Transit GWでNat VPCを作成する

Transcript

1. Transit GWで Nat VPCを作成する 2024/3/15 Akira Sato

2. ⾃⼰紹介 • 佐藤 亨（Sato Akira） • @akirarara16 • デロイトトーマツウェブサービス •

   JAWS SAPPOROの運営してます • StepFunctions、CloudFormation

3. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

4. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

5. ざっくりやりたいこと • 検証内容ごとにVPCを分けたいけど、NAT GWの費⽤が⾼い。。 • AP-northeast-1の場合、（USD 0.062/h＋ USD 0.062/GB）* VPCの数

   → 3つのVPCで1ヶ⽉稼働した場合、データの処理がなかったとしても (0.062 * 24 * 30)*3 = 133.92 (≒ 2万円) ※150円/USDの場合 → 個⼈利⽤の学習費⽤としては⾟すぎる • 認定試験等でもよく問われる構成なので作ってみよう きっかけ

6. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

7. Transit Gatewayとは︖ • VPC、オンプレミス間の接続に利⽤できるリージョン仮想ルーター • 主な機能 • ハブとして複数のVPCを接続可能 → ピアリングの場合は相互に接続が必要になる

   • 主な⽤途 • 複数のVPC間の接続 • 複数のVPC間とVPNの接続 • アプライアンスVPCの作成 概要 参考︓Example use cases for transit gateways

8. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

9. 開始時の状況 • Private サブネットからNAT GWを経由して外部にアクセスできる状態 AWS Cloud Availability Zone 1a

   VPC わたし EC2 NAT gateway 外部サイト

10. 開始時の状況 • Private サブネットからNAT GWを経由して外部にアクセスできる状態 • VPC名︓A-Project-VPC (10.1.0.0/16) • 簡単のため単⼀AZ構成

11. ⽬標のイメージ • NAT VPC から外部にアクセスできる状態 AWS Cloud Availability Zone 1a

    VPC わたし EC2 NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway 外部サイト 廃⽌

12. Nat VPCの作成 CIDR︓10.0.0.0/16 →Transit GatewayはCIDR 重複を許容しないため • 同⼀のリージョンにNat VPC を作成する

    • 簡単のため単⼀AZを選択

13. Transit Gatewayの作成 • 作成画⾯では名前タグを⼊⼒する • それ以外の項⽬はデフォルト値を利⽤

14. Attachmentの作成 • 各VPCとTransit Gatewayを紐づけを作成（各VPCに対して実施が必要） 専⽤のSubnetを作成する

15. Attachmentの作成 • Attachmentが “Available” になるとルートテーブルまで作成される ※ 設定によって若⼲異なります

16. Attachment周りの細かい話 参考︓20191113_AWS-BlackBelt_Transit_Gateway.pdf 複数のルートテーブル へ伝搬可能 複数のルートテーブル へ伝搬可能 関連付けは1つのみ

17. ルートテーブルの変更 • 各VPCでのルートテーブルを変更する AWS Cloud Availability Zone 1a VPC EC2

    NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway ルートテーブル 10.1.0.0/16 local 0.0.0.0/0 NAT-GW 0.0.0.0/0 TGW ルートテーブル 10.0.0.0/16 local 0.0.0.0/0 NAT-GW 10.1.0.0/16 TGW ルートテーブル 10.0.0.0/16 NAT VPC Attachment 10.1.0.0/16 A-Project-VPC Attachment

18. テストしてみる • 接続できずにタイムアウトしてしまう。。。

19. Reachability Analyzerを⽤いた切り分け（1/3） • VPC内のリソースから宛先リソース間の接続テストを実⾏できる分析ツール • ソースから宛先への⼀⽅向の確認である点には注意 参考︓What is Reachability Analyzer?

20. Reachability Analyzerを⽤いた切り分け（2/3） • 送信元としてEC2（今回の検証マシン）、 送信先としてNAT VPCのIGWを設定する 送信元としてEC2を選択 送信先として NAT VPCのIGWを選択

21. Reachability Analyzerを⽤いた切り分け（3/3） • 詳細より以下の⽂⾔に注⽬する “パケットの送信先アドレスが 10.0.0.0/16 に⼀致しないため、Transit Gateway ルートテー ブル

    tgw-rtb-018fa09a4acbf1881 の tgw-attach-01b05e8caf2587afe へのルートはパケットを 転送できません。”

22. ルートテーブルの変更（再掲） • 各VPCでのルートテーブルを変更する AWS Cloud Availability Zone 1a VPC EC2

    NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway ルートテーブル 10.1.0.0/16 local 0.0.0.0/0 NAT-GW 0.0.0.0/0 TGW ルートテーブル 10.0.0.0/16 local 0.0.0.0/0 NAT-GW 10.1.0.0/16 TGW ルートテーブル 10.0.0.0/16 NAT VPC Attachment 10.1.0.0/16 A-Project-VPC Attachment 外部アクセスへの ルートがない

23. ルートテーブルの修正 • 各VPCでのルートテーブルを変更する AWS Cloud Availability Zone 1a VPC EC2

    NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway ルートテーブル 10.1.0.0/16 local 0.0.0.0/0 TGW ルートテーブル 10.0.0.0/16 local 0.0.0.0/0 NAT-GW 10.1.0.0/16 TGW ルートテーブル 10.0.0.0/16 NAT VPC Attachment 10.1.0.0/16 A-Project-VPC Attachment 0.0.0.0/0 NAT VPC Attachment 追加する必要有り 参考︓Example: Centralized outbound routing to the internet

24. テストしてみる（再） • 無事にアクセスできることを確認できました︕︕︕

25. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

26. まとめ • TGWを介してNAT VPCのNAT GWから外部サイトへのアクセスを実施する事 ができた • ネットワークのルーティングミスは冷静にReachability Analyzer等を⽤いて 解消する

    AWS Cloud Availability Zone 1a VPC わたし EC2 NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway 外部サイト 廃⽌

27. おまけ • LTの中で質問いただいた結局どっちがどのくらい安いの︖について調べて みました。 • 2VPCのNAT GWをTransit Gatewayを⽤いて⼀⽅のVPCに寄せた場合です サービス 単体の料⾦

    環境合計 NAT GW USD 44.64 （⼀ヶ⽉30⽇の場合） USD 89.28 ∟データ処理料⾦ USD/GB 0.062 ︖︖︖ サービス 単体の料⾦ 環境合計 Transit GW (アタッチメント) USD 50.4 （⼀ヶ⽉30⽇の場合） USD 100.8 ∟データ処理料⾦ USD/GB 0.02 ︖︖︖ • データがほぼ処理されない場合だとUSD 11.52ほどTransit Gatewayの⽅が⾼価 • 275GB以上のデータ処理が必要となる場合においてはTransit Gatewayの⽅が安価 • リージョンによっても価格がかなり異なるのでデータ量を含めてしっかりとした⾒ 積もりが必要