歴史と背景から改めて振り返るVPC

Transcript

1. 歴史と背景から改めて振り返るVPC Shota SHIRATORI(NW-JAWS) #nw_jaws ※本資料に記載の内容は2024年8月29日時点のものとなります

2. 自己紹介 所属 NTT東日本 白鳥 翔太 業務 プロダクト開発シニアスペシャリスト（クラウド関連プロダクト） 経歴 2009年入社 ネットワークエンジニア～セールス～現職

   保有資格 しらとり しょうた 好きなAWSサービス Amazon S3 ネットワークスペシャリスト 情報セキュリティスペシャリスト 2020/2021/2022 APN AWS Top Engineers 2023/2024 Japan AWS Top Engineers 2023/２０２４ Japan AWS All Certifications Engineers 2024 AWS Ambassadors 好きな言葉 Knowledge is Power./Insist on the Highest Standards. #nw_jaws

3. 本日お話しすること・しないこと • 本日お話しすること • 背景と歴史からAmazon VPCのサービスを振り返る • 本日お話ししないこと • 機能ベースでのVPCの理解

   • 周辺のネットワーク系サービスの詳細（Transit Gateway・Route 53など） • AWS上のネットワーク設計 #nw_jaws

4. 今日話した内容 • Speaker Deckにもアップしますし、当社HPコラムでも公開予定です https://business.ntt-east.co.jp/content/cloudsolution/column.html #nw_jaws

5. 本題 #nw_jaws

6. 今日現在、こんなネットワークも（もっと複雑なものも）つくれてしまう。。。 https://github.com/aws-samples/build-enforce-network-security-multi-account-environments/blob/main/images/full-architecture.png

7. #nw_jaws

8. VPCについてClaude 3.5 Sonnet先生に訊いてみた 問：Amazon VPCの特徴と機能をSingle PowerPointで説明してください。 #nw_jaws スライド1: タイトル •「Amazon

   VPC (Virtual Private Cloud) の特徴と機能」 スライド2: Amazon VPCとは •AWSクラウド内の論理的に分離されたネットワーク環境 •ユーザーが定義可能な仮想ネットワーク •AWSリソースを安全に稼働させるための基盤 スライド3: 主な特徴 •カスタマイズ可能なIP範囲 •サブネットの作成と管理 •ルートテーブルによるトラフィック制御 •複数の接続オプション（インターネットゲートウェイ、VPNなど） スライド4: セキュリティ機能 •セキュリティグループ：インスタンスレベルのファイアウォール •ネットワークACL：サブネットレベルのファイアウォール •フローログ：ネットワークトラフィックの監視 スライド5: ネットワーク設計 •パブリックサブネットとプライベートサブネットの作成 •アベイラビリティーゾーン間でのリソース分散 •VPCピアリングによる複数VPC間の接続 回答：こちらはAmazon VPCの特徴と機能に関するPowerPointプレゼンテーションの概要を日本語で表現したものです。 スライド6: 高度な機能 •VPCエンドポイント：AWSサービスへのプライベート接続 •Transit Gateway：複数VPCの中央ハブ •AWS PrivateLink：VPC間のプライベート接続 スライド7: 利点 •セキュリティの強化 •ネットワーク設計の柔軟性 •コスト効率の向上 •スケーラビリティの確保 スライド8: ユースケース •ウェブアプリケーションのホスティング •ハイブリッドクラウド環境の構築 •ディザスタリカバリの設計 •マルチティアアプリケーションの展開 スライド9: まとめ •Amazon VPCはAWS環境の基盤となるネットワークサービス •セキュリティ、柔軟性、スケーラビリティを提供 •様々なビジネスニーズに対応可能な機能群

9. VPCについてClaude 3.5 Sonnet先生に訊いてみた 問：Amazon VPCの特徴と機能をSingle PowerPointで説明してください。 #nw_jaws スライド1: タイトル •「Amazon

   VPC (Virtual Private Cloud) の特徴と機能」 スライド2: Amazon VPCとは •AWSクラウド内の論理的に分離されたネットワーク環境 •ユーザーが定義可能な仮想ネットワーク •AWSリソースを安全に稼働させるための基盤 スライド3: 主な特徴 •カスタマイズ可能なIP範囲 •サブネットの作成と管理 •ルートテーブルによるトラフィック制御 •複数の接続オプション（インターネットゲートウェイ、VPNなど） スライド4: セキュリティ機能 •セキュリティグループ：インスタンスレベルのファイアウォール •ネットワークACL：サブネットレベルのファイアウォール •フローログ：ネットワークトラフィックの監視 スライド5: ネットワーク設計 •パブリックサブネットとプライベートサブネットの作成 •アベイラビリティーゾーン間でのリソース分散 •VPCピアリングによる複数VPC間の接続 回答：こちらはAmazon VPCの特徴と機能に関するPowerPointプレゼンテーションの概要を日本語で表現したものです。 スライド6: 高度な機能 •VPCエンドポイント：AWSサービスへのプライベート接続 •Transit Gateway：複数VPCの中央ハブ •AWS PrivateLink：VPC間のプライベート接続 スライド7: 利点 •セキュリティの強化 •ネットワーク設計の柔軟性 •コスト効率の向上 •スケーラビリティの確保 スライド8: ユースケース •ウェブアプリケーションのホスティング •ハイブリッドクラウド環境の構築 •ディザスタリカバリの設計 •マルチティアアプリケーションの展開 スライド9: まとめ •Amazon VPCはAWS環境の基盤となるネットワークサービス •セキュリティ、柔軟性、スケーラビリティを提供 •様々なビジネスニーズに対応可能な機能群 ・AWS内に論理的に分離されたネットワー ク環境を作れる ・ビジネスニーズに応じてきめ細やかなネッ トワークやセキュリティ設定ができる ・外部ネットワークとの接続も柔軟にできる

10. AMAZON VPCの歴史 • 2009年8月にLimited Beta版がリリース #nw_jaws https://aws.amazon.com/jp/about-aws/whats-new/2009/08/26/introducing-amazon-virtual-private-cloud/ ちなみに同時期にリリースされたサービス「AWS MFA」

11. VPCにおけるMVPとは？ #nw_jaws ・独立性のある、オンプレミスからのネッ トワーク拡張 • シンプルなルートテーブルの管理 • AWSがアンダーレイで使用しているIP アドレスを意識させない •

    必要帯域=1Gbps（当時は十分だっ た） ※現在は3200Gbps（P5 EFAv2利 用）→生成AIの学習のため、ローカルの 必要帯域が増加 ・セキュリティのケイパビリティを拡張 • 他ユーザの通信と混ざらないこと • Firewall他のセキュリティ機能は一旦 オンプレミス側で実現 皆さんおなじみのIGWも、SecurityGroupもMulti-AZもない状態

12. VPCリリース当初にできたこと Customer gateway VPN gateway AWS Cloud Virtual private cloud

    (VPC) Corporate data center Amazon Elastic Compute Cloud (Amazon EC2) ※リリース文からの推測も含む ※自動IPアドレスの割り当てのみ

13. VPCの機能拡張 #nw_jaws • 機能拡張の歴史（一部） https://aws.amazon.com/jp/blogs/news/webinar-bb-amazon-vpc-advanced-2019/ https://aws.amazon.com/jp/new/ ※Amazon VPCでフィルタ 2009 Aug

    •Limited Beta Dec •Unlimited Beta 2010 Feb •EBS Support Sep •マネージメントコンソー ル(MC) 2011 Mar •IGW, EIP, NATinstance, NACL, SG Aug •Multi-AZ Sep •DirectConnect(DX )&東京リージョンで VPC対応 2012 Jun •Multiple IP Jul •Internal ELB 2013 Oct •DXのMulti- Connect Dec •Default VPC 2014 Mar •VPC peering Sep •Route 53 Private host zone 2015 Jun •VPC flow logs Dec •NAT gateway 2016 Jul •DNS for VPC peering Aug •RDS in your VPC Dec •IPv6 2017 Aug •Add CIDRs Nov •PrivateLink •Inter-Region VPC Peering 2018 Oct •BYOIP Nov •Agentless network assessments •Transit Gateway Dec •VPC Sharing •ClientVPN 2019 Jul •VPC Traffic Mirroring Dec •Local Zones •VPC Ingress Routing 2020 May •BYOIPv6 Nov •Network Firewall Dec •Reachability Analyzer 2021 Jul •Private NAT Gateway Nov •DNS64/NAT64 Dec •Network Access Analyzer •IPAM •Cloud WAN 2022 Mar •Multiple CIDRs on IPv6 Nov •VPC Lattice 2023 Nov •Multi-VPC ENI 2024 May •Route 53 Profiles

14. VPCの機能拡張 #nw_jaws • 機能拡張の歴史（一部） https://aws.amazon.com/jp/blogs/news/webinar-bb-amazon-vpc-advanced-2019/ https://aws.amazon.com/jp/new/ ※Amazon VPCでフィルタ 2009 Aug

    •Limited Beta Dec •Unlimited Beta 2010 Feb •EBS Support Sep •マネージメントコンソー ル(MC) 2011 Mar •IGW, EIP, NATinstance, NACL, SG Aug •Multi-AZ Sep •DirectConnect(DX )&東京リージョンで VPC対応 2012 Jun •Multiple IP Jul •Internal ELB 2013 Oct •DXのMulti- Connect Dec •Default VPC 2014 Mar •VPC peering Sep •Route 53 Private host zone 2015 Jun •VPC flow logs Dec •NAT gateway 2016 Jul •DNS for VPC peering Aug •RDS in your VPC Dec •IPv6 2017 Aug •Add CIDRs Nov •PrivateLink •Inter-Region VPC Peering 2018 Oct •BYOIP Nov •Agentless network assessments •Transit Gateway Dec •VPC Sharing •ClientVPN 2019 Jul •VPC Traffic Mirroring Dec •Local Zones •VPC Ingress Routing 2020 May •BYOIPv6 Nov •Network Firewall Dec •Reachability Analyzer 2021 Jul •Private NAT Gateway Nov •DNS64/NAT64 Dec •Network Access Analyzer •IPAM •Cloud WAN 2022 Mar •Multiple CIDRs on IPv6 Nov •VPC Lattice 2023 Nov •Multi-VPC ENI 2024 May •Route 53 Profiles 企業の独立した内部ネットワーク 環境で必要な機能の拡張 外部ネットワークとの接続に必要 な機能の拡張 大規模対応（マルチアカウント・マ ルチリージョン・ハイブリッド）

15. 企業の独立した内部ネットワーク環境で必要なこと(1/2) • 他のユーザの通信と混ざらないこと、ネットワークの到達性を制御できること パケットレベルの通信制御 パケットの気持ちになって辿るAmazon VPC のルーティング(AWS Summit Online 2020)

    https://pages.awscloud.com/rs/112-TZM-766/images/AWS-08_AWS_Summit_Online_2020_NET01.pdf IPアドレスの管理（CIDRの払い出し範囲の設定）と通信経路の制御 →デュアルスタックVPC →ルートテーブル →サブネット →Security Group/NACL →VPCの出口の制御 IGW/VGW/VPCエンドポイント(GWエンドポイント/IFエンドポイント)/NAT Gateway/Egress Only Gateway（IPv6） • 内部ネットワーク設定を簡単に実現できる、もしくは意識しないで作れること →帯域設計 →可用性設計(リージョン選択/Multi-AZ) →DHCPオプションセット/DNS(Route 53 Resovler)/NTP(TimeSync) #nw_jaws

16. 企業の独立した内部ネットワーク環境で必要なこと(2/2) • ネットワークのトラブルシューティングを迅速に行えること ネットワーク監視ができること →リソースレベルの監視(CloudWatch) →インターネットの問題を監視(CloudWatch Internet Monitor) • ネットワーク解析ができること

    →パケットレベルでの解析(VPC Traffic Mirroring) →ログレベルの解析(VPC Flow logs) →トラブルシューティング(Reachability Analyzer) • ネットワークのセキュリティを確保できること 不審なネットワークを検知できること(GuardDuty) ネットワークの経路の正当性を確認できること(Network Access Analyzer) #nw_jaws

17. 外部ネットワークとの接続に必要なこと • AWSにある他ネットワークと接続できること →VPC Peering(Point-to-Point) →Privatelink(Point-to-Multipoint) • VPCとAWS外のネットワークをWAN接続できること VGWと接続サービス →Site-to-Site

    VPN(IPSec VPN) →Direct Connect/Direct Connect Gateway • 端末・ユーザなど細かいレベルでAWS接続を制御できること →Client VPN(SSL-VPN) →Verified Access ※時代の変化であまり聞かれなくなったパターン サードパーティ製のルータアプライアンスを利用したVPN接続 （AWS側のリージョン間通信やTransit Gateway/Cloud WANで代替） #nw_jaws

18. （参考）大規模対応 • マルチVPC・マルチアカウント・ハイブリッド環境のネットワーク環境を整えられること ネットワーク接続の大規模化 →Transit Gateway/Cloud WAN IPアドレス管理 →Shared VPC

    →IPAM インバウンド方向の通信制御の一元化 →VPC Ingress Routing アウトバウンド方向の通信制御の一元化 →Gateway LoadBalancer ネットワーク監視の一元化 →Network Monitor/Network Manager ガバナンス管理 →Organizations（SCP）、Control Tower #nw_jaws • Building a Scalable and Secure Multi-VPC AWS Network Infrastructure(英語推奨) https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure- multi-vpc-network-infrastructure/welcome.html

19. VPCの料金面で勘違いしがちなこと • ネットワークの使用料≠VPCの利用料金 VPCの利用料金は基本料金が無料、オプション機能に課金 VPCのオプションで課金されるもの →NAT Gateway →IPAM(Advanced Tier) →VPC

    Traffic Mirroring →パブリックIPv4 • その他のネットワーク関係での課金対象例 AZ間/リージョン間のデータ転送料→EC2など AWS外へのデータ転送料→VPN/Direct Connect Privatelinkの使用料 Transit Gatewayのアタッチメント #nw_jaws

20. もっとVPCやネットワークについて勉強し たい方向け • Blackbelt（Amazon VPC） https://d1.awsstatic.com/webinars/jp/pdf/services/20201021_AWS-BlackBelt- VPC.pdf • ネットワークの勉強方法を聞いてみた。（Builder’s flash）

    https://aws.amazon.com/jp/builders-flash/202106/way-to-learn-network/ 中～上級向け（ANSの試験を受けたいフェーズ） • Blackbelt（Amazon VPC Advanced） https://aws.amazon.com/jp/blogs/news/webinar-bb-amazon-vpc-advanced- 2019/ • Building a Scalable and Secure Multi-VPC AWS Network Infrastructure(英語推奨) https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure- multi-vpc-network-infrastructure/welcome.html • パケットの気持ちになって辿るAmazon VPC のルーティング(AWS Summit Online 2020) https://pages.awscloud.com/rs/112-TZM-766/images/AWS- 08_AWS_Summit_Online_2020_NET01.pdf #nw_jaws

21. まとめ • どんなにネットワークが複雑化しても、ネットワークはVPCを中心に考える • 歴史と背景から個別サービスについて学ぶ場合は、リリース文を読んで MVPを理解する →一度に全部覚えるのではなく、小さく始めて大枠で理解する • VPCに求められる要件は、下記の3つで分けて考える •

    内部ネットワーク構築に必要なもの • 外部とのネットワーク接続に必要なもの • マルチアカウント・ハイブリッド環境など、大規模化に向けて必要なもの #nw_jaws