Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Transit GWでNat VPCを作成する

Akira Sato
March 17, 2024
Technology
1
280

Transit GWでNat VPCを作成する

Akira Sato

March 17, 2024
Tweet

More Decks by Akira Sato

See All by Akira Sato
リソースをIaCで管理しよう
a22sato
0
260
Storage LensでS3を大掃除しよう
a22sato
0
380
20231030_LT登壇資料.pdf
a22sato
0
670

Other Decks in Technology

See All in Technology
サービスでLLMを採用したばっかりに振り回され続けたこの一年のあれやこれや
segavvy
2
590
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
yuj1osm
0
250
Google Cloud で始める Cloud Run 〜AWSとの比較と実例デモで解説〜
risatube
PRO
0
120
Working as a Server-side Engineer at LY Corporation
lycorp_recruit_jp
0
430
メンタル面でもつよつよエンジニアになる/登壇資料(井田 献一朗)
hacobu
0
140
多様なメトリックとシステムの健全性維持
masaaki_k
0
120
TSKaigi 2024 の登壇から広がったコミュニティ活動について
tsukuha
0
170
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
1
4.8k
効率的な技術組織が作れる!書籍『チームトポロジー』要点まとめ
iwamot
2
150
Fanstaの1年を大解剖! 一人SREはどこまでできるのか!?
syossan27
2
280
AWS環境におけるランサムウェア攻撃対策の設計
nrinetcom
PRO
0
220
スケールし続ける事業とサービスを支える組織とアーキテクチャの生き残り戦略 / The survival strategy for Money Forward’s engineering.
moneyforward
0
110

Featured

See All Featured
Large-scale JavaScript Application Architecture
addyosmani
510
110k
YesSQL, Process and Tooling at Scale
rocio
170
14k
Statistics for Hackers
jakevdp
796
220k
The Language of Interfaces
destraynor
155
24k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
120k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
32
2.7k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
17
2.3k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
920
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Optimizing for Happiness
mojombo
376
70k
The Pragmatic Product Professional
lauravandoore
32
6.3k

Transcript

  1. Transit GWで Nat VPCを作成する 2024/3/15 Akira Sato

  2. ⾃⼰紹介 • 佐藤 亨(Sato Akira) • @akirarara16 • デロイトトーマツウェブサービス •

    JAWS SAPPOROの運営してます • StepFunctions、CloudFormation

  3. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

  4. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

  5. ざっくりやりたいこと • 検証内容ごとにVPCを分けたいけど、NAT GWの費⽤が⾼い。。 • AP-northeast-1の場合、(USD 0.062/h+ USD 0.062/GB)* VPCの数

    → 3つのVPCで1ヶ⽉稼働した場合、データの処理がなかったとしても (0.062 * 24 * 30)*3 = 133.92 (≒ 2万円) ※150円/USDの場合 → 個⼈利⽤の学習費⽤としては⾟すぎる • 認定試験等でもよく問われる構成なので作ってみよう きっかけ

  6. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

  7. Transit Gatewayとは︖ • VPC、オンプレミス間の接続に利⽤できるリージョン仮想ルーター • 主な機能 • ハブとして複数のVPCを接続可能 → ピアリングの場合は相互に接続が必要になる

    • 主な⽤途 • 複数のVPC間の接続 • 複数のVPC間とVPNの接続 • アプライアンスVPCの作成 概要 参考︓Example use cases for transit gateways

  8. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

  9. 開始時の状況 • Private サブネットからNAT GWを経由して外部にアクセスできる状態 AWS Cloud Availability Zone 1a

    VPC わたし EC2 NAT gateway 外部サイト

  10. 開始時の状況 • Private サブネットからNAT GWを経由して外部にアクセスできる状態 • VPC名︓A-Project-VPC (10.1.0.0/16) • 簡単のため単⼀AZ構成

  11. ⽬標のイメージ • NAT VPC から外部にアクセスできる状態 AWS Cloud Availability Zone 1a

    VPC わたし EC2 NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway 外部サイト 廃⽌

  12. Nat VPCの作成 CIDR︓10.0.0.0/16 →Transit GatewayはCIDR 重複を許容しないため • 同⼀のリージョンにNat VPC を作成する

    • 簡単のため単⼀AZを選択

  13. Transit Gatewayの作成 • 作成画⾯では名前タグを⼊⼒する • それ以外の項⽬はデフォルト値を利⽤

  14. Attachmentの作成 • 各VPCとTransit Gatewayを紐づけを作成(各VPCに対して実施が必要) 専⽤のSubnetを作成する

  15. Attachmentの作成 • Attachmentが “Available” になるとルートテーブルまで作成される ※ 設定によって若⼲異なります

  16. Attachment周りの細かい話 参考︓20191113_AWS-BlackBelt_Transit_Gateway.pdf 複数のルートテーブル へ伝搬可能 複数のルートテーブル へ伝搬可能 関連付けは1つのみ

  17. ルートテーブルの変更 • 各VPCでのルートテーブルを変更する AWS Cloud Availability Zone 1a VPC EC2

    NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway ルートテーブル 10.1.0.0/16 local 0.0.0.0/0 NAT-GW 0.0.0.0/0 TGW ルートテーブル 10.0.0.0/16 local 0.0.0.0/0 NAT-GW 10.1.0.0/16 TGW ルートテーブル 10.0.0.0/16 NAT VPC Attachment 10.1.0.0/16 A-Project-VPC Attachment

  18. テストしてみる • 接続できずにタイムアウトしてしまう。。。

  19. Reachability Analyzerを⽤いた切り分け(1/3) • VPC内のリソースから宛先リソース間の接続テストを実⾏できる分析ツール • ソースから宛先への⼀⽅向の確認である点には注意 参考︓What is Reachability Analyzer?

  20. Reachability Analyzerを⽤いた切り分け(2/3) • 送信元としてEC2(今回の検証マシン)、 送信先としてNAT VPCのIGWを設定する 送信元としてEC2を選択 送信先として NAT VPCのIGWを選択

  21. Reachability Analyzerを⽤いた切り分け(3/3) • 詳細より以下の⽂⾔に注⽬する “パケットの送信先アドレスが 10.0.0.0/16 に⼀致しないため、Transit Gateway ルートテー ブル

    tgw-rtb-018fa09a4acbf1881 の tgw-attach-01b05e8caf2587afe へのルートはパケットを 転送できません。”

  22. ルートテーブルの変更(再掲) • 各VPCでのルートテーブルを変更する AWS Cloud Availability Zone 1a VPC EC2

    NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway ルートテーブル 10.1.0.0/16 local 0.0.0.0/0 NAT-GW 0.0.0.0/0 TGW ルートテーブル 10.0.0.0/16 local 0.0.0.0/0 NAT-GW 10.1.0.0/16 TGW ルートテーブル 10.0.0.0/16 NAT VPC Attachment 10.1.0.0/16 A-Project-VPC Attachment 外部アクセスへの ルートがない

  23. ルートテーブルの修正 • 各VPCでのルートテーブルを変更する AWS Cloud Availability Zone 1a VPC EC2

    NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway ルートテーブル 10.1.0.0/16 local 0.0.0.0/0 TGW ルートテーブル 10.0.0.0/16 local 0.0.0.0/0 NAT-GW 10.1.0.0/16 TGW ルートテーブル 10.0.0.0/16 NAT VPC Attachment 10.1.0.0/16 A-Project-VPC Attachment 0.0.0.0/0 NAT VPC Attachment 追加する必要有り 参考︓Example: Centralized outbound routing to the internet

  24. テストしてみる(再) • 無事にアクセスできることを確認できました︕︕︕

  25. アジェンダ Transit Gatewayとは やってみた まとめ ざっくりやりたいこと

  26. まとめ • TGWを介してNAT VPCのNAT GWから外部サイトへのアクセスを実施する事 ができた • ネットワークのルーティングミスは冷静にReachability Analyzer等を⽤いて 解消する

    AWS Cloud Availability Zone 1a VPC わたし EC2 NAT gateway AWS Transit Gateway Availability Zone 1a NAT VPC NAT gateway 外部サイト 廃⽌

  27. おまけ • LTの中で質問いただいた結局どっちがどのくらい安いの︖について調べて みました。 • 2VPCのNAT GWをTransit Gatewayを⽤いて⼀⽅のVPCに寄せた場合です サービス 単体の料⾦

    環境合計 NAT GW USD 44.64 (⼀ヶ⽉30⽇の場合) USD 89.28 ∟データ処理料⾦ USD/GB 0.062 ︖︖︖ サービス 単体の料⾦ 環境合計 Transit GW (アタッチメント) USD 50.4 (⼀ヶ⽉30⽇の場合) USD 100.8 ∟データ処理料⾦ USD/GB 0.02 ︖︖︖ • データがほぼ処理されない場合だとUSD 11.52ほどTransit Gatewayの⽅が⾼価 • 275GB以上のデータ処理が必要となる場合においてはTransit Gatewayの⽅が安価 • リージョンによっても価格がかなり異なるのでデータ量を含めてしっかりとした⾒ 積もりが必要