BYOC 展開を検証する

このトピックでは、 BYOC 本番前検証を使用してOpenflowデプロイの AWS ネットワーク構成を確認する方法について説明します。

BYOC 本番前検証について

BYOC 本番前検証は、 AWS ネットワーク環境がOpenflowのデプロイ用に準備できていることを検証するスクリプトです。必要なネットワーキング、接続、アクセス設定が行われていることを確認します。

このツールを使用して、デプロイの前にネットワークやアクセスの設定ミスを特定し、解決することができます。これは、失敗を防止し、見つかった場合に具体的なフィードバックとアクション可能なガイダンスを提供することにより、よりスムーズなロールアウトを保証します。

このスクリプトには2つのバージョンがあります。

byoc-validator.sh:

AWS 環境が新しいOpenflowデプロイの準備ができていることを確認します。

byo-vpc-validator.sh:

既存の VPC がOpenflow用に正しく構成されていることを確認します。

BYOC 本番前検証では何を精査しますか。

BYOC 本番前検証では、既存の AWS 設定を検証し、問題を特定して、修正する必要があることを説明する、導入前の精査を実行します。

BYOC 本番前検証では、以下をチェックします。

  • 前提条件(既存の VPCs のみに適用)

    • サブネット、ゲートウェイ、ルーティングなどの VPC コンポーネント

    • 可用性ゾーン全体でのネットワークのサイズと配置

    • 必要なリソースタグ

  • ネットワーク接続性

    • Openflowサービスとエンドポイントへのアクセス

    • 必要なコンテナのイメージレジストリアクセス

    • コア AWS サービスへの接続

  • 権限

    • セキュリティグループルール

    • 必要な IAM 権限

    • 必要な場合の暗号化キーアクセス

BYOC 本番前検証を使用するタイミングはいつですか。

BYOC 本番前検証の使用:

  • Openflowの初期デプロイの前

  • AWS ネットワークの変更により接続に影響を与える可能性のある

  • 設定を確認するためのトラブルシューティング中

  • Openflowを新しい VPC または AWS アカウントに移行するとき

BYOC 本番前検証向け CloudFormation のテンプレートのダウンロード

AWS 環境で BYOC 本番前検証を設定するには、次の手順に従います。

  1. Openflowコントロールプレーンで新しい BYOC デプロイを作成します。

  2. BYOC 本番前検証向け CloudFormation のテンプレートをダウンロードします。

    BYOC 本番前検証向け CloudFormation のテンプレートをダウンロードするには、展開の作成後に表示される確認ダイアログの Download Validator をクリックします。

  3. BYOC 本番前検証向け CloudFormation のテンプレートを AWS で適用します。

  4. BYOC 本番前検証がインストールされている EC2 インスタンスにアクセスします。

BYOC 本番前検証向け CloudFormation のテンプレートを構成します。

BYOC バリデーター向け CloudFormation のテンプレートにはすべてのパラメーターのデフォルトが含まれており、それらのデフォルトは変更しないでください。

BYO-VPC バリデーター向け CloudFormation のテンプレートにはほとんどのパラメーターのデフォルトが含まれており、それらのデフォルトは変更しないでください。ただし、以下のパラメーターにはデフォルトがなく、実際の展開で使用する予定の入力を使用して提供する必要があります。

InfraVPC

既存の VPC を選択します。

PrivateSubnet1

Openflowランタイム用の最初のプライベートサブネット。

PrivateSubnet2

EKS コントロールプレーンの2番目のプライベートサブネット

PrivateSecurityGroup

エージェントインスタンスのセキュリティグループ、 EC2 インスタンス接続エンドポイント、および EKS クラスター。

EBSKMSKeyArn

暗号化された EBS ボリュームのオプションの KMS キー ARN

BYOC 本番前検証の実行と結果の表示

BYOC 本番前検証を実行するには、以下の手順に従ってください。

  1. BYOC 本番前検証がインストールされている EC2 インスタンスに接続します。

  2. ホームディレクトリから BYOC 本番前検証を実行します。

    /home/ec2-user/byoc-validator.sh
    Copy

    BYOC 本番前検証は必要に応じて何度でも実行できます。

  3. home ディレクトリで出力ファイルを確認します。

    実行ごとに、タイムスタンプ付きの新しい結果ファイルが生成されます。例:/home/ec2-user/byoc-validation-results-YYYYMMDDHHMMSS.txt

  4. 開いて結果を確認します。

    好みのツールを使用して出力を読み取り、合格/不合格のメッセージを確認します。

既存の VPC に対して BYOC 本番前検証を実行するには、以下の手順に従ってください。

  1. BYOC 本番前検証がインストールされている EC2 インスタンスに接続します。

  2. ホームディレクトリの BYOC 本番前検証スクリプトを実行します。

    /home/ec2-user/byo-vpc-validator.sh
    Copy

    BYOC 本番前検証は必要に応じて何度でも実行できます。

  3. home ディレクトリで出力ファイルを確認します。

    実行ごとに、タイムスタンプ付きの新しい結果ファイルが生成されます。例:/home/ec2-user/byo-vpc-validation-results-YYYYMMDDHHMMSS.txt

  4. 開いて結果を確認します。

    好みのツールを使用して出力を読み取り、合格/不合格のメッセージを確認します。

出力例

次の例は、検証成功の出力を示しています。

2026-01-15 11:43:37,599 - INFO - Starting BYO-VPC validation suite...
2026-01-15 11:43:37,599 - INFO - ============================================================
...
2026-01-15 11:43:37,599 - INFO - Starting Prerequisites validation...
2026-01-15 11:43:37,704 - INFO - Running validation rule: internet_gateway
2026-01-15 11:43:38,538 - INFO - ✅ internet_gateway: Internet Gateway validation passed
...
2026-01-15 11:43:39,769 - INFO - Prerequisites Summary: 4/4 rules passed
2026-01-15 11:43:39,769 - INFO - --------------------------------------------------
2026-01-15 11:43:39,769 - INFO - Starting Network validation...
2026-01-15 11:43:39,780 - INFO - Running validation rule: snowflake_authentication
2026-01-15 11:43:41,130 - INFO - ✅ snowflake_authentication: Snowflake OAuth authentication successful
...
2026-01-15 11:43:55,920 - INFO - Network Summary: 7/7 rules passed
2026-01-15 11:43:55,920 - INFO - --------------------------------------------------
2026-01-15 11:43:55,920 - INFO - Starting Permissions validation...
2026-01-15 11:43:55,946 - INFO - Running validation rule: private_security_group
2026-01-15 11:43:56,766 - INFO - ✅ private_security_group: Private security group validation passed
...
2026-01-15 11:43:57,560 - INFO - Permissions Summary: 2/2 rules passed
2026-01-15 11:43:57,560 - INFO - ============================================================
2026-01-15 11:43:57,560 - INFO - 🎉 Openflow compatibility checker completed successfully!
Copy

出力は、ステータスアイコンで各チェックを強調表示します。

  • ✅:要件は満たされています。

  • ❌:要件が満たされていないため、アクションが必要です。

AWS 権限が必要です

CloudFormation テンプレートは、 BYOC 本番前検証がインストールされている EC2 インスタンスに必要な権限を持つ IAM ロールを作成します。組織でカスタム IAM 制御を使用している場合、インスタンスロールに以下の権限が含まれていることを確認してください。

  • テンプレートによって作成されたSnowflake OAuth シークレットにアクセスするために必要です。

    • secretsmanager:GetSecretValue

  • ネットワークリソースを検査するために必要です。

    • ec2:DescribeInternetGateways

    • ec2:DescribeSubnets

    • ec2:DescribeRouteTables

    • ec2:DescribeNATGateways

    • ec2:DescribeSecurityGroups

  • オプションの EBSKMS キーを検証する場合にのみ必要です。

    • kms:DescribeKey

    • kms:GetKeyPolicy

Secrets Manager権限は、テンプレートによって作成された BYOC 本番前検証シークレットに限定されます。EC2 および KMS アクションは ``*``(読み取り専用メタデータ)にスコープできます

クリーンアップ

検証が完了したら、継続的な AWS コストを会費するために BYOC 本番前検証を削除できます。BYOC 本番前検証を削除するには、作成に使用した CloudFormation を削除します。これにより、 EC2 インスタンス、 IAM ロール、およびSecrets Managerシークレットが自動的に削除されます。