去年末くらいからずっと「2018年初頭発売開始！」と公式サイトに出続け、「2018年初頭っていつやねん！」ってずっと思っていたOculus goですが、ゴールデンウィークに入る頃に突如発売開始。

届いた。注文フォームが日本語に対応していたので、油断して届け先を日本語で書いたら、謎の英字変換されていて、よく無事に届いたなと感心しました。今販売サイト見ると、「ローマ字表記で入力してください」と注意書きがありますね。

さて、何故Oculus goを購入したのか。それは「寝っ転がって、Netflix（および、ブラウザで閲覧できる各動画配信サイト）が見られる」という使用方法に惹かれたからです。VRという言葉から今までそれほど出てこなかったこの身近な、悪い言い方をすれば志の低い体験。ここに、なんとなくVRが次のステージに上ったと個人的に思ったのです。

Virtual Reality。仮想現実と日本語では訳されたりしますが、Virtualはどちらかというと「実質的な」という意味合いが正しい単語です。「実際にはそのような形をしていないけれども、あたかも実質的にそのものであるような」というのが正しいVirtualのイメージですかね。計算機屋さんなら、Virtual Memoryを想定すると分かりやすいかも。そう考えると、今までのVRが現実世界における何かの実質的なオルタナティブであったことはそれほど無かったと思います。

で、寝っ転がって動画が見られるという話。これは紛れもなくVirtual Realityだと感じました。現実には存在しない大スクリーンを、「実質的にそのものであるように」体験できるのがOculus goによる動画視聴です。画面解像度の問題や視野角の問題もあり、まだ現実の大スクリーンには及びませんが、間違いなくそこに向けて近づいているものであると思います。今まで手に入らなかったものを、実質的に手に入れてしまえるようになる未来を、NetflixのアプリとOculus goの手軽さから感じたわけです。

ちなみに弱視の知人が、遠くのものをスマートフォンで撮影して間近で見ることで視力をカバーしていることがあるんだけども、そういう人がOculus go見たらどう見えるのかな。ちゃんと見えるなら、これは弱視の人にとっては凄いデバイスになるよね。

最近のお仕事ではサーバーサイドのアプリケーションを伴わない静的サイトのインフラをAWSで構築することがちょくちょくあります。シンプルなサイトから、APIサーバーが別にあるようなリッチなフロントのサイトまで、内容はそれぞれですが、基本的にはCloudFrontとS3で作ることがほとんどです。

CDNと言えば、アクセス数が非常に多いような限定的なサイトで利用されることが多いイメージがありますが、自分が静的サイトを作る際はアクセス規模の大小にかかわらずCloudFrontを前段に起きます。理由の大半はHTTPS対応のためで、Googleのランキングの影響であったり、HTTP/2に対応できるなどのメリットがあるため、POST等で暗号化しなければいけない情報を送信しない場合でもHTTPSには対応すべきかと思います。HTTPS以外の理由としては、アクセス数の大小によらず同じような構成が作りたいというのも理由の一つです。アクセス数からCloudFrontを利用するかどうかの判断をしなくてもいいので、設計時に考えることが減ります。

構成はこんな感じ。CloudFrontのオリジンとして直接S3のバケットを指定できますが、自分はS3のWeb Hostingを設定したうえで、そのURLをオリジンとして指定します。リクエストパスにファイル名が指定されなかった際にindex.htmlにアクセスさせるディレクトリインデックスの機能はWebサーバーに必須ですが、CloudFrontから直接S3をオリジンにするとこの機能が使えません。特定のファイルのみCloudFront経由にする場合は特に問題ないのですが、Webサイトをまとめてホスティングする場合は困ることが多いです。/をリクエストされたら/index.htmlを返して欲しいし、/newsをリクエストされたら/news/index.htmlを返して欲しいです。これを実現するためにはS3側で単独のWebサイトとして動作して、ディレクトリインデックスの挙動をここで実現してもらう必要があるのです。

S3側に直接アクセスされないように、S3側はCloudFront以外からのアクセスは拒否したいところですが、S3へはCloudFrontの全世界にあるエッジロケーションからアクセスされるわけで、IPによるアクセス制限は不可能です。とりあえず自分はUserAgentによる制限をかけるくらいにしています。直接S3にアクセスされても、負荷がかかるわけでなければ困ることはそれほど無いので…。気になる人は追加でバケット名を推測されにくいものにすると、S3側のエンドポイントにアクセスされることはほとんど無くなるはず。だいたいこんな感じのバケットポリシー書きますかね。

{
  "Id": "Policy1524134364829",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1524134363397",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::<バケット名>/*",
      "Condition": {
        "StringEquals": {
          "aws:UserAgent": "Amazon CloudFront"
        }
      },
      "Principal": "*"
    }
  ]
}

CloudFrontのTTLの設定ですが、静的サイトであれば更新頻度からDefault TTLを適切に設定しておけば問題は無いかと思います。S3のファイルを置き換えた後、5分くらいで更新が反映されれば良ければ、Default TTLに300秒を設定しておけばいいと思います。Minimum TTLやMaximum TTLはデフォルトのままで問題ないです。S3の設定で明示的にCache-ControlヘッダやExpiresヘッダを付与しない限りは影響しません。

HTTPSの証明書はCertificate Managerで作ります。CloudFrontで利用する場合はus-east-1リージョンで証明書を作らないとCloudFront側から認識されないので、その点だけ気をつけてください。CloudFront側ではHTTPにアクセスされたらHTTPSにリダイレクトする設定が出来るので、こちらを設定して強制的にHTTPSでのみアクセスさせるようにします。

上記の環境を作成するterraformの設定ファイルを作ったので、こちらを実行すればぽんぽんと静的サイトの環境が作れます。

github.com

自動化するに当たって、Route 53のHosted Zoneだけは手動で作る必要がある仕様にしました。同じドメインで複数のサイトを作るケースもあるので、ドメインの管理自体はterraformで管理しないようにしています。環境を削除する際にHosted Zoneごと消されると結構な事故になりそうな気もするので。

また、ステージング環境やリリース前本番環境など、IPによるアクセス制限をかけたい場合はWAFを使います。このあたりのお話も機会があれば。