Upgrade to Pro — share decks privately, control downloads, hide ads and more …

VPC Ingress Routingについて/about VPC Ingress Routing

YukihiroChiba
January 23, 2020

VPC Ingress Routingについて/about VPC Ingress Routing

YukihiroChiba

January 23, 2020
Tweet

More Decks by YukihiroChiba

Other Decks in Technology

Transcript

  1. 自己紹介 千葉幸宏 • 2020年1月JOIN • ITエンジニア歴5年半、AWS歴4年半 • AWS認定9冠 ◦ 機械学習、Alexaが未取得

    • 「Dockerがどっかーん。」じゃない方 3時間悩んだ結果、 右のアイコンにしました。 3 ¥440 ¥275 • 好きなAWSサービス: ◦ VPC • 好きなネットワークコンポーネント: ◦ 仮想ルータ コンニチハ

  2. 4 今日の流れ • ざっくりVPC Ingress Routingとは      • ネットワークの基本に立ち返る      • もう少しVPC

    Ingress Routingを深堀り    • おまけ               ◦ 実際のアプライアンスの構成って? ◦ アプライアンスの可用性担保ってどうしたらいい?
  3. 9 Agenda • IPヘッダを意識しよう • IPフォワードとは ◦ 送信先/送信元チェック • NATとは

    ◦ 例:NATインスタンス ◦ 例:NLB • プロキシとは ◦ 例:フォワードプロキシ ◦ 例:リバースプロキシ • ルーティングとは
  4. 16 NAT on AWS NLB (例)NLB(インターネット向 け) NLBは、ALBやCLBと異なり、 送信元IPを維持したまま宛 先IPをNATする。 そのため、戻りの通信は

    NLBを経由しない。プライ ベートサブネットのインスタ ンスからインターネット疎通 可能な状態にしておく必要 がある。 訂正します
  5. 17 NLBの挙動について 戻りの通信もNLB を経由し、プライベートサ ブネットのインスタンスから、インターネットへ 疎通可能な状態にしておく必要はない。 https://www.slideshare.net/AmazonWebServicesJapan/20191 029-aws-black-belt-online-seminar-elastic-load-balancing-elb/ 53 2020/3/27訂正

    ご指摘いただき、正しい挙動は以下となりま す。 当該インスタンスのSecurity Group では、インターネット側の クライアントと直接送受信しているように見える ため、イン ターネット側のクライアントIP との通信許可設定は必要(イン ターネット向けに広く公開する場合には、 0.0.0.0/0との通信 許可など) Securiry Groupの開放については以下の仕様が補 足としてあります。
  6. 21 ルーティングとは ルーティング(英: routing)あるいは経路制御 (けいろせいぎょ)とは、データを目的地まで 送信するために、コンピュータネットワーク上 のデータ配送経路を決定する制御の事であ る。 (Wikipediaより) 文脈によって微妙に意図すると

    ころが変わる気もします。 VPC Ingress Routingでは、新たな 対象にルートテーブル を適用で きるようになったため、それによ る経路制御をもって「Routing」な のだと理解しています。
  7. 26 TransitGateway使ったらできる? VPC間の通信をインターセ プトする構成はできる。 VPC内からインターネットに 抜けてく経路ならVPCを分 ければインターセプトでき る? VGW経由の通信であれば 両方向インターセプトでき

    る? どのみち煩雑そうだし、お 値段もそこそこする。 20191113 AWS Black Belt Online Seminar AWS Transit Gateway https://www.slideshare.net/AmazonWebServicesJapan/20191113-aws-black-belt-online-seminar-aws-transit-gateway より
  8. 31 まとめ • 特定のゲートウェイにルートテーブルを関連付けられるようになった ◦ インターネットゲートウェイ(IGW)と仮想プライベートゲートウェイ(VGW)である ◦ 上記の関連付けをエッジアソシエーションと呼ぶ ◦ エッジアソシエーションされたルートテーブルをゲートウェイルートテーブル

    と呼ぶ • ゲートウェイルートテーブルには以下の制限がある ◦ 送信先として指定できるのはVPCのCIDRの範囲内のみ ◦ ターゲットに指定できるのは「local」か「ネットワークインタフェース」のみ ※事実上EC2のみ ◦ ルートテーブル のパラメータ「ルート伝達」が有効であってはならない • ゲートウェイルートテーブルによって、VPCへのインバウンドを細かくルーティングできるようになった ◦ 宛先IPとは異なるインタフェースにルーティングが可能に ◦ ルーティング先のサーバでIPフォワード設定がされていることが必要 ◦ ルーティング先のEC2で「送信元/送信先チェック」は無効であることが必要
  9. 40