Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS研修 VPC

Recruit
August 17, 2021

 AWS研修 VPC

2021年度リクルート エンジニアコース新人研修の講義資料です

Recruit

August 17, 2021
Tweet

More Decks by Recruit

Other Decks in Technology

Transcript

  1. Amazon VPC(Virtual Private Network) AWS内部に論理的に分離された仮想ネットワークを構築するためのサービス 10 Internet プロダクトAのVPC プロダクトBのVPC プロダクトCのVPC

    …… プロダクトXのVPC …… プロダクトAのチーム プロダクトBのチーム プロダクトCのチーム プロダクトXのチーム
  2. Amazon VPC(Virtual Private Network) AWS内部に論理的に分離された仮想ネットワークを構築するためのサービス 11 Internet プロダクトAのVPC プロダクトBのVPC プロダクトCのVPC

    …… プロダクトXのVPC …… プロダクトAのチーム プロダクトBのチーム プロダクトCのチーム プロダクトXのチーム
  3. Amazon VPC(Virtual Private Network) AWS内部に論理的に分離された仮想ネットワークを構築するためのサービス 12 Internet プロダクトAのVPC プロダクトBのVPC プロダクトCのVPC

    …… プロダクトXのVPC …… プロダクトAのチーム プロダクトBのチーム プロダクトCのチーム プロダクトXのチーム VPC内部の変更であればチームごとに⾃律的に⾏うことができます※ ※ 組織ポリシー等によって程度には差があります
  4. Amazon VPCの基本的な構成要素 • VPC • サブネット • ネットワークACL • ゲートウェイ

    • ルートテーブル • VPCエンドポイント 13 これらの要素を使ってコンピューティングリソースを配置するためのネットワークを構成する※ ※ VPCと関係なく設置できるサービスも存在する
  5. 2. サブネットを作成 アベイラビリティゾーンごとにサブネットを作成します 16 Region ap-northeast-1(Tokyo) VPC 10.0.0.0/16 Availability Zone

    ap-northeast-1a Availability Zone ap-northeast-1c Availability Zone ap-northeast-1d Public subnet 10.0.0.0/24 Public subnet 10.0.1.0/24 Public subnet 10.0.2.0/24 Private subnet 10.0.3.0/24 Private subnet 10.0.4.0/24 Private subnet 10.0.5.0/24 Database subnet 10.0.3.0/24 Database subnet 10.0.4.0/24 Database subnet 10.0.5.0/24
  6. Availability Zone ap-northeast-1a Availability Zone ap-northeast-1c Availability Zone ap-northeast-1d 2.

    サブネットを作成 アベイラビリティゾーンごとに作成して冗⻑性を担保します 17 Region ap-northeast-1(Tokyo) VPC 10.0.0.0/16 Public subnet 10.0.0.0/24 Public subnet 10.0.1.0/24 Public subnet 10.0.2.0/24 Private subnet 10.0.3.0/24 Private subnet 10.0.4.0/24 Private subnet 10.0.5.0/24 Database subnet 10.0.3.0/24 Database subnet 10.0.4.0/24 Database subnet 10.0.5.0/24
  7. 3. ネットワークACLを作成 サブネットにネットワークACLを付与してサブネット単位での通信を制御します (ネットワークACLの詳細については、補⾜資料を参照) 18 VPC 10.0.0.0/16 Public subnet 10.0.0.0/24

    Public subnet 10.0.1.0/24 Public subnet 10.0.2.0/24 Private subnet 10.0.3.0/24 Private subnet 10.0.4.0/24 Private subnet 10.0.5.0/24 Database subnet 10.0.3.0/24 Database subnet 10.0.4.0/24 Database subnet 10.0.5.0/24
  8. 4.1. インターネットゲートウェイを作成 インターネットゲートウェイを作成してVPCとインターネットを接続します 19 VPC 10.0.0.0/16 Public subnet 10.0.0.0/24 Public

    subnet 10.0.1.0/24 Public subnet 10.0.2.0/24 Private subnet 10.0.3.0/24 Private subnet 10.0.4.0/24 Private subnet 10.0.5.0/24 Database subnet 10.0.3.0/24 Database subnet 10.0.4.0/24 Database subnet 10.0.5.0/24 Internet gateway Internet
  9. 4.2. NATゲートウェイを作成 NATゲートウェイを作成します 20 VPC 10.0.0.0/16 Public subnet 10.0.0.0/24 Public

    subnet 10.0.1.0/24 Public subnet 10.0.2.0/24 Private subnet 10.0.3.0/24 Private subnet 10.0.4.0/24 Private subnet 10.0.5.0/24 Database subnet 10.0.3.0/24 Database subnet 10.0.4.0/24 Database subnet 10.0.5.0/24 Internet gateway Internet
  10. 5. ルートテーブルを作成 サブネットごとにルートテーブルを作成(プライベートサブネットがNATゲート ウェイを介してインターネットと通信) 22 VPC 10.0.0.0/16 Public subnet 10.0.0.0/24

    Private subnet 10.0.3.0/24 Database subnet 10.0.3.0/24 Internet gateway Internet NAT gateway 0.0.0.0/0 0.0.0.0/0 パブリックサブネットからは 0.0.0.0/0はインターネット ゲートウェイと直接接続 プライベート・ データベースサブネットからは 0.0.0.0/0宛通信は NATゲートウェイを介して通信
  11. VPC 10.0.0.0/16 6. (オプション)VPCエンドポイントを作成 VPC内のリソースがAWSサービスと通信する際にインターネットを経由したくな い場合はVPCエンドポイントを経由して通信します(インターネットとの通信が禁⽌されている場合などに利⽤) 23 Private subnet 10.0.3.0/24

    Public subnet 10.0.0.0/24 S3 Bucket VPCエンドポイントなしの場合 インターネット経由でS3などのAWSサービスにアクセス VPCエンドポイントありの場合 エンドポイント経由でS3などのAWSサービスにアクセス (インターネットアクセスが不要) VPC 10.0.0.0/16 Private subnet 10.0.3.0/24 Public subnet 10.0.0.0/24 S3 Bucket Endpoint
  12. AWS Cloud (補⾜) オンプレミスのデータセンターとの接続 VPCとオンプレミスのデータセンターの接続には専⽤線(Direct Connect)による接 続とVPN(Site-to-Site VPN)による接続があります 24 Gateway

    AWS Site-to-Site VPN Corporate data center VPC VPN gateway Customer gateway VPN connection AWS Direct Connect Corporate data center Direct Connect Location Direct Connect デバイス AWS Cloud 利⽤者 NW機器 (参考) https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-aws-direct-connect-123494683
  13. (補⾜) VPC間の接続 VPC間を接続する場合の⼿段としてTransitGateway・PrivateLink・VPCピアリン グの3つがあります 25 Transit Gateway AWS PrivateLink AWS

    Transit Gateway VPC VPC VPC VPC VPC Corporate data center Transit Gatewayを介して複数のVPCや オンプレミスネットワーク間を相互乗り⼊れ (参考) https://www.slideshare.net/AmazonWebServicesJapan/20191113-aws-black-belt-online-seminar-aws-transit-gateway (参考2) https://www.slideshare.net/AmazonWebServicesJapan/20190417-aws-black-belt-online-seminar-amazon-vpc-advanced VPC VPC Endpoints Endpoints VPC 多対⼀で共通サービスを提供する 場合に有効 VPC VPC Peering connection Peering connection VPCピアリング ⽐較的⼩規模な場合に利⽤
  14. (補⾜)ゲートウェイ型とインタフェース型VPCエンドポイントの違い 27 VPC Subnet Elastic Network Interface (ENI) VPCエンドポイント (インタフェース型)

    VPCエンドポイント (ゲートウェイ型) Amazon S3(例) 何らかの インスタンス Amazon Kinesis Data Streams(例) インタフェース型はサブネットにENI(ネットワークインタフェース) を⽣やす形です。サブネットに紐付ける形になります。 セキュリティグループでアクセス制御が可能です※。 ゲートウェイ型ではVPCに紐付ける形になります。 リソースポリシーでエンドポイントへのアクセス制御を⾏います※。 ※ なお、エンドポイントの裏側にいるAWSサービスへのアクセス権限をIAMプリンシパルが保有している必要があります。
  15. 参考資料 • Amazon Virtual Private Cloudユーザーガイド • https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-ug.pdf • 20201021

    AWS Black Belt Online Seminar Amazon VPC • https://www.slideshare.net/AmazonWebServicesJapan/20201021-aws-black-belt-online-seminar-amazon-vpc • 20190417 AWS Black Belt Online Seminar Amazon VPC Advanced • https://www.slideshare.net/AmazonWebServicesJapan/20190417-aws-black-belt-online-seminar-amazon-vpc-advanced • AWS Black Belt Online Seminar AWS Direct Connect • https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-aws-direct-connect- 123494683?ref=https://aws.amazon.com/ 28