初心者向け ユースケースで学ぶVPC

Transcript

1. 初心者向け　ユースケースで学ぶVPC

2. 資格・スキル: AWS: SAA, SAP HV: vSphere, vSAN Windows: AD(GPO), DHCP,

   WSUS, MDT Linux: CentOS, Amazon Linux, Apache, Postfix, WebFilter NW: VyOS, FortiGate, L2SW 経歴: 他業界→オンプレSIer→Classmethod 自己紹介 仕事 社名: クラスソッド株式会社 所属: AWS事業部 ソリューションアーキテクト

3. VPCって何? ネットワーク&セキュリティ 論理的に分離されたネットワーク • AWSによって管理されている ◦ ハードの可用性の考慮不要 • ユーザーが制御可能 ◦

   任意のIPアドレスを作成 ◦ サブネットの作成 ◦ ルートテーブル 　ネットワークゲートウェイの設定 • IPv4 & IPv6 のサポート ◦ DualStack可能

4. ユースケース1

5. ユースケース1 パブリックアクセス可能なネットワーク 1. リージョン 2. アベイラビリティーゾーン 3. EC2 & EIP

   4. インターネットゲートウェイ 5. ルーティング

6. リージョンとアベイラビリティゾーン • Availability Zone(AZ) • 各AZは地理､電源､ネットワーク的に分離 ◦ 他のAZに影響を与えないように • 同一リージョン内のAZは低レイテンシ

   ◦ 高速専用線で接続 参考: https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-regions-availability-zones.html

7. サブネット • VPC > AZ > サブネット a. AZをまたぐサブネットは作成不可 •

   サブネット内のアドレス 5つは使用不可 a. .0: ネットワークアドレス b. .1: VPC Router c. .2: DNSサーバ d. .3: 将来の為に予約 e. .255: ブロードキャストアドレス • ブロードキャスト通信不可 参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4

8. Elastic IP Addresses • EIP • 静的IPv4アドレス ◦ いわゆる固定IPアドレス •

   アカウント内の別リソースに付け替え OK • アドレスを連番や選んで取得はできない • $0.005/1h→$3.6/1月 • 起動中のEC2に関連付け中は無料 ◦ 1つまで 参考: https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html

9. VPC Router • VPC内に暗黙的に存在する • ルートテーブルに従って通信を制御する • サブネットごとにルートテーブルが関連付け されている 送信先

   ターゲット 10.0.0.0/16 local 0.0.0.0/0 igw-xxxxxxxx 送信先 ターゲット 10.0.0.0/16 local public-subnet-routetable private-subnet-routetable igw-xxxxxxxx: インターネットゲートウェイ local: VPC内のこと 参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html

10. インターネットゲートウェイ 1. ルートテーブルのターゲット a. デフォルトルート(0.0.0.0/0)へのターゲットと して使われることが多い 2. プライベートIPとパブリックIPをNAT a. プライベート/パブリックどちら側からも通信を

    開始可能 • 帯域制限なし • 単一障害点にならない ◦ 水平にスケールされている 参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Internet_Gateway.html

11. ユースケース2

12. ユースケース2 パブリック&プライベートなネットワーク 1. NATゲートウェイ

13. NATゲートウェイ 1. ルートテーブルのターゲット a. デフォルトルート(0.0.0.0/0)へのターゲットと して使われることが多い 2. プライベートIPとパブリックIPをNAT a. プライベート側からのみ通信を開始可能

    b. ステートフル • EIPの割り当てが必要 • 帯域は10Gbps • 必要に応じて冗長化する 参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html

14. セキュリティ

15. セキュリティグループ • インスタンスに対する通信ポリシー • 暗黙の拒否､ルールの許可のみサポート • 送信元をIPアドレス範囲､セキュリティグルー プで指定 • 通信内容をプロトコル・ポート番号で指定

    • セキュリティグループは複数のインスタンス に割り当て可能 • ステートフル • ルール評価に順番はない 参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

16. ネットワークACL • サブネットに対する通信ポリシー • ルールの許可・拒否のみをサポート • 送信元をIPアドレス範囲で指定 • 通信内容をプロトコル・ポート番号で指定 •

    ステートレス • 順番にルールを評価する 参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_ACLs.html https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html

17. SG, NACLの 関係図

18. ぜひVPCに触って AWSの世界に飛び込もう!

19. ありがとうございました クラスメソッド株式会社 AWS事業部 加藤 諒 参考資料 • AWS Black Belt

    Online Seminar 2017 Amazon VPC • Amazon VPC とは?