初心者向けユースケースで学ぶVPC

by Kato Ryo

Slide 1

Slide 1 text

初心者向け　ユースケースで学ぶVPC

Slide 2

Slide 2 text

資格・スキル: AWS: SAA, SAP HV: vSphere, vSAN Windows: AD(GPO), DHCP, WSUS, MDT Linux: CentOS, Amazon Linux, Apache, Postfix, WebFilter NW: VyOS, FortiGate, L2SW 経歴: 他業界→オンプレSIer→Classmethod 自己紹介仕事社名: クラスソッド株式会社所属: AWS事業部ソリューションアーキテクト

Slide 3

Slide 3 text

VPCって何? ネットワーク&セキュリティ論理的に分離されたネットワーク ● AWSによって管理されている ○ ハードの可用性の考慮不要 ● ユーザーが制御可能 ○ 任意のIPアドレスを作成 ○ サブネットの作成 ○ ルートテーブル　ネットワークゲートウェイの設定 ● IPv4 & IPv6 のサポート ○ DualStack可能

Slide 4

Slide 4 text

ユースケース1

Slide 5

Slide 5 text

ユースケース1 パブリックアクセス可能なネットワーク 1. リージョン 2. アベイラビリティーゾーン 3. EC2 & EIP 4. インターネットゲートウェイ 5. ルーティング

Slide 6

Slide 6 text

リージョンとアベイラビリティゾーン ● Availability Zone(AZ) ● 各AZは地理､電源､ネットワーク的に分離 ○ 他のAZに影響を与えないように ● 同一リージョン内のAZは低レイテンシ ○ 高速専用線で接続参考: https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-regions-availability-zones.html

Slide 7

Slide 7 text

サブネット ● VPC > AZ > サブネット a. AZをまたぐサブネットは作成不可 ● サブネット内のアドレス 5つは使用不可 a. .0: ネットワークアドレス b. .1: VPC Router c. .2: DNSサーバ d. .3: 将来の為に予約 e. .255: ブロードキャストアドレス ● ブロードキャスト通信不可参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4

Slide 8

Slide 8 text

Elastic IP Addresses ● EIP ● 静的IPv4アドレス ○ いわゆる固定IPアドレス ● アカウント内の別リソースに付け替え OK ● アドレスを連番や選んで取得はできない ● $0.005/1h→$3.6/1月 ● 起動中のEC2に関連付け中は無料 ○ 1つまで参考: https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html

Slide 9

Slide 9 text

VPC Router ● VPC内に暗黙的に存在する ● ルートテーブルに従って通信を制御する ● サブネットごとにルートテーブルが関連付けされている送信先ターゲット 10.0.0.0/16 local 0.0.0.0/0 igw-xxxxxxxx 送信先ターゲット 10.0.0.0/16 local public-subnet-routetable private-subnet-routetable igw-xxxxxxxx: インターネットゲートウェイ local: VPC内のこと参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html

Slide 10

Slide 10 text

インターネットゲートウェイ 1. ルートテーブルのターゲット a. デフォルトルート(0.0.0.0/0)へのターゲットとして使われることが多い 2. プライベートIPとパブリックIPをNAT a. プライベート/パブリックどちら側からも通信を開始可能 ● 帯域制限なし ● 単一障害点にならない ○ 水平にスケールされている参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Internet_Gateway.html

Slide 11

Slide 11 text

ユースケース2

Slide 12

Slide 12 text

ユースケース2 パブリック&プライベートなネットワーク 1. NATゲートウェイ

Slide 13

Slide 13 text

NATゲートウェイ 1. ルートテーブルのターゲット a. デフォルトルート(0.0.0.0/0)へのターゲットとして使われることが多い 2. プライベートIPとパブリックIPをNAT a. プライベート側からのみ通信を開始可能 b. ステートフル ● EIPの割り当てが必要 ● 帯域は10Gbps ● 必要に応じて冗長化する参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html

Slide 14

Slide 14 text

セキュリティ

Slide 15

Slide 15 text

セキュリティグループ ● インスタンスに対する通信ポリシー ● 暗黙の拒否､ルールの許可のみサポート ● 送信元をIPアドレス範囲､セキュリティグループで指定 ● 通信内容をプロトコル・ポート番号で指定 ● セキュリティグループは複数のインスタンスに割り当て可能 ● ステートフル ● ルール評価に順番はない参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

Slide 16

Slide 16 text

ネットワークACL ● サブネットに対する通信ポリシー ● ルールの許可・拒否のみをサポート ● 送信元をIPアドレス範囲で指定 ● 通信内容をプロトコル・ポート番号で指定 ● ステートレス ● 順番にルールを評価する参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_ACLs.html https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html

Slide 17

Slide 17 text

SG, NACLの関係図

Slide 18

Slide 18 text

ぜひVPCに触って AWSの世界に飛び込もう!

Slide 19

Slide 19 text

ありがとうございましたクラスメソッド株式会社 AWS事業部加藤諒参考資料 ● AWS Black Belt Online Seminar 2017 Amazon VPC ● Amazon VPC とは?