【雲勉】VPCから始めるネットワーク入門〜インフラ初心者向け講座 〜

Transcript

1. 2022/01/26 ～インフラ初心者向け講座～ 雲勉@オンライン【勉強会】 VPCから始めるネットワーク入門

2. 2 本日のハッシュタグ #kumoben 写真撮影 OK!

3. アイレットご紹介 – 会社概要 3 ◼ 社名 アイレット株式会社 ◼ 所在地 〒105-6307

   東京都港区⻁ノ⾨1-23-1 ⻁ノ⾨ヒルズ森タワー7F 設⽴2003年10⽉15⽇ ◼ 資本⾦ 7,000万円 ◼ 代表者名 岩永充正 ◼ 従業員数 682名（2021年4⽉末時点） ◼ 事業内容 ITコンサルティング、システム開発、 システム保守・運⽤、 サーバハウジング・ホスティング ◼ 主要株主 KDDI株式会社

4. アイレットご紹介 – AWS APNパートナー 4 cloudpackは、Amazon Elastic Compute Cloud （Amazon

   EC2）やAmazon Simple Storage Service （Amazon S3）をはじめとする AWSの各種プロダクトを利⽤する際の導⼊・設計から運⽤保守を含んだフルマネージドのサービスを提供し、バックアップや24時間 365⽇の監視/障害対応、技術的な問い合わせに対するサポートなどを⾏っております。 2013年6⽉4⽇には、AWSパートナーネットワーク（APN）において、⽇本初のAPNプレミアティアコンサルティングパートナーの⼀社と して認定されたのをはじめ、その後9年連続で認定されています。 『APNプレミアティアコンサルティングパートナー』はAPNプログラムの中で最上位のパートナーであり、厳しいクライテリアを満たした パートナーのみが選出され、世界で128社のみが認定されています。9年連続で認定された⽇本企業としては、cloudpack（アイレット） と株式会社野村総合研究所の2社のみとなります。

5. アイレットご紹介 – APN Consulting Partner of the Year 2019 –

   Japan 5 AWSのパートナーネットワークに登録している企業が参加した「AWS Partner Summit Tokyo」の中で、数あるアワードの中で最も実績 をあげたパートナーであることを⽰す『APN Consulting Partner of the Year 2019 – Japan』を受賞しました。cloudpackは、同賞を5度 ⽬の受賞となります。 『APN Consulting Partner of the Year 2019 – Japan』は、AWSが年間を通じて営業・技術・マーケティング分野においてパートナーと しての総合⼒を判断し、AWSのビジネスに最も貢献したパートナーに贈られるものです。cloudpackは、2013年から継続的にプレミアコン サルティングパートナーとして認定されているほか、業界に影響を与える多数のお客様事例のリリースや、数千台規模のマイグレーション 案件、基幹システムの移⾏を⼿掛けるなど、さらなるAWSビジネスの拡⼤に貢献しました。 また、サーバーレスやマシンラーニングなどの新サービスも積極的に採⽤して成功させる⼀⽅で、エンタープライズ案件も推進してきた結 果、著しい売り上げ伸び率を達成 したことが評価されました。

6. アイレットご紹介 - 弊社の代表するサービス 6 クラウドを活用し お客様のご要望に幅広くお応えする 総合支援サービスです。

7. アジェンダ 7 0.講師自己紹介 1.AWSとは 2.VPCとは 3.サブネットとは 4.インターネットゲートウェイとは 5.ルートテーブルとは 6.セキュリティグループ・ネットワークACLとは 7.まとめ

   8.質疑応答

8. ０．講師自己紹介 8 ◼ 名前 二宮 英幸 (Ninomiya Hideyuki) • (所属)

   クラウドインテグレーション事業部 大阪構築第二セクション • (経歴) 電力 人事総務 8.5年 → 人生の夏休み 0.5年 → SES インフラ 0.8年 → 現職 • (アイレット歴) まもなく2年 (2020年2月入社) • 第二種電気工事士免状を持っていますが、電気工事をしたことはありません • インフラエンジニアを名乗っていますが、オンプレミス環境を触ったことはありません • GCPちょっとできるようになるのが今年の目標です • 妻と1歳の娘がいます。とても可愛いです • 酒・温泉・旅行が好きです

9. 1. AWSとは 9

10. 1．AWSとは 10 ◼ Infrastructure（インフラストラクチャー） • 何かしらを支えている「基盤」のこと • IT以外だと、電気・ガス・水道・鉄道あたりが身近？ ◼ ITにおけるインフラ

    • ITサービスを利用者に届けるための基盤となる資源全般のこと • サーバー、ネットワーク、etc. • インフラエンジニアはITサービスに必要なインフラの要件を整理して 最適な資源の組み合わせを設計し、構築し、運用すること等がお仕事（と思っています）

11. 1．AWSとは 11 ◼ Amazon Web Services（アマゾンウェブサービス） • 通販サイトでおなじみのAmazonが提供しているクラウドプラットフォーム • Amazonが所有する資源（サーバー等）をネットワーク越しに利用できる

    ◼ クラウドとオンプレミス • 自分で資源を所有するパターンは「オンプレミス」と呼ばれている • 自宅に自家発電機を所有して電気を利用しているようなイメージ • 自分用に最適化できるが、自分で管理（故障時の修理等）をする必要がある • 「クラウド」の場合は、電力会社と契約し購入した電気を利用しているようなイメージ • AWS等のクラウドベンダーが管理してくれるのがメリットの一つ

12. 2. VPCとは 12

13. 2．VPCとは 13 ◼ Amazon Virtual Private Cloud（VPC） • AWSが所有するネットワーク上にプライベートな仮想ネットワークを構築するサービス •

    AWSのリージョン（後述）を選択し作成する領域のことも指す ◼ Region（リージョン）とAvailability Zone（AZ/アベイラビリティーゾーン） • リージョンはAWSのデータセンターが所在する地域のこと • 東京リージョン、大阪リージョン、バージニア北部リージョン等 • アベイラビリティーゾーンはリージョンを構成する1つ以上のデータセンターの集まり • AZその1+AZその2+AZその3=リージョンその1 みたいな関係性

14. 2．VPCとは 14 東京リージョン アベイラビリティーゾーン 大阪リージョン アベイラビリティーゾーン

15. 2．VPCとは 15 ◼ CIDR • VPCやサブネット（後述）を作成する際などに指定するもの • AWSマネジメントコンソール（Webブラウザで操作できる画面）の VPC作成画面では初期状態でCIDRの入力欄に「10.0.0.0/24」と薄く表示されている •

    VPCの作成時に指定できる「/xx」部分の最大値は「/16」（※次のページで説明） • 「.」の区切りごとの値の範囲は 0（00000000）～ 255（11111111） • 2進数に書き換えると「00001010.00000000.00000000.00000000/24」となる • 10進数は0～9で表記。2進数は0と1で表記 10進数 0 1 2 3 4 5 6 7 8 9 10 2進数 0 1 10 11 100 101 110 111 1000 1001 1010

16. 2．VPCとは 16 ◼ CIDR • 「10.0.0.0/24」「00001010.00000000.00000000.00000000/24」 • 「/xx」は「サブネットマスク」と呼ばれている • 「広さ」を指定するもので、数値が大きいほどマスクが大きくなり広さは狭くなる

    • 「/xx」指定した部分が都道府県～マンション名、それ以降が号室みたいなイメージ • 「/24」だと「256」、「/23」だと「512」の広さとなる • 値が1増えると広さは2倍になる /24 /23 /22 11111111.11111111.11111111.00000000

17. 2．VPCとは 17 ◼ プライベートネットワークで利用するCIDR • 0～255が指定できるってことは「0.255.0.0/16」とかでも良いの？ → × • 「RFC1918」という文書で以下を使ってね！と標準化されている

    • 10.0.0.0～10.255.255.255 (10.0.0.0/8) ← 「10.0.0.0/24」はここに該当 • 172.16.0.0～172.31.255.255 (172.16.0.0/12) • 192.168.0.0～192.168.255.255 (192.168.0.0/16) • 同じ（接続された）プライベートネットワークで上記を共用する 10.0.0.0/16 10.0.0.0/24 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24 10.0.0.0/24 10.0.0.0/25 10.0.0.128/25

18. 2．VPCとは 18 ◼ プライベートネットワークで利用するCIDR • 一つ一つのVPCやサブネットで無駄に広いCIDRを指定すると 同じプライベートネットワーク内で他のVPCやサブネットが増えると 徐々に広さが足りなくなってきて困ったりする • オンプレミスとAWSのVPCを接続することも可能なので、ちゃんと考えないと

    オンプレミスのCIDRとVPCのCIDRが被って困った…なんてことも起こりうる 10.0.0.0/16 10.0.0.0/16

19. 2．VPCとは 19

20. 3. サブネットとは 20

21. 3．サブネットとは 21 ◼ サブネット • VPC内に作成する領域。アベイラビリティーゾーンとCIDRを指定して作成する • サブネットの大きさや数によってVPC内をどのように区切るかを決めることができる ◼ パブリックサブネットとプライベートサブネット

    • インターネットと直接通信ができるサブネットがパブリックサブネット • インターネットと直接通信ができないサブネットがプライベートサブネット • インターネットと直接通信する必要があるもの・ないものを分けてそれぞれに配置する プライベート パブリック

22. 22 3．サブネットとは

23. 4. インターネットゲートウェイとは 23

24. 4. インターネットゲートウェイとは 24 ◼ インターネットゲートウェイ • VPCとインターネットの通信を可能とするためのVPCの部品 • 家の玄関みたいなもの。玄関がないと出入りができない（窓から出れるじゃん！はさておき） •

    サブネット上のリソース（例えばEC2（サーバー））には サブネットに指定したCIDRの範囲内からプライベートIPアドレスが割り当てられるが プライベートIPアドレスはプライベートネットワーク内でしか利用できない • EC2にプライベートIPアドレスとパブリックIPアドレスを割り当てるよう設定しておくと インターネットゲートウェイを通るときにプライベートIP⇄パブリックIPを変換してくれる 10.0.0.30 54.xxx.xxx.xxx

25. 25 4. インターネットゲートウェイとは

26. 5. ルートテーブルとは 26

27. 5. ルートテーブルとは 27 ◼ ルートテーブル • 通信がどの方向に向かえば良いかを示す「ルート」を設定するもの • 目的地を告げると次にどちらに向かえば良いか案内してくれる道先案内人 •

    サブネットに関連付ける • 同じルートテーブルを複数のサブネットに関連付けもできるし サブネットごとに個別のルートテーブルを作成して関連付けもできる • デフォルトではVPC CIDR範囲宛の通信をVPC内に送信するよう設定されている • インターネットゲートウェイ向けのルートを設定するとインターネットへの通信が可能となる 送信先 ターゲット 10.0.0.0/16 local（VPC内） 0.0.0.0/0 インターネットゲートウェイ

28. 28 5. ルートテーブルとは

29. （再掲）3．サブネットとは 29 ◼ サブネット • VPC内に作成する領域。アベイラビリティーゾーンとCIDRを指定して作成する • サブネットの大きさや数によってVPC内をどのように区切るかを決めることができる ◼ パブリックサブネットとプライベートサブネット

    • インターネットと直接通信ができるサブネットがパブリックサブネット • インターネットと直接通信ができないサブネットがプライベートサブネット • インターネットと直接通信する必要があるもの・ないものを分けてそれぞれに配置する プライベート パブリック

30. 30 送信先 ターゲット 10.0.0.0/16 local（VPC内） 0.0.0.0/0 インターネットゲートウェイ 送信先 ターゲット 10.0.0.0/16

    local（VPC内） 5. ルートテーブルとは

31. 6. セキュリティグループ・ネットワークACLとは 31

32. 6. セキュリティグループ・ネットワークACLとは 32 ◼ セキュリティグループ • どこから（Inbound）、どこへの（Outbound）通信を許可するかを設定 • サーバー単位で指定する・ホワイトリスト方式（許可） •

    デフォルトではOutboundは全て許可する設定となっている • ステートフルなため戻りの通信への考慮が不要（入室を許可したら退室できる） ◼ ネットワークACL • どこから（Inbound）、どこへの（Outbound）通信を許可するかを設定 • サブネット単位で指定する・ブラックリスト方式（許可・拒否） • デフォルトでは全ての送信元・宛先を許可している • ステートレスなため戻りの通信への考慮が必要（入室を許可しただけだと退室できない）

33. 6. セキュリティグループ・ネットワークACLとは 33 ◼ セキュリティグループ • どこから（Inbound）、どこへの（Outbound）通信を許可するかを設定 • サーバー単位で指定する・ホワイトリスト方式（許可） •

    デフォルトではOutboundは全て許可する設定となっている • ステートフルなため戻りの通信への考慮が不要（入室許可したら退室できる） ◼ ネットワークACL • どこから（Inbound）、どこへの（Outbound）通信を許可するかを設定 • サブネット単位で指定する・ブラックリスト方式（許可・拒否） • デフォルトでは全ての送信元・宛先を許可している • ステートレスなため戻りの通信への考慮が必要（入室許可だけだと退室できない） よく使うのはこっち

34. 34 6. セキュリティグループ・ネットワークACLとは

35. 35 このサーバーはみんなに直接見てもらいたいものを配置している ↓ サーバーのセキュリティグループに インターネットからの接続を許可するよう設定 このデータベースはサーバーからのみ接続ができればOK ↓ データベースのセキュリティグループに サーバーのセキュリティグループからの接続のみ許可するよう設定 6.

    セキュリティグループ・ネットワークACLとは

36. 7. まとめ 36

37. 7. まとめ 37 ◼ まとめ • VPCはAWSが所有するネットワーク内にリージョンを指定して作成する領域 • サブネットはVPC内にアベイラビリティーゾーンを指定して作成する領域 •

    インターネットゲートウェイはVPCとインターネットが通信するための玄関 • ルートテーブルは目的地を告げると次にどちらに向かえば良いか案内してくれる道先案内人 • セキュリティグループ・ネットワークACLは不審者の入室・退室を防止する警備員

38. 8. 質疑応答 38

39. 中途向け会社説明会 39 「アイレットってどんな会社？」「cloudpackって具体的にどんな事業なの？」 「オフィス環境は？」「これまでの経験を活かせそう？」など、 少しでも興味がある方は、ぜひお気軽にご参加ください。

40. 40