Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「一つのVPCを作る」徹底討論

Shota Shiratori
March 03, 2025
160

 「一つのVPCを作る」徹底討論

JAWS Days 2025 登壇資料です。

Shota Shiratori

March 03, 2025
Tweet

More Decks by Shota Shiratori

Transcript

  1. 自己紹介 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_d 白鳥 翔太 しらとり しょうた Xアカウント @whitebird_sp

    保有資格 好きなAWSサービス Amazon S3/Amazon VPC ネットワークスペシャリスト 情報セキュリティスペシャリスト 2020/2021/2022 APN AWS Top Engineers 2023/2024 Japan AWS Top Engineers 2023/2024 Japan AWS All Certifications Engineers 2024 AWS Ambassadors 好きな言葉 Knowledge is Power./Insist on the Highest Standards. Any sufficiently advanced technology is indistinguishable from magic. 所属コミュニティ AWS Ambassador - Certification All-Star Award 2024 所属 東日本電信電話株式会社(NTT東日本)
  2. ⚫ 本セッションはチョークトーク形式の双方向型セッションとなります。 (チョークトークとは:対話型のセッション、学校の授業やゼミに近いもの) ⚫ 参加形式には、投票型のものと発言型のものがあります。 ⚫ 投票型 投票型はスライドに投影された選択肢の中から選択していただきます。 選択肢の中からご自身の考えに最も近いものに手を挙げてください。 ⚫

    発言型 発言型はモデレーターが質問をしますので、発言したい方は手を挙げてくだ さい。差されたら前にあるマイクをとり発言をしてください。 ⚫ 本セッションにおいては、絶対的な正解も誤答もありません。そこには討論の たたき台があるだけです。積極的な参加がセッションの質を上げます! 本セッションのルール ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_d ⇒参加者の皆さんの経験や知見を「Connecting the dots」しましょう!
  3. Amazon VPCとは(公式ドキュメントより) Amazon Virtual Private Cloud (Amazon VPC) を使用すると、論理的に隔離されてい る定義済みの仮想ネットワーク内で

    AWS リ ソースを起動できるようになる。 主な機能 ・仮想プライベートクラウド ・サブネット ・IPアドレス指定 ・ルーティング ・ゲートウェイとエンドポイント ・ピアリング接続 ・トラフィックミラーリング ・Transit Gateway ・VPCフローログ ・VPN接続 解説スライド:Amazon VPCについて ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_d https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/what-is-amazon-vpc.html
  4. 解説スライド:VPCを作るにあたり、考慮すべき事項 • VPC一つ作るにしても、Well-Architected Frameworkの考慮は必要 ◦ 具体的な考慮要素 ▪ リージョンの選択 ▪ アベイラビリティゾーンの選択

    ▪ テナンシーの選択 ▪ ネットワークアドレス設計 ▪ サブネット設計 ▪ ルーティング設計 ▪ DHCP/DNS/NTP設計 ▪ ファイヤーウォール・通信制御設定 ▪ VPC外部との接続設計 ▪ VPC運用設計 ▪ (VPCを含む)ネットワークにかかるコスト ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_d
  5. ⚫ あなたの所属する企業では伝統的な事業を行っていましたが、昨今の世の中の デジタル化の波に抗うことはできず、先日アマゾン ウェブ サービス(以下AWS) の導入を決めました。今後の展望として、データ分析基盤の構築や生成AIの活 用など、様々なシーンでの利用が想定されています。 ⚫ あなたはコーポレートエンジニアとして採用された最初のひとりとして、AWS の活用を推進していく立場です。

    ⚫ あなたの企業ではあなたの他にAWSに詳しい社員がいませんが、AWSの利用方 針については必要な予算を事前に申告してもらえれば自由に決めてよいという お墨付きを社長からもらっています。 ⚫ アカウントの初期設定(IAM・CloudTrailなど)を一通り終えた後、社内LANと 接続するための最初のVPCを一つ構築します。 シチュエーション ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_d ⇒今日のお題:会社のビジネスの将来を踏まえて、どのようなVPCを作る?
  6. 解説スライド:リージョンとアベイラビリティゾーンの選択 • リージョンの選択はVPCの目的・用途に合わせて作成 ◦ 応答時間を最小化する ◦ 特定のサービスやインスタンスタイプを利用する ◦ データ保護・コンプライアンスの観点 ◦

    サステナビリティの観点 • アベイラビリティゾーンは可用性のレベルを考慮する ◦ ネットワークトラフィックは原則同一AZにとどめる ◦ 静的安定性を考慮した設計を行う https://aws.amazon.com/jp/builders-library/static-stability-using- availability-zones/ ◦ AZ障害が許容されるのであれば、シングルAZにするのもあり (シングルAZであっても、一つ以上のデータセンタで構成されるため、オンプ レミスのシングルサーバーのリフトであれば可用性が向上するケースも) ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_d
  7. 解説スライド:IPアドレスとサブネットの設計 • IPアドレスとサブネットの設計 ◦ VPCに払い出すCIDRブロック ▪ VPCに払い出すCIDRはできるだけ大きく(/16)推奨 ▪ 一部AWSマネージドサービスが172.16.0.0/12を使用するため非推奨 ▪

    192.168.0.0/16を使うと今後の拡張性で悩むことに ▪ 可能ならば10.0.0.0/8をAWS用に確保しておき、将来的にIPAMを利用で きるよう考慮 ▪ IPアドレスの重複はNATゲートウェイ/NATインスタンスやPrivatelinkを 使って回避可能だが、ネットワークの複雑化を考慮し非推奨 ◦ VPC内のサブネット設計 ▪ 最低でも/28以上、ELBを使うサブネットは/27以上推奨 ▪ Transit Gatewayのアタッチメントに使うサブネットは小さめ推奨 ▪ 将来のAZ拡大やマネージドサービスでの利用、Interface Endpointの拡大 や集約に備え、すべてのIPアドレス範囲をサブネットに割り当てない ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_d
  8. 手を挙げてご意見ください! • セキュリティグループとNACLの使い分け、それぞれの性質から両方を設定した ほうがいい理由 • 乱立するセキュリティグループの効果的な管理方法 ◦ セキュリティグループ共有、使ってる? • その他のVPCへの通信制御パターン

    ◦ VPC ブロックパブリックアクセス、もう使った? ▪ 実環境で使っている人、ぜひ感想ください ◦ Network Firewall ▪ Network Firewallでハマった話、聞かせてください セキュリティグループとNACLの両立 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_d
  9. 解説スライド:ファイヤーウォール・通信制御 • セキュリティグループ・NACLはできれば両方 ◦ 内部で閉じるのであればセキュリティグループの設定もれ対策に使用 ◦ マネージドプレフィックスリストを使うサブネットはプロトコルのみ許可 指定するパターンもあり • ルートテーブル

    ◦ メインルートテーブルは意図しないルートへの通信防止のため、Localのみ ◦ 静的安定性を踏まえた場合、同じAZ内に通信させるようなカスタムルート テーブルにする ◦ 通信経路の優先度順を理解しておく ▪ 最長プレフィックス(ロンゲストマッチ) ▪ 静的ルート ▪ 伝搬されたルート • Direct Connectにより伝搬されたルート • Site-to-Site VPNにより伝搬されたルート • BGP AS-PATHを比較して短いほうのルート • その他BGPの設定により優先度を決定 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_d
  10. 解説スライド:ネットワーク監視サービスの使い分け • ネットワーク監視に使えるサービスの使い分けを理解する ◦ 日常的な監視 ▪ VPC Flow Logs ▪

    CloudTrailログ ▪ GuardDuty ▪ CloudWatch Network Monitor ▪ Network Manager(Transit Gatewayを使う場合) ▪ CloudWatch (Network Address Usage) ※スケールアウト・インの多いワークロードの場合 ◦ ネットワーク障害調査 ▪ VPC Traffic Mirroring ▪ VPC Reachability Analyzer ▪ Network Access Analyzer ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_d