Developerにも知ってほしいAWSの話 ~ネットワークとIAM編~

Slide 1

Slide 1 text

札幌オフィス〒060-0004 北海道札幌市中央区北4条西6-1 毎日札幌会館9F ベトナムオフィス 7th Floor, Mercury Building, No.444 Hoang Hoa Tham Street, Thuy Khue ward, Tay Ho District, Hanoi city 西日本オフィス〒530-0001 大阪府大阪市北区梅田2-2-2 ヒルトンプラザウエストオフィスタワー19F シリコンバレーインキュベーションセンター 3350 Scott Blvd. #29 Santa Clara, CA 95054 東京オフィス(本社) 〒108-0073 東京都港区三田3-13-16 三田43MTビル12F 株式会社ビッグツリーテクノロジー＆コンサルティング Developer・リーダー層にも知ってほしいAWSの話 ~ネットワークとIAM編~ というタイトルのセミナーを社内で開いたときの話 2022年2月25日

Slide 2

Slide 2 text

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

5 Copyright © 2022 BTC Corporation All Rights Reserved. １．ある日、こんな問い合わせが来た問い合わせから私が学んだこと ✓ 一人は若手（インフラ未経験、AWS勉強中） ✓ もう一人はマネージャ（Developer、インフラ未経験、AWS SAA取得済み） ◼ 問い合わせをしてくれた人はどんな人だったか AWS SAAはインフラの知識を持っていなくても取得できるが、実務（設計・構築・お客様との会話）にはインフラの知識は不可欠でもインフラの基本的な知識を身に着ける機会は少ない

Slide 6

Slide 6 text

6 Copyright © 2022 BTC Corporation All Rights Reserved. EC2⇔ALB、EC2⇔RDSの通信にIAMロール必要ですか？ ALBからEC2、EC2からRDSへはTCP/IPのルールに則って(※) サーバ上のアプリケーションにアクセスしているので、不要です。 ※ IPアドレスとポート番号を利用してアクセスできる IAMロールは、EC2・コンテナ・LambdaなどのAWSサービスが AWSのAPIを利用したいときに使います。 AWSのAPIはインターネットに公開されているのでルート設定が必要です。＋１．ある日、こんな問い合わせが来た回答編

Slide 7

Slide 7 text

Slide 8

Slide 8 text

8 Copyright © 2022 BTC Corporation All Rights Reserved. ２．JAWS朝会参加者の皆様へのメッセージ • Developerも知っておくと良いネットワークの話をします • クラウドを通してインフラの勉強を始めた人にとっても良い話だと思います • そんなの知っているよ！という方も多いと思います…後輩に同じ質問をされたときに是非こちらの資料をご活用ください！

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

12 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～ドメインとは？～ ✓ https://www.bigtreetc.com/column/ ✓ yukiko.hiramatsu@bigtreetc.com ドメインとはコレ ✓ WebページのURLやメールアドレスの一部として利用される ✓ インターネット全体で一意 https://bigtreetc.com/column/ スキームドメインパスデータ(※)にアクセスする為の方法サーバの住所複数のページを管理したいときに利用 ※Webサイトの場合はWebサーバ

Slide 13

Slide 13 text

Slide 14

Slide 14 text

14 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～DNSとは～ DNS(Domain Name System)とは ✓ ホスト(※)がネームサーバに問い合わせして、ドメイン名からIPアドレスを得ること →powershellで「nslookup ドメイン名」と打ってみよう名前解決とは ✓ ドメイン名とIPアドレスの対応表を管理する仕組み ✓ 「対応表」のことをゾーンファイルという ✓ 「ゾーンファイルを保管するサーバ」をネームサーバ（DNSサーバともいう）という ※携帯やWifi、業務で使うPCのこと！

Slide 15

Slide 15 text

Slide 16

Slide 16 text

16 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～hostsファイルを見てみよう～ 52.XX. XX. XX matome.example.com blog.example.jp xxxxx.redmine HOSTSファイルを管理。 Anonymous FTPで公開。利用者はHOSTSファイルをダウンロード。 SRI-NIC 53.XX. XX. XX 3.111.11.111 xxxxx.redmine ① [あなた]xxxxx.redmineでアクセスしようとする ② [PC]HOSTSファイルでxxxxx.redmineのIPアドレスを確認 ③ [PC]3.111.11.111でアクセス ① ② ③

Slide 17

Slide 17 text

17 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～DNSを使った名前解決の仕組み～ ① [あなた]bigtreetc.comでアクセスしようとする ② [PC]DNSサーバに問い合わせして、bigtreetc.comのIPアドレスを確認 ③ [PC] 52.xx.xx.xxでアクセス ① ② ③ DNSサーバゾーンファイルドメイン名を知っている！ DNSサーバにアクセス出来る！ Webサーバゾーンファイルを管理

Slide 18

Slide 18 text

18 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～DNSのメリット～ ✓ IPアドレスが変わる場合、DNSサーバのゾーンファイルを書き換えるだけ DNSを使うと、hostsをローカルに持つ必要が無い！ ① ② ③ DNSサーバドメイン名を知っている！ DNSサーバにアクセス出来る！ Webサーバ管理者 BTCのウェブサイトのIPアドレスが変わるから、ゾーンファイルを書き換えなきゃ AA.AA.AA.AA bigtreetc.com ↓ BB.BB.BB.BB bigtreetc.com

Slide 19

Slide 19 text

19 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～どうして「ドメイン」というのか～インターネット全体の名前空間（[.]ルート） jpの名前空間 sampleの名前空間 comの名前空間 exampleの名前空間 matomeというホスト matome.example.com blogというホスト blog.sample.jp exampleの名前空間 cloudというホスト cloud.example.jp matomeというホスト matome.example.jp bigtreetcの名前空間 cloudというホスト cloud.bigtreetc.com 同じホスト名でも違うドメイン名になる

Slide 20

Slide 20 text

20 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～DNSサーバはどこにあるの？～ Webサイトへアクセス出来ればいいわけじゃない Webサイトへアクセスするとき… 1. DNSサーバへ問い合わせて名前解決＝ DNSサーバへアクセス 2. WebサーバのIPアドレスをゲット 3. IPアドレスを使ってWebサーバへアクセス＝ Webサーバへアクセスお客様のシステムを構築する際、ドメインをどのように管理するか事前に確認しましょう

Slide 21

Slide 21 text

21 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～AWS内部の名前解決～ AWS内でDNSサーバは何処にいる？ Spring Bootのapplication.yamlにDBのドメイン名設定しただけで AWSにデプロイしたコンテナからAWSのDBサーバにアクセス出来たけど？仮想ネットワーク内にDNSサーバが作られます。同じAWSアカウント内の同じ仮想ネットワーク空間(※後述）に居れば DNSサーバを構築することなく名前解決がされます。

Slide 22

Slide 22 text

22 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～IPアドレスとは？～ ✓ ハードウェアとは無関係に付与される論理的なアドレス ✓ 異なるネットワークに所属するサーバ同士の通信に利用 ✓ IPv4の場合は32ビットの2進数で表現される IPアドレスとは 52.52.52.52 00110100.00110100.00110100.00110100 www.example.com 人が管理しやすいよう、 10進数で管理人が覚えやすいよう、DNSで IPアドレスはドメインに変換される

Slide 23

Slide 23 text

23 Copyright © 2022 BTC Corporation All Rights Reserved. Public subnet ３．ネットワーク基本用語～グローバルIPアドレス～グローバルIPアドレスを持つホストへのアクセスインターネット経由でアクセス出来る Private subnet Elastic IP address RDS EC2 グローバルIPアドレスを持たないホストへのアクセスローカルから検証環境のDBにアクセス出来ないんですけどインターネット経由でアクセス出来ないそらそーや

Slide 24

Slide 24 text

24 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～プライベートIPアドレス～ ✓ オフィスや家庭内等の拠点内の通信に利用される ✓ インターネット上での通信には利用できない ✓ 以下のアドレス帯が使われる • 10.0.0.0/8 • 172.16.0.0/12 • 192.168.0.0/16 プライベートIPアドレス（IPv4）

Slide 25

Slide 25 text

Slide 26

Slide 26 text

26 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～プライベートIPアドレス～世界中のプライベート空間でプライベートIPアドレスは使われている BTC 〇〇商事 192.168.32.20 192.168.32.21 192.168.32.21 192.168.32.20 192.168.32.22 通信が発生しなければ知らないところで同じプライベートIPが使われていても問題ない同じネットワーク空間に所属するホストは、プライベートIPアドレスが重複しないよう割り当てられている

Slide 27

Slide 27 text

27 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～プライベートIPアドレス～プライベートIPアドレスは勝手に決めても大丈夫?! オンプレミス BTCのVPC A社のVPC 192.168.32.20 192.168.32.20 192.168.32.20 ✓ オンプレミスとは被らないようにする ✓ データ連携をするシステムと被らないようにする要件定義時にデータ連携先のシステムの有無や連携方法を洗い出しておきましょう。

Slide 28

Slide 28 text

28 Copyright © 2022 BTC Corporation All Rights Reserved. Public subnet ３．ネットワーク基本用語～NAPTってなに？～内部と外部のIPアドレスをn:1で紐づけて変換 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 ✓ グローバルIPアドレスは数に限りがあり、たくさん使えない ✓ 内部ネットワークの複数のサーバが、外部にアクセスする際に利用するIPアドレスを1つにすること Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Private subnet Public subnet Elastic IP address

Slide 29

Slide 29 text

Slide 30

Slide 30 text

30 Copyright © 2022 BTC Corporation All Rights Reserved. ネットワーク A ３．ネットワーク基本用語～サブネットって何？～異なるネットワークに属するサーバの通信のお作法 ✓ ルーティングはネットワーク毎に集約されるネットワーク B ルータA ルータB サーバA サーバB データをサーバBに送って。サーバBが所属するネットワークはBか。管轄のルータBにとりあえず送ろう。サーバBね、知ってる。

Slide 31

Slide 31 text

31 Copyright © 2022 BTC Corporation All Rights Reserved. 札幌オフィス３．ネットワーク基本用語～サブネットって何？～サブネットとは、ネットワークを分割する単位東京オフィス 2階フロア DX事業部 3階フロア管理本部 1階フロア DX事業部 1階フロア RPA事業部 172.19.1.0 ～ 172.19.1.255 172.19.2.0 ～ 172.19.2.255 172.19.3.0 ～ 172.19.3.255 172.19.4.0 ～ 172.19.4.255 利用するIPアドレス利用するIPアドレス利用するIPアドレス利用するIPアドレス 172.19.1.0 ～ 172.19.2.255 172.19.3.0 ～ 172.19.4.255

Slide 32

Slide 32 text

32 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～CIDRって何？～ CIDR ＝ IPアドレス＋サブネットマスク ✓ 複数のホストをIPアドレスでグループ化したいときに使う 192.168.1.64 / 26 CIDR表記参照：https://www.softel.co.jp/labs/tools/network/ 192.168.1.64 ~ 192.168.1.127 の64個のIPアドレス

Slide 33

Slide 33 text

33 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～CIDRって何？～ CIDR ＝ IPアドレス＋サブネットマスク ✓ ホストが所属するネットワークがIPアドレスからわかる 192.168.1.65 / 26 1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 IPアドレスサブネットマスク（※） ※0を掛けて演算結果を0にすることをマスクすると言います IPアドレスを10進数に変更サブネットマスクの1の数を”/”の右に書く AND 1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 192.168.1.64 ネットワークアドレスがわかる 1がネットワーク部、0がホスト部

Slide 34

Slide 34 text

34 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～CIDRって何？～ CIDRによりネットワークを管理するメリット ✓ クラスに縛られずに柔軟にサブネットを作ることが出来る東京オフィス札幌オフィス関西オフィス 2階フロア DX事業部 3階フロア管理本部 1階フロア DX事業部 1階フロア RPA事業部 172.19.1.0 ～ 172.19.1.255 172.19.2.0 ～ 172.19.2.255 172.19.3.0 ～ 172.19.3.255 172.19.4.0 ～ 172.19.4.255 利用するIPアドレス利用するIPアドレス利用するIPアドレス利用するIPアドレス ↓ ↓ 172.19.1.0/24 172.19.2.0/24 ↓ ↓ 172.19.3.0/24 172.19.4.0/24

Slide 35

Slide 35 text

35 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～CIDRって何？～ 10.0.21.8～10.0.21.11の4つのIPアドレスからのみアクセスを許容したいときのSecurity Groupの設定は？サブネット 10.0.21.0/27 10.0.21.8、10.0.21.9、10.0.21.10、 10.0.21.11 ひとつずつ許可している →ルート集約出来ていない為、処理が遅くなる 10.0.21.8～10.0.21.11

Slide 36

Slide 36 text

36 Copyright © 2022 BTC Corporation All Rights Reserved. ３．ネットワーク基本用語～CIDRって何？～ 10.0.21.8～10.0.21.11の4つのIPアドレスからのみアクセスを許容したいときのSecurity Groupの設定は？サブネット 10.0.21.0/27 10.0.21.8～10.0.21.11 10.0.21.8/30で表される 10.0.21.0/27内の他のサーバからはアクセス出来ない 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 サブネットマスクホスト部の0が2個の場合は2^2=4

Slide 37

Slide 37 text

Slide 38

Slide 38 text

Slide 39

Slide 39 text

Slide 40

Slide 40 text

40 Copyright © 2022 BTC Corporation All Rights Reserved. Public subnet ４．AWSのネットワーク系のサービス～パブリックサブネット～パブリックサブネットとは ✓ インターネットゲートウェイからのルーティングを許可したサブネット ✓ パブリックサブネットにWebサーバを配置することで、ユーザからアクセスできるようになる VPC Internet gateway

Slide 41

Slide 41 text

41 Copyright © 2022 BTC Corporation All Rights Reserved. Public subnet ４．AWSのネットワーク系のサービス～プライベートサブネット～プライベートサブネットとは ✓ インターネットゲートウェイからのルートを持たないサブネット ✓ インターネットから直接アクセスさせたくないサーバ（DB等）を配置する VPC Internet gateway Private subnet

Slide 42

Slide 42 text

42 Copyright © 2022 BTC Corporation All Rights Reserved. Public subnet 【再掲】３．ネットワーク基本用語～NAPTってなに？～内部と外部のIPアドレスをn:1で紐づけて変換 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 ✓ グローバルIPアドレスは数に限りがあり、たくさん使えない ✓ 内部ネットワークの複数のサーバが、外部にアクセスする際に利用するIPアドレスを1つにすること Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Elastic IP address EC2 Private subnet Public subnet Elastic IP address

Slide 43

Slide 43 text

43 Copyright © 2022 BTC Corporation All Rights Reserved. Public subnet ４．AWSのネットワーク系のサービス～NATゲートウェイ～ NATゲートウェイとは ✓ インターネットからはアクセスさせたくないけどインターネット上へアクセスしたいサーバのIP アドレスをグローバルIPアドレスへNAPTするサービス VPC Internet gateway Private subnet

Slide 44

Slide 44 text

44 Copyright © 2022 BTC Corporation All Rights Reserved. ４．AWSのネットワーク系のサービス～Security Group～ Security Groupとは ✓ IPアドレス・ポート単位で通信制御を行う仮想ファイアウォール ✓ Application Load Balancer（ロードバランサー）、EC2（サーバ）、RDS（DB サーバ）等に設定することが出来る Security group Security group Security group Webサーバたちテスト用のサーバ

Slide 45

Slide 45 text

Slide 46

Slide 46 text

46 Copyright © 2022 BTC Corporation All Rights Reserved. ４．AWSのネットワーク系のサービス～ルートテーブル～ルートテーブルとは ✓ サブネット単位で制御する（EC2、RDS等のサービス・サーバ単位ではない） ✓ NATゲートウェイ、インターネットゲートウェイ等の設定の際はルートテーブルを触る ✓ Direct ConnectやVPC Peeringの設定もまずはルートテーブルから触る VPC VPC VPC Corporate data center AWS Direct Connect

Slide 47

Slide 47 text

47 Copyright © 2022 BTC Corporation All Rights Reserved. ４．AWSのネットワーク系のサービス～構築時のポイント～ VPCのCIDR ✓ お客さんや、IF先のシステムと被らないようにするサブネットのCIDR ✓ 用途毎に作成する ✓ 必要最低限の大きさに ✓ 予備があると◎ ✓ 5つのIPアドレスはAWS占有 Public subnet VPC Public subnet Private subnet Private subnet Private subnet Private subnet Private subnet Private subnet 10.0.21.0/24 予備 10.0.21.0/27 10.0.21.32/27 10.0.21.64/28 10.0.21.80/28 10.0.21.96/28 10.0.21.112/28 10.0.21.128/28 10.0.21.144/28 ロードバランサ用アプリ用 DB用踏み台サーバ用最小単位は/28 ※ロードバランサ用のサブネットは制約上/27で作る

Slide 48

Slide 48 text

48 Copyright © 2022 BTC Corporation All Rights Reserved. ４．AWSのネットワーク系のサービス～構築時のポイント～パブリックサブネット ✓ ロードバランサとNATゲートウェイのみ配置プライベートサブネット ✓ DBやアプリを配置 Public subnet VPC Public subnet Private subnet Private subnet Private subnet Private subnet Private subnet Private subnet 10.0.21.0/24 ロードバランサ用アプリ用 DB用踏み台サーバ用 ALB ALB NAT gateway NAT gateway コンテナコンテナ Aurora ElastiCache Aurora ElastiCache Webアプリケーションもロードバランサを経由してインターネットからのアクセスを間接的に受け付けることが出来るエンドユーザ

Slide 49

Slide 49 text

Slide 50

Slide 50 text

50 Copyright © 2022 BTC Corporation All Rights Reserved. ５．AWSのIAMの話～IAMロールとは～ ✓ EC2がAWSのAPI（logs:PutLogEvents）を使って、ログをCloudWatchに格納する ✓ Fargate上のコンテナがAWSのAPI（s3:PutObject）を使って、S3にファイルをアップロードする ✓ LambdaがAWSのAPI（dynamodb:PutItem）を使って、DynamoDBにデータを格納する ✓ EC2のログをCloudWatchに格納する ✓ Fargate上のコンテナから、S3にファイルをアップロードする ✓ LambdaからDynamoDBにデータを格納する AWSサービスがAWSのAPIを利用するってどういうこと?! AWSサービスがAWSのAPIを実行して別のAWSサービスを操作したいときにIAMロールを使います

Slide 51

Slide 51 text

51 Copyright © 2022 BTC Corporation All Rights Reserved. 参考図書 ✓ みやたひろし, インフラ／ネットワークエンジニアのためのネットワーク技術＆設計入門, SB Creative, 2013年. ✓ 福永勇二, ネットワークがよくわかる教科書, SB Creative, 2018年. ✓ 渡邊結衣・佐藤新太・藤原和典, DNSがよくわかる教科書, SB Creative, 2018年.