ルータ・スイッチ技術者をVPC設計の即戦力にするコツ

Transcript

1. ルータ・スイッチ技術者を VPC設計の即戦⼒にするコツ ⼿塚 忠 2024年8⽉31⽇

2. 2 更新履歴 2024年8⽉31⽇ P.8 修正 削除: ゲートウェイ型の各種サービス 追加: ゲートウェイとピアリング接続 P.16

   修正 削除: NLB (L4LB) と負荷分散対象サーバを別サブネットに設置可能とするための仕様と考える 追加: 上記により負荷分散対象のサーバはNLBに応答しつつ、NAT Gateway経由でインターネット接続等の経路設定が可能 P.17 挿⼊ 参考⽂献 2024年8⽉29⽇ NW-JAWS #12 ライブ版 (https://www.youtube.com/watch?v=t6dTZyIMhsU)

3. 3 ⾃⼰紹介 ルータ・スイッチ歴: 約17年 NW機器のプリセールスSEやポストセールスSE (5年) オフィスやデータセンタのNW設計・構築 (約12年) AWS歴: 6年⽬

   プリセールスから設計・構築・運⽤まで X: @tetchi14880952

4. 4 我々が得意なこと 経路表 経路・接続形態 の読み書き の把握・変更 Amazon VPCでも できないと困る!

5. 5 Subnet X VPC Subnet B Subnet A Subnet B

   Subnet A Router A Router B Switch A Switch B ルーティングの違い ルータ・スイッチ: Amazon VPC: Mac address table B Routing table A Routing table B Mac address table A Route Table A Route Table B ENI(Elastic Network Interface) ENI

6. 6 VPC Subnet A Subnet B Subnet X Subnet A

   Router A Router B ルーティングの違い - サブネット間 ルータ・スイッチ: 往復で同じルーティングテーブルが参照される Amazon VPC: パケット転送元(ENI)のサブネットのルートテーブルが参照される Route Table A Routing table A Routing table B Subnet B Route Table B ENI ENI

7. 7 VPC CIDR: x.x.x.x/x ルーティングの違い - 初期設定 Amazon VPC: 初期設定のローカルルートでVPC内の他サブネットにパケット転送可能

   Subnet X Subnet B Subnet A Route Table A SubnetB via RouterB Router A Router B ルータ・スイッチ: 複数ルータを経由するルーティングはルート追加が必要※ Routing Table B SubnetA via RouterA Routing Table A SubnetB via RouterB Subnet A Route Table A Subnet B CIDR Target x.x.x.x/x (VPC CIDR) local CIDR Target x.x.x.x/x (VPC CIDR) local Route Table B ENI ENI

8. 8 VPC2 10.2.0.0/16 VPC1 10.1.0.0/16 SubnetA ルートテーブルの参照条件 Attachment VPC1 Attachment

   VPC2 EC2等のENI 10.1.1.29 EC2等のENI 10.1.2.29 SubnetB tgw-rtb-vpc1 tgw-rtb-vpc2 rtb-subnet1 rtb-subnet2 サブネットとVPCのインバウンド VPC間の接続 (Transit Gatewayの場合) VPC1 10.1.0.0/16 ゲートウェイとピアリング接続 Internet Gateway (igw-id) Virtual Private Gateway Gateway VPC Endpoint VPC Peering CIDR Target 10.1.0.0/16 (VPC CIDR) local 0.0.0.0/0 igw-id Route Attachment 10.2.0.0/16 VPC2 CIDR Target 10.1.0.0/16 (VPC CIDR) local 10.2.0.0/16 tgw-id Route Attachment 0.0.0.0/0 VPC1 tgw-att-rtb-vpc1 tgw-att-rtb-vpc2 rtb-subnet1 rtb-subnet2 初期設定 ENIなし ⇨ VPCのインバウンド⽅向の宛先はVPC内のみ 追加 追加 例)サブネットルートテーブル 追加 Transit Gateway (tgw-id) 初期設定 追加 例)Transit Gatewayルートテーブル TGWのENI TGWのENI

9. 9 ENIを探す ・(a) 対象リソースの設定でIPアドレス等を確認する ・(b) ネットワークインターフェイス⼀覧から検索する EC2 > Network &

   Security > Network Interface ENI (eni-id) IPアドレス

10. 10 構成図を書く / 机上設計する VPC1 10.1.0.0/16 10.1.1.0/24 Public subnet 10.1.2.0/24

    Private subnet Transit Gateway (tgw-id) VPC Peering (pcx-id) Internet gateway (igw-id) Internet VPC3 10.3.0.0/16 10.3.1.0/24 Private subnet VPC2 10.2.0.0/16 10.2.1.0/24 Private subnet NAT gateway (nat-id) SV3 (i-id3) SV2 (i-id2) SV1 (i-id1) 10.1.10.0/28 Private subnet 10.3.10.0/28 Private subnet Attachment VPC3 Attachment VPC1 EIP

11. 11 VPC1 10.1.0.0/16 10.1.1.0/24 Public subnet ENIを書く 10.1.2.0/24 Private subnet

    10.1.10.0/28 Private subnet Transit Gateway (tgw-id) VPC Peering (pcx-id) Internet gateway (igw-id) Internet VPC3 10.3.0.0/16 10.3.10.0/28 Private subnet 10.3.1.0/24 Private subnet VPC2 10.2.0.0/16 10.2.1.0/24 Private subnet Attachment VPC1 Attachment VPC3 NAT gateway (nat-id) SV3 (i-id3) SV2 (i-id2) SV1 (i-id1) ENIなし ENIなし ENIなし EIP

12. 12 VPC1 10.1.0.0/16 10.1.1.0/24 Public subnet ルートテーブルが⾒える! 10.1.2.0/24 Private subnet

    10.1.10.0/28 Private subnet Transit Gateway (tgw-id) VPC Peering (pcx-id) Internet gateway (igw-id) Internet VPC3 10.3.0.0/16 10.3.10.0/28 Private subnet 10.3.1.0/24 Private subnet VPC2 10.2.0.0/16 10.2.1.0/24 Private subnet Attachment VPC1 Attachment VPC3 SV3 (i-id3) SV2 (i-id2) サブネットルート テーブル サブネットルート テーブル サブネットルート テーブル サブネットルート テーブル サブネットルート テーブル サブネットルート テーブル ENIなし ENIなし Transit Gateway ルートテーブル Transit Gateway ルートテーブル ENIなし 宛先はVPC内のみ 宛先はVPC内のみ EIP ルートテーブルが参照される パケット転送方向 NAT gateway (nat-id) SV1 (i-id1)

13. 13 VPC1 10.1.0.0/16 10.1.1.0/24 Public subnet ルートテーブルが読める!! 10.1.2.0/24 Private subnet

    10.1.10.0/28 Private subnet Transit Gateway (tgw-id) Attachment VPC1 Route Attachment 10.3.0.0/16 VPC3 Route Attachment 0.0.0.0/0 VPC1 VPC Peering (pcx-id) Attachment VPC3 Internet gateway (igw-id) Internet VPC3 10.3.0.0/16 10.3.10.0/28 Private subnet 10.3.1.0/24 Private subnet VPC2 10.2.0.0/16 10.2.1.0/24 Private subnet SV3 (i-id3) SV2 (i-id2) CIDR Target 10.3.0.0/16 local CIDR Target 10.2.0.0/16 local 10.1.0.0/16 pcx-id CIDR Target 10.1.0.0/16 local 0.0.0.0/0 nat-id CIDR Target 10.1.0.0/16 local 0.0.0.0/0 nat-id 10.2.0.0/16 pcx-id 10.3.0.0/16 tgw-id CIDR Target 10.1.0.0/16 local 0.0.0.0/0 igw-id 10.3.0.0/16 tgw-id CIDR Target 10.3.0.0/16 local 0.0.0.0/0 tgw-id ENIなし ENIなし ENIなし EIP 宛先はVPC内のみ 宛先はVPC内のみ NAT gateway (nat-id) SV1 (i-id1) ルートテーブルが参照される パケット転送方向

14. 14 VPC1 10.1.0.0/16 10.1.1.0/24 Public subnet 経路が⾒える 10.1.2.0/24 Private subnet

    10.1.10.0/28 Private subnet Transit Gateway (tgw-id) Attachment VPC1 Route Attachment 10.3.0.0/16 VPC3 Route Attachment 0.0.0.0/0 VPC1 VPC Peering (pcx-id) Attachment VPC3 Internet gateway (igw-id) Internet VPC3 10.3.0.0/16 10.3.10.0/28 Private subnet 10.3.1.0/24 Private subnet VPC2 10.2.0.0/16 10.2.1.0/24 Private subnet SV3 (i-id3) SV2 (i-id2) CIDR Target 10.3.0.0/16 local CIDR Target 10.2.0.0/16 local 10.1.0.0/16 pcx-id CIDR Target 10.1.0.0/16 local 0.0.0.0/0 nat-id CIDR Target 10.1.0.0/16 local 0.0.0.0/0 nat-id 10.2.0.0/16 pcx-id 10.3.0.0/16 tgw-id CIDR Target 10.1.0.0/16 local 0.0.0.0/0 igw-id 10.3.0.0/16 tgw-id CIDR Target 10.3.0.0/16 local 0.0.0.0/0 tgw-id ENIなし ENIなし ENIなし SV1 (i-id1) NAT gateway (nat-id) EIP 宛先はVPC内のみ 宛先はVPC内のみ ルートテーブルが参照される パケット転送方向

15. 15 まとめ ルータ・スイッチ技術者をVPC設計の即戦⼒にするコツ ルートテーブルの参照条件を覚える P.7 各種サービスのENI有無を確認する P.8 机上設計 ó 実証検証・評価のループを回す

    (⾃⾛型学習ができる) 経路表 経路・接続形態 の読み書き の把握・変更 CIDR Target 10.1.0.0/16 local 10.2.0.0/16 pcx-id 10.3.0.0/16 tgw-id CIDR Target 10.1.0.0/16 local 10.2.0.0/16 pcx-id 10.3.0.0/16 tgw-id CIDR Target 10.1.0.0/16 local 10.2.0.0/16 pcx-id 10.3.0.0/16 tgw-id Amazon VPCでも できる!

16. 16 補⾜ NLB(L4LB)のターゲットグループのサーバからクライアントへの戻りパケット 負荷分散対象のサーバからクライアントへの戻りフローはサブネットルートテーブルが関与せずNLBに直接転送される (P.7の例外) 上記により負荷分散対象のサーバはNLBに応答しつつ、NAT Gateway経由でインターネット接続等の経路設定が可能 Security GroupとNetwork ACL

    ENIとサブネットルートテーブル間にはSecurity GroupとNetwork ACLがあり、事前にこれらの通信許可が必要 ゲートウェイルートテーブル ENIがないゲートウェイのうちInternet GatewayとVirtual Private Gatewayのみルートテーブルを関連づけできる ゲートウェイとサブネット間のセキュリティアプライアンス経由とする場合に利⽤する VPC CIDR外経路は追加できないためトランジット接続の提供は不可 EIP (Elastic IP Address) EIPは静的なパブリックIPアドレスでVPC内のEC2やNAT Gateway等からのインターネット接続時に利⽤される EIPはENIのプライベートIPアドレスに対応するが、EIPはサブネット内には存在しない VPC Flow Logs ENI等を経由するL4フローログを取得・解析できる Reachability Analyzer 指定したEnd-to-Endの通信到達性およびSG/NACL/ルートテーブル等の経由順が視覚化される

17. 17 参考⽂献 Amazon VPC とは? https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/what-is-amazon-vpc.html ルートテーブルの概念 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/RouteTables.html サブネットルートテーブル https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/subnet-route-tables.html

    ルーティングオプションの例 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/route-table-options.html Elastic Network Interface https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html どのようにして戻りが NLB を経由するのでしょうか︖ https://aws.amazon.com/jp/blogs/news/webinar-bb-elastic-load- balancing-2019/ VPC フローログを使⽤した IP トラフィックのログ記録 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html 新機能 – VPC Reachability Analyzer https://aws.amazon.com/jp/blogs/news/new-vpc-insights-analyzes-reachability-and- visibility-in-vpcs/
18. None