンドポイントを一時的にルーティング対象から除外します。X-Ray との統合で Envoy プロキシが自動的にトレースデータを送信し、サービス間の呼び出しチェーン、レイテンシ、エラー率を可視化できます。CloudWatch メトリクスでリクエスト数、レイテンシ、エラー率をサービスごとに監視できます。なお、クロス VPC やクロスアカウントのサービス間通信が主な要件であれば、Envoy の運用が不要な VPC Lattice も検討に値します。

mTLS とアクセス制御

App Mesh は Envoy プロキシ間の通信を mTLS で暗号化できます。 ACM Private CA で発行した証明書を仮想ノードに設定すると、プロキシ間のハンドシェイクで相互認証が行われ、なりすましを防止します。 SDS (Secret Discovery Service) により証明書のローテーションも自動化されます。アクセス制御では、仮想ノードのバックエンドとして許可するサービスを明示的に定義し、意図しないサービス間通信を遮断します。 Envoy のアクセスログを CloudWatch Logs に送信し、どのサービスがどのエンドポイントにアクセスしたかを監査できます。 App Mesh のネットワーク設計を深く理解するには、専門書籍 (Amazon)が役立ちます。

App Mesh の料金体系と最適化

App Mesh 自体に追加料金は発生しません。コストは Envoy プロキシが消費するコンピューティングリソース (CPU・メモリ) に依存します。ECS タスクや EKS Pod のサイドカーとして動作するため、タスク定義でプロキシに割り当てるリソースを適切にサイジングすることが重要です。プロキシ 1 台あたり 256 MB のメモリと 0.25 vCPU が目安ですが、トラフィック量が多いサービスでは増量が必要です。X-Ray トレーシングを有効にする場合はトレースデータの保存料金が発生するため、サンプリングレートを調整してコストと可観測性のバランスを取ります。

まとめ

App Mesh はマイクロサービス間の通信を Envoy プロキシで制御・監視するサービスメッシュです。トラフィックの重み付けによるカナリアデプロイ、リトライポリシー、サーキットブレーカーを宣言的に設定し、mTLS で通信を暗号化します。X-Ray 統合で分散トレーシングを実現し、サービス間の依存関係とレイテンシを可視化します。

関連するサービス

AWS App Meshマイクロサービス間の通信を制御・監視するサービスメッシュAmazon ECSコンテナ化されたアプリケーションを簡単に実行・管理できるコンテナオーケストレーションサービスAmazon EKSKubernetes クラスターを AWS 上で簡単に構築・運用できるマネージドサービス

関連する記事

AWS Fargate によるサーバーレスコンテナ運用 - ECS と EKS での活用パターンインスタンス管理不要のサーバーレスコンテナで、ECS と EKS での使い分けとタスクサイジングによるコスト最適化を紹介します。サービスディスカバリ - AWS Cloud Map でマイクロサービスの接続を自動化するAWS Cloud Map を使ったサービスディスカバリの構築を解説。DNS ベース・ API ベースのサービス検出、ECS/EKS との統合、App Mesh との連携を紹介します。コンテナ最適化 OS - Bottlerocket でコンテナホストのセキュリティと運用を強化するAWS Bottlerocket を使ったコンテナホストの最適化を解説。最小限の OS 設計、自動更新、不変インフラ、ECS/EKS との統合を紹介します。

同じテーマの記事

AWS Cloud Map でサービスディスカバリを実現 - マイクロサービス間の動的な名前解決DNS ベースと API ベースの 2 方式でマイクロサービスのエンドポイントを動的に検出する。ECS・EKS との統合でサービスの登録・解除を自動化する手法を紹介します。CloudFront の 600 超 PoP はどう動いているのか - Anycast ルーティングとキャッシュ階層の仕組みCloudFront がユーザーのリクエストを最寄りの PoP にルーティングする Anycast の仕組み、エッジロケーションとリージョナルエッジキャッシュの 2 層構造、キャッシュヒット率を左右する設計要因を解説します。専用線接続の設計 - Direct Connect による安定した閉域網接続の実現AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。AWS Direct Connect で構築する専用線接続 - 冗長構成とトラフィック制御専用線接続の冗長構成を設計し、Direct Connect Gateway で複数リージョンの VPC に接続する。LAG による帯域集約と MACsec 暗号化も紹介します。Elastic IP アドレスの管理と設計 - 静的 IP の活用とコスト最適化Elastic IP の割り当て、EC2 との関連付け、未使用 EIP のコスト影響、代替手段の検討を解説します。ELB の 3 種類はなぜ 3 種類あるのか - ALB・NLB・CLB が分かれた設計判断の裏側ALB、NLB、CLB (Classic) の 3 種類のロードバランサーがなぜ統合されずに併存しているのかを、OSI 参照モデルのレイヤー、パフォーマンス特性、歴史的経緯から解説します。AWS Global Accelerator によるグローバルネットワーク最適化 - 低レイテンシ配信とフェイルオーバーAnycast IP で AWS グローバルネットワークにトラフィックを誘導し、エンドポイントグループの設計とヘルスチェックによるフェイルオーバーを実現する手法を紹介します。グローバルネットワーク高速化 - AWS Global Accelerator と CloudFront で実現する低レイテンシ配信AWS のグローバルネットワークにトラフィックを早期に引き込み、エニーキャスト IP でクライアントを最寄りのエッジロケーションにルーティングする。ALB/NLB との統合とフェイルオーバー設計を解説します。

内容が近い記事・サービス

AWS App MeshEnvoy プロキシベースのサービスメッシュで、マイクロサービス間の通信を可視化・制御し、トラフィック管理やリトライポリシーを一元的に適用するAmazon VPC Lattice によるサービスネットワーキング - マイクロサービス間通信の簡素化Envoy プロキシ不要の L7 サービスネットワーキングで、クロス VPC・クロスアカウントのマイクロサービス間通信を簡素化する。IAM 認証と App Mesh との使い分けを紹介します。Amazon VPC LatticeVPC やアカウントをまたいだサービス間通信を統一的に管理し、認証・認可・トラフィック制御を提供するアプリケーションネットワーキングサービスAWS X-Ray で実現する分散トレーシング - マイクロサービスのパフォーマンス分析マイクロサービスのリクエスト全経路をサービスマップで可視化し、フィルター式で問題トレースを絞り込む。OpenTelemetry との統合パターンも紹介します。