AWS研修　VPC

Transcript

1. VPC 株式会社リクルート クラウドアーキテクトグループ

2. Webアプリケーションを動かす上で必要なものはなんだろう︖ 2 計算リソース

3. Webアプリケーションを動かす上で必要なものはなんだろう︖ 3 計算リソース ストレージ

4. Webアプリケーションを動かす上で必要なものはなんだろう︖ 4 計算リソース ストレージ ネットワーク

5. Webアプリケーションを動かす上で必要なものはなんだろう︖ 5 計算リソース ストレージ ネットワーク

6. Webアプリケーションを動かす上で必要なものはなんだろう︖ 6 計算リソース ストレージ ネットワーク

7. Webアプリケーションを動かす上で必要なものはなんだろう︖ 7 ネットワーク

8. Webアプリケーションを動かす上で必要なものはなんだろう︖ 8 ネットワーク Amazon VPC

9. Amazon VPC(Virtual Private Network) AWS内部に論理的に分離された仮想ネットワークを構築するためのサービス 9 Internet プロダクトAのVPC プロダクトBのVPC プロダクトCのVPC

   …… プロダクトXのVPC ……

10. Amazon VPC(Virtual Private Network) AWS内部に論理的に分離された仮想ネットワークを構築するためのサービス 10 Internet プロダクトAのVPC プロダクトBのVPC プロダクトCのVPC

    …… プロダクトXのVPC …… プロダクトAのチーム プロダクトBのチーム プロダクトCのチーム プロダクトXのチーム

11. Amazon VPC(Virtual Private Network) AWS内部に論理的に分離された仮想ネットワークを構築するためのサービス 11 Internet プロダクトAのVPC プロダクトBのVPC プロダクトCのVPC

    …… プロダクトXのVPC …… プロダクトAのチーム プロダクトBのチーム プロダクトCのチーム プロダクトXのチーム

12. Amazon VPC(Virtual Private Network) AWS内部に論理的に分離された仮想ネットワークを構築するためのサービス 12 Internet プロダクトAのVPC プロダクトBのVPC プロダクトCのVPC

    …… プロダクトXのVPC …… プロダクトAのチーム プロダクトBのチーム プロダクトCのチーム プロダクトXのチーム VPC内部の変更であればチームごとに⾃律的に⾏うことができます※ ※ 組織ポリシー等によって程度には差があります

13. Amazon VPCの基本的な構成要素 • VPC • サブネット • ネットワークACL • ゲートウェイ

    • ルートテーブル • VPCエンドポイント 13 これらの要素を使ってコンピューティングリソースを配置するためのネットワークを構成する※ ※ VPCと関係なく設置できるサービスも存在する

14. Amazon VPCの基本的な構成要素 14 VPC (VPC)サブネット ネットワークACL ゲートウェイ Internet gateway NAT

    gateway ルートテーブル VPCエンドポイント

15. Region ap-northeast-1(Tokyo) 1. VPCを作成 リージョンを指定の上、仮想ネットワークとしてIPレンジを指定してVPCを作成し ます 15 VPC 10.0.0.0/16

16. 2. サブネットを作成 アベイラビリティゾーンごとにサブネットを作成します 16 Region ap-northeast-1(Tokyo) VPC 10.0.0.0/16 Availability Zone

    ap-northeast-1a Availability Zone ap-northeast-1c Availability Zone ap-northeast-1d Public subnet 10.0.0.0/24 Public subnet 10.0.1.0/24 Public subnet 10.0.2.0/24 Private subnet 10.0.3.0/24 Private subnet 10.0.4.0/24 Private subnet 10.0.5.0/24 Database subnet 10.0.3.0/24 Database subnet 10.0.4.0/24 Database subnet 10.0.5.0/24

17. Availability Zone ap-northeast-1a Availability Zone ap-northeast-1c Availability Zone ap-northeast-1d 2.

    サブネットを作成 アベイラビリティゾーンごとに作成して冗⻑性を担保します 17 Region ap-northeast-1(Tokyo) VPC 10.0.0.0/16 Public subnet 10.0.0.0/24 Public subnet 10.0.1.0/24 Public subnet 10.0.2.0/24 Private subnet 10.0.3.0/24 Private subnet 10.0.4.0/24 Private subnet 10.0.5.0/24 Database subnet 10.0.3.0/24 Database subnet 10.0.4.0/24 Database subnet 10.0.5.0/24

18. 3. ネットワークACLを作成 サブネットにネットワークACLを付与してサブネット単位での通信を制御します (ネットワークACLの詳細については、補⾜資料を参照) 18 VPC 10.0.0.0/16 Public subnet 10.0.0.0/24

    Public subnet 10.0.1.0/24 Public subnet 10.0.2.0/24 Private subnet 10.0.3.0/24 Private subnet 10.0.4.0/24 Private subnet 10.0.5.0/24 Database subnet 10.0.3.0/24 Database subnet 10.0.4.0/24 Database subnet 10.0.5.0/24

19. 4.1. インターネットゲートウェイを作成 インターネットゲートウェイを作成してVPCとインターネットを接続します 19 VPC 10.0.0.0/16 Public subnet 10.0.0.0/24 Public

    subnet 10.0.1.0/24 Public subnet 10.0.2.0/24 Private subnet 10.0.3.0/24 Private subnet 10.0.4.0/24 Private subnet 10.0.5.0/24 Database subnet 10.0.3.0/24 Database subnet 10.0.4.0/24 Database subnet 10.0.5.0/24 Internet gateway Internet

20. 4.2. NATゲートウェイを作成 NATゲートウェイを作成します 20 VPC 10.0.0.0/16 Public subnet 10.0.0.0/24 Public

    subnet 10.0.1.0/24 Public subnet 10.0.2.0/24 Private subnet 10.0.3.0/24 Private subnet 10.0.4.0/24 Private subnet 10.0.5.0/24 Database subnet 10.0.3.0/24 Database subnet 10.0.4.0/24 Database subnet 10.0.5.0/24 Internet gateway Internet

21. 5. ルートテーブルを作成 サブネットごとにルートテーブルを作成(プライベートサブネットがNATゲート ウェイを介してインターネットと通信) 21 VPC 10.0.0.0/16 Public subnet 10.0.0.0/24

    Private subnet 10.0.3.0/24 Database subnet 10.0.3.0/24 Internet gateway Internet NAT gateway 0.0.0.0/0 0.0.0.0/0

22. 5. ルートテーブルを作成 サブネットごとにルートテーブルを作成(プライベートサブネットがNATゲート ウェイを介してインターネットと通信) 22 VPC 10.0.0.0/16 Public subnet 10.0.0.0/24

    Private subnet 10.0.3.0/24 Database subnet 10.0.3.0/24 Internet gateway Internet NAT gateway 0.0.0.0/0 0.0.0.0/0 パブリックサブネットからは 0.0.0.0/0はインターネット ゲートウェイと直接接続 プライベート・ データベースサブネットからは 0.0.0.0/0宛通信は NATゲートウェイを介して通信

23. VPC 10.0.0.0/16 6. (オプション)VPCエンドポイントを作成 VPC内のリソースがAWSサービスと通信する際にインターネットを経由したくな い場合はVPCエンドポイントを経由して通信します(インターネットとの通信が禁⽌されている場合などに利⽤) 23 Private subnet 10.0.3.0/24

    Public subnet 10.0.0.0/24 S3 Bucket VPCエンドポイントなしの場合 インターネット経由でS3などのAWSサービスにアクセス VPCエンドポイントありの場合 エンドポイント経由でS3などのAWSサービスにアクセス (インターネットアクセスが不要) VPC 10.0.0.0/16 Private subnet 10.0.3.0/24 Public subnet 10.0.0.0/24 S3 Bucket Endpoint

24. AWS Cloud (補⾜) オンプレミスのデータセンターとの接続 VPCとオンプレミスのデータセンターの接続には専⽤線(Direct Connect)による接 続とVPN(Site-to-Site VPN)による接続があります 24 Gateway

    AWS Site-to-Site VPN Corporate data center VPC VPN gateway Customer gateway VPN connection AWS Direct Connect Corporate data center Direct Connect Location Direct Connect デバイス AWS Cloud 利⽤者 NW機器 (参考) https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-aws-direct-connect-123494683

25. (補⾜) VPC間の接続 VPC間を接続する場合の⼿段としてTransitGateway・PrivateLink・VPCピアリン グの3つがあります 25 Transit Gateway AWS PrivateLink AWS

    Transit Gateway VPC VPC VPC VPC VPC Corporate data center Transit Gatewayを介して複数のVPCや オンプレミスネットワーク間を相互乗り⼊れ (参考) https://www.slideshare.net/AmazonWebServicesJapan/20191113-aws-black-belt-online-seminar-aws-transit-gateway (参考2) https://www.slideshare.net/AmazonWebServicesJapan/20190417-aws-black-belt-online-seminar-amazon-vpc-advanced VPC VPC Endpoints Endpoints VPC 多対⼀で共通サービスを提供する 場合に有効 VPC VPC Peering connection Peering connection VPCピアリング ⽐較的⼩規模な場合に利⽤

26. (補⾜) VPCとVPCサブネットとその他のリソースの関係 VPCと(VPC)サブネットを中⼼に据えたときのリソースの関係性は以下の様になります 26 VPC (VPC)サブネット NATゲートウェイ VPCエンドポイント (ゲートウェイ型) VPCエンドポイント

    (インタフェース型) インターネット ゲートウェイ ルートテーブル ネットワークACL

27. (補⾜)ゲートウェイ型とインタフェース型VPCエンドポイントの違い 27 VPC Subnet Elastic Network Interface (ENI) VPCエンドポイント (インタフェース型)

    VPCエンドポイント (ゲートウェイ型) Amazon S3(例) 何らかの インスタンス Amazon Kinesis Data Streams(例) インタフェース型はサブネットにENI(ネットワークインタフェース) を⽣やす形です。サブネットに紐付ける形になります。 セキュリティグループでアクセス制御が可能です※。 ゲートウェイ型ではVPCに紐付ける形になります。 リソースポリシーでエンドポイントへのアクセス制御を⾏います※。 ※ なお、エンドポイントの裏側にいるAWSサービスへのアクセス権限をIAMプリンシパルが保有している必要があります。

28. 参考資料 • Amazon Virtual Private Cloudユーザーガイド • https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-ug.pdf • 20201021

    AWS Black Belt Online Seminar Amazon VPC • https://www.slideshare.net/AmazonWebServicesJapan/20201021-aws-black-belt-online-seminar-amazon-vpc • 20190417 AWS Black Belt Online Seminar Amazon VPC Advanced • https://www.slideshare.net/AmazonWebServicesJapan/20190417-aws-black-belt-online-seminar-amazon-vpc-advanced • AWS Black Belt Online Seminar AWS Direct Connect • https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-aws-direct-connect- 123494683?ref=https://aws.amazon.com/ 28