Upgrade to Pro — share decks privately, control downloads, hide ads and more …

NW-JAWS ルートテーブルとエンドポイント入門

Avatar for Hibiki Hibiki
May 19, 2025
590

NW-JAWS ルートテーブルとエンドポイント入門

Avatar for Hibiki

Hibiki

May 19, 2025
Tweet

Transcript

  1. ルートテーブルの構成と役割 ⚫ サブネットに1つ紐づく ⚫ 宛先とネクストホップ(次はどこに向かうか)をルートとして登録 ⚫ 通信の宛先がルートの宛先と一致したら、そのルートを使用 Virtual private cloud

    (VPC) 10.0.0.0/16 Public subnet 10.0.10.0/24 Internet gateway Internet ルートテーブル ※あくまでイメージです ※正確なルートテーブルは後のスライドで 宛先 ネクストホップ インターネット Internet gateway EC2 Instance Route table
  2. ルートテーブルの構成と役割 ⚫ サブネットに1つ紐づく ⚫ 宛先とネクストホップ(次はどこに向かうか)をルートとして登録 ⚫ 通信の宛先がルートの宛先と一致したら、そのルートを使用 Virtual private cloud

    (VPC) 10.0.0.0/16 Public subnet 10.0.10.0/24 Internet gateway Internet EC2 Instance Route table ルートテーブル ※あくまでイメージです ※正確なルートテーブルは後のスライドで 宛先 ネクストホップ インターネット Internet gateway
  3. ルートテーブルの構成と役割 ⚫ サブネットに1つ紐づく ⚫ 宛先とネクストホップ(次はどこに向かうか)をルートとして登録 ⚫ 通信の宛先がルートの宛先と一致したら、そのルートを使用 Virtual private cloud

    (VPC) 10.0.0.0/16 Public subnet 10.0.10.0/24 Internet gateway Internet EC2 Instance Route table ルートテーブル ※あくまでイメージです ※正確なルートテーブルは後のスライドで 宛先 ネクストホップ インターネット Internet gateway
  4. ルートテーブルの構成と役割 ⚫ サブネットに1つ紐づく ⚫ 宛先とネクストホップ(次はどこに向かうか)をルートとして登録 ⚫ 通信の宛先がルートの宛先と一致したら、そのルートを使用 Virtual private cloud

    (VPC) 10.0.0.0/16 Public subnet 10.0.10.0/24 Internet gateway Internet Route table EC2 Instance ルートテーブル ※あくまでイメージです ※正確なルートテーブルは後のスライドで 宛先 ネクストホップ インターネット Internet gateway インターネットに行きたい
  5. ルーティングの基本ルール ⚫ より詳細なルートを採用(ロンゲストマッチ) ⚫ 0.0.0.0/0は何でも通すデフォルトルート ⚫ どのルートにもマッチしない通信は破棄される 宛先 ネクストホップ 10.1.0.0/16

    local 10.1.0.0/8 Transit Gateway 0.0.0.0/0 IGW VPC 10.1.0.0/16 Public subnet 10.1.10.0/24 Internet gateway Internet Route table VPC 10.101.0.0/16 VPC 10.201.0.0/16 Transit Gateway AWS Cloud
  6. ルーティングの基本ルール ⚫ より詳細なルートを採用(ロンゲストマッチ) ⚫ 0.0.0.0/0は何でも通すデフォルトルート ⚫ どのルートにもマッチしない通信は破棄される 宛先 ネクストホップ 10.1.0.0/16

    local 10.1.0.0/8 Transit Gateway 0.0.0.0/0 IGW 10.1.0.1に向かうとき こっちのほうが採用 VPC 10.1.0.0/16 Public subnet 10.1.10.0/24 Internet gateway Internet Route table VPC 10.101.0.0/16 VPC 10.201.0.0/16 Transit Gateway AWS Cloud 0.0.0.0/0 10.1.0.0/8 10.1.0.0/16 192.168.1.10 10.2.1.2 10.1.0.1
  7. ルーティングの基本ルール ⚫ より詳細なルートを採用(ロンゲストマッチ) ⚫ 0.0.0.0/0は何でも通すデフォルトルート ⚫ どのルートにもマッチしない通信は破棄される 宛先 ネクストホップ 10.1.0.0/16

    local 10.1.0.0/8 Transit Gateway 0.0.0.0/0 IGW VPC 10.1.0.0/16 Public subnet 10.1.10.0/24 Internet gateway Internet Route table VPC 10.101.0.0/16 VPC 10.201.0.0/16 Transit Gateway AWS Cloud 0.0.0.0/0 10.1.0.0/8 10.1.0.0/16
  8. ルーティングの基本ルール ⚫ より詳細なルートを採用(ロンゲストマッチ) ⚫ 0.0.0.0/0は何でも通すデフォルトルート ⚫ どのルートにもマッチしない通信は破棄される 宛先 ネクストホップ 10.1.0.0/16

    local 10.1.0.0/8 Transit Gateway 0.0.0.0/0 IGW VPC 10.1.0.0/16 Public subnet 10.1.10.0/24 Internet gateway Internet Route table VPC 10.101.0.0/16 VPC 10.201.0.0/16 Transit Gateway AWS Cloud
  9. エンドポイント 利用イメージ VPCエンドポイント ⚫ AWSサービスにインターネットに出ずに接続できる仕組み ⚫ 以下の4種類が定義されている VPC AWS Cloud

    Endpoints ENI EC2 Instance Private subnet D ENI A) ゲートウェイエンドポイント B) インターフェースエンドポイント C) ゲートウェイロードバランサーエンドポイント D) EC2インスタンス接続エンドポイント S3 C A B CloudWatch Endpoints Network Firewall Public subnet (Network Firewall用) Internet gateway Internet
  10. ゲートウェイエンドポイント ⚫ 対象AWSサービス:S3・DynamoDB ⚫ ルートテーブルにルートを追加して利用 ⚫ コスト無料 VPC AWS Cloud

    Endpoints EC2 Instance Private subnet S3 Route table 宛先 ネクストホップ S3のCIDRリスト (プレフィックスリスト) S3用エンドポイントID
  11. ゲートウェイロードバランサーエンドポイント VPC AWS Cloud EC2 Instance Private subnet Endpoints Network

    Firewall Internet gateway Internet Route table Route table Route table Public subnet (NAT ゲートウェイ用) NAT gateway Public subnet (Network Firewall用) ⚫ 対象のAWSサービス:Network Firewall、Gateway Load Balancer ⚫ ルートテーブルにルートを追加して利用 ⚫ 利用料がかかる ルートテーブルは後ほどご紹介
  12. ユースケース①よくあるNAT Gateway構成 VPC(10.0.0.0/16) Private subnet Public subnet Internet gateway Internet

    AWS Cloud EC2 Instance NAT gateway Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 NAT Gateway ID Public Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 IGW ID Route table Route table NATゲートウェイ経由 してインターネットに アクセスしたい
  13. ユースケース①よくあるNAT Gateway構成 VPC(10.0.0.0/16) Private subnet Public subnet Internet gateway Internet

    AWS Cloud EC2 Instance NAT gateway Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 NAT Gateway ID Public Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 IGW ID Route table Route table NATゲートウェイ経由 してインターネットに アクセスしたい
  14. ユースケース①よくあるNAT Gateway構成 VPC(10.0.0.0/16) Private subnet Public subnet Internet gateway Internet

    AWS Cloud EC2 Instance NAT gateway Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 NAT Gateway ID Public Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 IGW ID Route table Route table NATゲートウェイ経由 してインターネットに アクセスしたい
  15. ユースケース②Network Firewall通信 Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0

    NAT Gateway ID Public Subnet(NATゲートウェイ) ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 Network Firewall エンドポイントID VPC AWS Cloud EC2 Instance Private subnet Endpoints Network Firewall Internet gateway Internet Route table Route table Route table Public subnet (NAT ゲートウェイ用) NAT gateway Public subnet (Network Firewall用) Public Subnet(Network Firewall用) ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 IGW Network Firewallで通 信を検査してから送信 したい
  16. ユースケース②Network Firewall通信 Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0

    NAT Gateway ID Public Subnet(NATゲートウェイ) ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 Network Firewall エンドポイントID VPC AWS Cloud EC2 Instance Private subnet Endpoints Network Firewall Internet gateway Internet Route table Route table Route table Public subnet (NAT ゲートウェイ用) NAT gateway Public subnet (Network Firewall用) Public Subnet(Network Firewall用) ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 IGW Network Firewallで通 信を検査してから送信 したい
  17. ユースケース②Network Firewall通信 Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0

    NAT Gateway ID Public Subnet(NATゲートウェイ) ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 Network Firewall エンドポイントID VPC AWS Cloud EC2 Instance Private subnet Endpoints Network Firewall Internet gateway Internet Route table Route table Route table Public subnet (NAT ゲートウェイ用) NAT gateway Public subnet (Network Firewall用) Public Subnet(Network Firewall用) ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 IGW Network Firewallで通 信を検査してから送信 したい
  18. ユースケース②Network Firewall通信 Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0

    NAT Gateway ID Public Subnet(NATゲートウェイ) ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 Network Firewall エンドポイントID VPC AWS Cloud EC2 Instance Private subnet Endpoints Network Firewall Internet gateway Internet Route table Route table Route table Public subnet (NAT ゲートウェイ用) NAT gateway Public subnet (Network Firewall用) Public Subnet(Network Firewall用) ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 0.0.0.0/0 IGW Network Firewallで通 信を検査してから送信 したい
  19. ユースケース③Transit Gatewayを用いた他VPCへのアクセス VPC(10.1.0.0/16) Public subnet Internet gateway Internet Route table

    VPC (10.101.0.0/16) VPC (10.201.0.0/16) Transit Gateway AWS Cloud EC2 Instance Private subnet Route table ENI Public Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 10.0.0.0/8 TGW ID 0.0.0.0/0 IGW ID Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local インターネット向けはIGWに 他VPC向けはTransit Gatewayに 送信したい
  20. ユースケース③Transit Gatewayを用いた他VPCへのアクセス VPC(10.1.0.0/16) Public subnet Internet gateway Internet Route table

    VPC (10.101.0.0/16) VPC (10.201.0.0/16) Transit Gateway AWS Cloud EC2 Instance Private subnet Route table ENI Public Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 10.0.0.0/8 TGW ID 0.0.0.0/0 IGW ID Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local インターネット向けはIGWに 他VPC向けはTransit Gatewayに 送信したい
  21. ユースケース③Transit Gatewayを用いた他VPCへのアクセス VPC(10.1.0.0/16) Public subnet Internet gateway Internet Route table

    VPC (10.101.0.0/16) VPC (10.201.0.0/16) Transit Gateway AWS Cloud EC2 Instance Private subnet Route table ENI Public Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 10.0.0.0/8 TGW ID 0.0.0.0/0 IGW ID Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local インターネット向けはIGWに 他VPC向けはTransit Gatewayに 送信したい
  22. ユースケース③Transit Gatewayを用いた他VPCへのアクセス VPC(10.1.0.0/16) Public subnet Internet gateway Internet Route table

    VPC (10.101.0.0/16) VPC (10.201.0.0/16) Transit Gateway AWS Cloud EC2 Instance Private subnet Route table ENI Public Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 10.0.0.0/8 TGW ID 0.0.0.0/0 IGW ID Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local インターネット向けはIGWに 他VPC向けはTransit Gatewayに 送信したい
  23. ユースケース③Transit Gatewayを用いた他VPCへのアクセス VPC(10.1.0.0/16) Public subnet Internet gateway Internet Route table

    VPC (10.101.0.0/16) VPC (10.201.0.0/16) Transit Gateway AWS Cloud EC2 Instance Private subnet Route table ENI Public Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local 10.0.0.0/8 TGW ID 0.0.0.0/0 IGW ID Private Subnet ルートテーブル 宛先 ネクストホップ 10.0.0.0/16 local インターネット向けはIGWに 他VPC向けはTransit Gatewayに 送信したい
  24. まとめ ⚫ どんなリソースをどこに配置するか意識して、適切にサブネットを分ける ⚫ VPCエンドポイントをサービスに応じて、適切に使い分ける ⚫ ルートテーブルでは宛先とネクストホップを意識 ➢ マルチAZの場合、ルートテーブルの設計は? ➢

    オンプレミスへ接続がある場合のルートは? ➢ Transit Gatewayのルートテーブルについても考えてみる! ➢ 実際に構築してみるだけでなく、構成図を書いてみるとより理解が深まりますのでぜひ! ここまで学んだ方におすすめの深堀ポイント