Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Transit GWでNat VPCを作成する

Akira Sato
March 17, 2024
Technology
1
170

Transit GWでNat VPCを作成する

Akira Sato

March 17, 2024
Tweet

More Decks by Akira Sato

See All by Akira Sato
リソースをIaCで管理しよう
a22sato
0
180
Storage LensでS3を大掃除しよう
a22sato
0
190
20231030_LT登壇資料.pdf
a22sato
0
570

Other Decks in Technology

See All in Technology
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
150
MixIT 2024 - Pulumi : Gérer son infra avec son langage de programmation préféré
ju_hnny5
1
120
Babylon.jsと色々なものを組み合わせる:ブラウザのAPIやガジェットや2D描画ライブラリなど / Babylon.js 勉強会 vol.3
you
PRO
0
160
M5stackで使用できるpHセンサの開発
shinrinakamura
0
120
Babylon.js JAPAN活動紹介 (2024/4)
limes2018
1
120
Cracking the KubeCon CfP
inductor
2
270
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
コードファーストの考え方。 Amplify Gen2から学ぶAWS次世代のWeb開発体験
yoshiitaka
2
340
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
4
610
Max out Local LLM in Challenging Environments
sashimimochi
1
110
2024春 注目のWeb系 OSS & SaaS 3選
makies
0
180
One engineer company with Ruby on Rails
rstankov
2
420

Featured

See All Featured
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Happy Clients
brianwarren
92
6.4k
In The Pink: A Labor of Love
frogandcode
138
21k
Why Our Code Smells
bkeepers
PRO
331
56k
What's in a price? How to price your products and services
michaelherold
238
11k
How to name files
jennybc
65
93k
Building Adaptive Systems
keathley
32
1.9k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
20
1.6k
Creatively Recalculating Your Daily Design Routine
revolveconf
211
11k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
Optimising Largest Contentful Paint
csswizardry
12
2.4k
The Straight Up "How To Draw Better" Workshop
denniskardys
228
130k

Transcript

  1. Transit GWで Nat VPCを作成する 2024/3/15 Akira Sato

  2. ⾃⼰紹介 • 佐藤 亨(Sato Akira) • @akirarara16 • デロイトトーマツウェブサービス •

    JAWS SAPPOROの運営してます • StepFunctions、CloudFormation

  3. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

  4. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

  5. ざっくりやりたいこと • 検証内容ごとにVPCを分けたいけど、NAT GWの費⽤が⾼い。。 • AP-northeast-1の場合、(USD 0.062/h+ USD 0.062/GB)* VPCの数

    → 3つのVPCで1ヶ⽉稼働した場合、データの処理がなかったとしても (0.062 * 24 * 30)*3 = 133.92 (≒ 2万円) ※150円/USDの場合 → 個⼈利⽤の学習費⽤としては⾟すぎる • 認定試験等でもよく問われる構成なので作ってみよう きっかけ

  6. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

  7. Transit Gatewayとは︖ • VPC、オンプレミス間の接続に利⽤できるリージョン仮想ルーター • 主な機能 • ハブとして複数のVPCを接続可能 → ピアリングの場合は相互に接続が必要になる

    • 主な⽤途 • 複数のVPC間の接続 • 複数のVPC間とVPNの接続 • アプライアンスVPCの作成 概要 参考︓Example use cases for transit gateways

  8. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

  9. 開始時の状況 • Private サブネットからNAT GWを経由して外部にアクセスできる状態 AWS Cloud Availability Zone 1a

    VPC わたし EC2 NAT gateway 外部サイト

  10. 開始時の状況 • Private サブネットからNAT GWを経由して外部にアクセスできる状態 • VPC名︓A-Project-VPC (10.1.0.0/16) • 簡単のため単⼀AZ構成

  11. ⽬標のイメージ • NAT VPC から外部にアクセスできる状態 AWS Cloud Availability Zone 1a

    VPC わたし EC2 NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway 外部サイト 廃⽌

  12. Nat VPCの作成 CIDR︓10.0.0.0/16 →Transit GatewayはCIDR 重複を許容しないため • 同⼀のリージョンにNat VPC を作成する

    • 簡単のため単⼀AZを選択

  13. Transit Gatewayの作成 • 作成画⾯では名前タグを⼊⼒する • それ以外の項⽬はデフォルト値を利⽤

  14. Attachmentの作成 • 各VPCとTransit Gatewayを紐づけを作成(各VPCに対して実施が必要) 専⽤のSubnetを作成する

  15. Attachmentの作成 • Attachmentが “Available” になるとルートテーブルまで作成される ※ 設定によって若⼲異なります

  16. Attachment周りの細かい話 参考︓20191113_AWS-BlackBelt_Transit_Gateway.pdf 複数のルートテーブル へ伝搬可能 複数のルートテーブル へ伝搬可能 関連付けは1つのみ

  17. ルートテーブルの変更 • 各VPCでのルートテーブルを変更する AWS Cloud Availability Zone 1a VPC EC2

    NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway ルートテーブル 10.1.0.0/16 local 0.0.0.0/0 NAT-GW 0.0.0.0/0 TGW ルートテーブル 10.0.0.0/16 local 0.0.0.0/0 NAT-GW 10.1.0.0/16 TGW ルートテーブル 10.0.0.0/16 NAT VPC Attachment 10.1.0.0/16 A-Project-VPC Attachment

  18. テストしてみる • 接続できずにタイムアウトしてしまう。。。

  19. Reachability Analyzerを⽤いた切り分け(1/3) • VPC内のリソースから宛先リソース間の接続テストを実⾏できる分析ツール • ソースから宛先への⼀⽅向の確認である点には注意 参考︓What is Reachability Analyzer?

  20. Reachability Analyzerを⽤いた切り分け(2/3) • 送信元としてEC2(今回の検証マシン)、 送信先としてNAT VPCのIGWを設定する 送信元としてEC2を選択 送信先として NAT VPCのIGWを選択

  21. Reachability Analyzerを⽤いた切り分け(3/3) • 詳細より以下の⽂⾔に注⽬する “パケットの送信先アドレスが 10.0.0.0/16 に⼀致しないため、Transit Gateway ルートテー ブル

    tgw-rtb-018fa09a4acbf1881 の tgw-attach-01b05e8caf2587afe へのルートはパケットを 転送できません。”

  22. ルートテーブルの変更(再掲) • 各VPCでのルートテーブルを変更する AWS Cloud Availability Zone 1a VPC EC2

    NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway ルートテーブル 10.1.0.0/16 local 0.0.0.0/0 NAT-GW 0.0.0.0/0 TGW ルートテーブル 10.0.0.0/16 local 0.0.0.0/0 NAT-GW 10.1.0.0/16 TGW ルートテーブル 10.0.0.0/16 NAT VPC Attachment 10.1.0.0/16 A-Project-VPC Attachment 外部アクセスへの ルートがない

  23. ルートテーブルの修正 • 各VPCでのルートテーブルを変更する AWS Cloud Availability Zone 1a VPC EC2

    NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway ルートテーブル 10.1.0.0/16 local 0.0.0.0/0 TGW ルートテーブル 10.0.0.0/16 local 0.0.0.0/0 NAT-GW 10.1.0.0/16 TGW ルートテーブル 10.0.0.0/16 NAT VPC Attachment 10.1.0.0/16 A-Project-VPC Attachment 0.0.0.0/0 NAT VPC Attachment 追加する必要有り 参考︓Example: Centralized outbound routing to the internet

  24. テストしてみる(再) • 無事にアクセスできることを確認できました︕︕︕

  25. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

  26. まとめ • TGWを介してNAT VPCのNAT GWから外部サイトへのアクセスを実施する事 ができた • ネットワークのルーティングミスは冷静にReachability Analyzer等を⽤いて 解消する

    AWS Cloud Availability Zone 1a VPC わたし EC2 NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway 外部サイト 廃⽌

  27. おまけ • LTの中で質問いただいた結局どっちがどのくらい安いの︖について調べて みました。 • 2VPCのNAT GWをTransit Gatewayを⽤いて⼀⽅のVPCに寄せた場合です サービス 単体の料⾦

    環境合計 NAT GW USD 44.64 (⼀ヶ⽉30⽇の場合) USD 89.28 ∟データ処理料⾦ USD/GB 0.062 ︖︖︖ サービス 単体の料⾦ 環境合計 Transit GW (アタッチメント) USD 50.4 (⼀ヶ⽉30⽇の場合) USD 100.8 ∟データ処理料⾦ USD/GB 0.02 ︖︖︖ • データがほぼ処理されない場合だとUSD 11.52ほどTransit Gatewayの⽅が⾼価 • 275GB以上のデータ処理が必要となる場合においてはTransit Gatewayの⽅が安価 • リージョンによっても価格がかなり異なるのでデータ量を含めてしっかりとした⾒ 積もりが必要