「一つのVPCを作る」徹底討論

Transcript

1. 「一つのVPCを作る」徹底討論 白鳥 翔太 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

2. 自己紹介 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d 白鳥 翔太 しらとり しょうた Xアカウント ＠whitebird_sp

   保有資格 好きなAWSサービス Amazon S3/Amazon VPC ネットワークスペシャリスト 情報セキュリティスペシャリスト 2020/2021/2022 APN AWS Top Engineers 2023/2024 Japan AWS Top Engineers 2023/２０２４ Japan AWS All Certifications Engineers 2024 AWS Ambassadors 好きな言葉 Knowledge is Power./Insist on the Highest Standards. Any sufficiently advanced technology is indistinguishable from magic. 所属コミュニティ AWS Ambassador - Certification All-Star Award 2024 所属 東日本電信電話株式会社(NTT東日本)

3. 皆さん今日はたくさんのインプットをしてきてますよね？ そろそろ、アウトプット したくなってきてませんか？？？ 本日最後のセッションです！ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

4. 皆さん今日はたくさんのインプットをしてきてますよね？ アウトプットしないのは 「知的な便秘」です！ 帰ってアウトプットする前に、アウトプットの練習をしておきましょう！ 本日最後のセッションです！ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

5. 本セッションのルール ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

6. ⚫ 本セッションはチョークトーク形式の双方向型セッションとなります。 （チョークトークとは：対話型のセッション、学校の授業やゼミに近いもの） ⚫ 参加形式には、投票型のものと発言型のものがあります。 ⚫ 投票型 投票型はスライドに投影された選択肢の中から選択していただきます。 選択肢の中からご自身の考えに最も近いものに手を挙げてください。 ⚫

   発言型 発言型はモデレーターが質問をしますので、発言したい方は手を挙げてくだ さい。差されたら前にあるマイクをとり発言をしてください。 ⚫ 本セッションにおいては、絶対的な正解も誤答もありません。そこには討論の たたき台があるだけです。積極的な参加がセッションの質を上げます！ 本セッションのルール ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d ⇒参加者の皆さんの経験や知見を「Connecting the dots」しましょう！

7. 議論に入る前に・・・ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

8. いきなり投票です！ あなたのAmazon VPCの経験は？（一番近いものを選択してください） ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d １：VPC 何それおいしいの？ 2：VPC 完全に理解した

   3：VPC日常的に構築したり削除してたりしてるよ！ 4：ﾜﾀｼﾊ ﾌﾞｲﾋﾟｰｼｰ ﾁｮｯﾄﾃﾞｷﾙ

9. Amazon VPCとは(公式ドキュメントより) Amazon Virtual Private Cloud (Amazon VPC) を使用すると、論理的に隔離されてい る定義済みの仮想ネットワーク内で

   AWS リ ソースを起動できるようになる。 主な機能 ・仮想プライベートクラウド ・サブネット ・IPアドレス指定 ・ルーティング ・ゲートウェイとエンドポイント ・ピアリング接続 ・トラフィックミラーリング ・Transit Gateway ・VPCフローログ ・VPN接続 解説スライド：Amazon VPCについて ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/what-is-amazon-vpc.html

10. 解説スライド： VPCの作成はVPCウィザードで作れば１分…? ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

11. 解説スライド：VPCを作るにあたり、考慮すべき事項 • VPC一つ作るにしても、Well-Architected Frameworkの考慮は必要 ◦ 具体的な考慮要素 ▪ リージョンの選択 ▪ アベイラビリティゾーンの選択

    ▪ テナンシーの選択 ▪ ネットワークアドレス設計 ▪ サブネット設計 ▪ ルーティング設計 ▪ DHCP/DNS/NTP設計 ▪ ファイヤーウォール・通信制御設定 ▪ VPC外部との接続設計 ▪ VPC運用設計 ▪ （VPCを含む）ネットワークにかかるコスト ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

12. シチュエーションの説明 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

13. ⚫ あなたの所属する企業では伝統的な事業を行っていましたが、昨今の世の中の デジタル化の波に抗うことはできず、先日アマゾン ウェブ サービス(以下AWS) の導入を決めました。今後の展望として、データ分析基盤の構築や生成AIの活 用など、様々なシーンでの利用が想定されています。 ⚫ あなたはコーポレートエンジニアとして採用された最初のひとりとして、AWS の活用を推進していく立場です。

    ⚫ あなたの企業ではあなたの他にAWSに詳しい社員がいませんが、AWSの利用方 針については必要な予算を事前に申告してもらえれば自由に決めてよいという お墨付きを社長からもらっています。 ⚫ アカウントの初期設定（IAM・CloudTrailなど）を一通り終えた後、社内LANと 接続するための最初のVPCを一つ構築します。 シチュエーション ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d ⇒今日のお題：会社のビジネスの将来を踏まえて、どのようなVPCを作る？

14. テーマ①リージョンとアベイラビリティゾーン ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

15. 投票です！ 最初のVPC、どのリージョンに作る？その理由は？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d １：東京(ap-northeast-1) or 大阪(ap-northeast-3) 2：米国（us-xxxx-x） 3：ストックホルム(eu-north-1)

    4：その他(具体的なリージョン名をお答えください)

16. 投票です！ 最初のVPC、アベイラビリティゾーン(AZ)はいくつにする？その理由は？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d １：１つ。シングルAZでAZ間通信を抑制 2：２つ。とりあえず２つっしょ 3：3つ以上、リージョンの制約が許すまで

17. 解説スライド：リージョンとアベイラビリティゾーンの選択 • リージョンの選択はVPCの目的・用途に合わせて作成 ◦ 応答時間を最小化する ◦ 特定のサービスやインスタンスタイプを利用する ◦ データ保護・コンプライアンスの観点 ◦

    サステナビリティの観点 • アベイラビリティゾーンは可用性のレベルを考慮する ◦ ネットワークトラフィックは原則同一AZにとどめる ◦ 静的安定性を考慮した設計を行う https://aws.amazon.com/jp/builders-library/static-stability-using- availability-zones/ ◦ AZ障害が許容されるのであれば、シングルAZにするのもあり （シングルAZであっても、一つ以上のデータセンタで構成されるため、オンプ レミスのシングルサーバーのリフトであれば可用性が向上するケースも） ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

18. テーマ②ネットワークアドレスとサブネット設計 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

19. 投票です！ 最初のVPC、どのCIDRブロックを払い出す？(オンプレミス側は考慮しない) ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d １：10.0.0.0/16 2：172.16.0.0/16 3：192.168.0.0/16 4：100.64.0.0/16

20. 投票です！ 最初のVPC、サブネットはいくつ作る？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d １：とりあえず各AZに１つ、/24で 2：パブリックサブネットとプライベートサブネットを各AZに1つずつ/24で 3：役割がいくつかあるので、役割ごとにサブネット細かく設定する 4：その他

21. 手を挙げてご意見ください！ • サブネットのサイズをある程度大きくとったほうがいいパターンと、小さくし たほうがいいパターンがあります。 • 「大きくしたほうがいいパターン」と「小さくしたほうがいいパターン」を教 えてください！ • 「とりあえず/24で」と設定してハマったケースがあれば教えてください サブネットのサイズ設計

    ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

22. 解説スライド：IPアドレスとサブネットの設計 • IPアドレスとサブネットの設計 ◦ VPCに払い出すCIDRブロック ▪ VPCに払い出すCIDRはできるだけ大きく(/16)推奨 ▪ 一部AWSマネージドサービスが172.16.0.0/12を使用するため非推奨 ▪

    192.168.0.0/16を使うと今後の拡張性で悩むことに ▪ 可能ならば10.0.0.0/8をAWS用に確保しておき、将来的にIPAMを利用で きるよう考慮 ▪ IPアドレスの重複はNATゲートウェイ/NATインスタンスやPrivatelinkを 使って回避可能だが、ネットワークの複雑化を考慮し非推奨 ◦ VPC内のサブネット設計 ▪ 最低でも/28以上、ELBを使うサブネットは/27以上推奨 ▪ Transit Gatewayのアタッチメントに使うサブネットは小さめ推奨 ▪ 将来のAZ拡大やマネージドサービスでの利用、Interface Endpointの拡大 や集約に備え、すべてのIPアドレス範囲をサブネットに割り当てない ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

23. テーマ③ファイヤーウォール・通信制御 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

24. 投票です！ セキュリティグループとNACLどう使う？？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d １：セキュリティグループは設定。NACLはデフォルトのまま 2：セキュリティグループは基本全空け。NACLできっちりやるぜ 3：セキュリティグループもNACLもちゃんと設定してるよ！ 4：セキュリティグループもNACLもやるし、Network Firewallでガチガチ

25. 手を挙げてご意見ください！ • セキュリティグループとNACLの使い分け、それぞれの性質から両方を設定した ほうがいい理由 • 乱立するセキュリティグループの効果的な管理方法 ◦ セキュリティグループ共有、使ってる？ • その他のVPCへの通信制御パターン

    ◦ VPC ブロックパブリックアクセス、もう使った？ ▪ 実環境で使っている人、ぜひ感想ください ◦ Network Firewall ▪ Network Firewallでハマった話、聞かせてください セキュリティグループとNACLの両立 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

26. 投票です！ ルートテーブル、いくつ作る？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d １：メインルートテーブルとインターネットに抜けるルートテーブル 2：パブリックサブネット用とプライベートサブネット用と2つ 3：AZごとおよびプライベート/パブリックサブネットごとに分けてルートテー ブルを作る 4：その他（手を挙げて教えてください）

27. 解説スライド：ファイヤーウォール・通信制御 • セキュリティグループ・NACLはできれば両方 ◦ 内部で閉じるのであればセキュリティグループの設定もれ対策に使用 ◦ マネージドプレフィックスリストを使うサブネットはプロトコルのみ許可 指定するパターンもあり • ルートテーブル

    ◦ メインルートテーブルは意図しないルートへの通信防止のため、Localのみ ◦ 静的安定性を踏まえた場合、同じAZ内に通信させるようなカスタムルート テーブルにする ◦ 通信経路の優先度順を理解しておく ▪ 最長プレフィックス（ロンゲストマッチ） ▪ 静的ルート ▪ 伝搬されたルート • Direct Connectにより伝搬されたルート • Site-to-Site VPNにより伝搬されたルート • BGP AS-PATHを比較して短いほうのルート • その他BGPの設定により優先度を決定 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

28. テーマ④ネットワークの運用 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

29. 投票です！ VPCを活用したネットワークの監視運用、どうする？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d １：オンプレミスと統合、オンプレミスから死活監視を行う 2：VPC Flow LogsやGuardDutyの記録くらいにして、何かあったら調査 3：CloudWatch

    Network Monitorで接続部分は見ておきたい 4： AWS Network Managerガッツリ使うぜ

30. 解説スライド：ネットワーク監視サービスの使い分け • ネットワーク監視に使えるサービスの使い分けを理解する ◦ 日常的な監視 ▪ VPC Flow Logs ▪

    CloudTrailログ ▪ GuardDuty ▪ CloudWatch Network Monitor ▪ Network Manager(Transit Gatewayを使う場合) ▪ CloudWatch (Network Address Usage) ※スケールアウト・インの多いワークロードの場合 ◦ ネットワーク障害調査 ▪ VPC Traffic Mirroring ▪ VPC Reachability Analyzer ▪ Network Access Analyzer ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

31. テーマ⑤フリーテーマ（時間があれば） ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

32. 手を挙げてご意見ください！ VPCの設計にはほかにも考慮すべき事項や、「普段VPCの設計こうしてるんだけど …」というようなところでの疑問点・議論したいポイントがあればディスカッショ ンしましょう！ ・IPv6対応/デュアルスタック対応 ・VPC間接続 ・VPCとオンプレミスの接続 ・DNSプライベートホストゾーン設計 ・AWSリソースへの通信”NAT Gateway

    vs Interface Endpoint” その他VPCの設計に関する疑問などをフリーテーマで！ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

33. • VPCは奥が深く、なんとなく作ることもできれば 様々なネットワーク要素を加味して作ることもできます • 最初に使うサービスだから 歴史のあるサービスだから 一回覚えたらOK …ではなく、ワークロードの要件を考慮して 最適なVPCを作っていきましょう •

    そしてその知見は「Share Your Lessons.」 まとめ・クロージング ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d

34. NW-JAWSのご紹介 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_d https://jawsug-nw.connpass.com/ JAWS-UGのネットワークに関する専門支部で、現在はオンラインをメインに勉強 会を行っています。

35. None