$30 off During Our Annual Pro Sale. View Details »

VPC Ingress Routingについて/about VPC Ingress Routing

YukihiroChiba
January 23, 2020
Technology
1
1.8k

VPC Ingress Routingについて/about VPC Ingress Routing

YukihiroChiba

January 23, 2020
Tweet

More Decks by YukihiroChiba

See All by YukihiroChiba
AWS IAM の知っておくべき話と知らなくてもいい話 DevIO2023/ AWS IAM DevIO 2023
yukihirochiba
0
2.6k
デジタルアイデンティティWGミニウェビナー第4回「IaaSとアイデンティティ」/ jnsa-iaas-identity
yukihirochiba
0
450
学習エンジンがうなりを上げているチームの作り方 / How to build a team with a learning engine humming along
yukihirochiba
0
3.2k
Amazon Route 53 Application Recovery Controller zonal shift 試してみた
yukihirochiba
0
1.2k
re:Growth 2022 Amazon Verified Permissions/妄想を膨らませる_チバユキ
yukihirochiba
0
4.2k
どこで動いてるの?AWS IAM のコントロールプレーンとデータプレーンに思いを馳せる/iam-background
yukihirochiba
0
3.4k
ここが好きだよAWS管理ポリシー_devio2022/i_am_iam_lover
yukihirochiba
0
4.6k
AWS Service Namespace を流行らせたい/ AWS Service Namespace to become popular
yukihirochiba
0
1.8k
1年ぶりにAWS Nitroに想いを馳せる/Nitro-ni-shinitro
yukihirochiba
0
1.3k

Other Decks in Technology

See All in Technology
CPOが開発する覚悟 〜コンパウンドスタートアップにおける、爆速の新規プロダクト開発スタイル〜
mosa_siru
7
6.5k
231116 あつまれ入力デバイスの沼 Ryu.Cyberさん
comucal
PRO
0
220
GPT APIを使ったテキスト生成コンペ@YANS2023に参加した話
naohachi89
2
850
⾃律的な開発チームを⽀えるためのSLO運⽤
sansantech
PRO
5
880
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
0
150
「極意本」サンプルコードをクラウド上で動かそう
upura
1
810
re:Invent2023で登場した運用開発用の可視化ツールたちを実際に見てみよう
yoshimi0227
0
180
LLMを活用した爆速アウトプットのすゝめ / bakusoku-outputs-with-llm
yuya4
8
4.1k
開発生産性向上へのコミットについて理解してもらうためのスライドテンプレートを作った話
ouchi2501
0
250
Azure OpenAI Serviceの採用と挑戦 - Azure AI Hub meetup #1
cimadai
1
290
【Microsoft社員が振り返る】Microsoft Ignite
yutoy
1
520
dbt Coreとdbt-athenaによるAWS上のdbt環境構築ナレッジ
nayuts
0
250

Featured

See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
645
57k
Bootstrapping a Software Product
garrettdimon
PRO
299
110k
How To Stay Up To Date on Web Technology
chriscoyier
780
250k
Statistics for Hackers
jakevdp
788
220k
Happy Clients
brianwarren
91
6.1k
4 Signs Your Business is Dying
shpigford
172
21k
Agile that works and the tools we love
rasmusluckow
323
20k
Producing Creativity
orderedlist
PRO
335
38k
Art, The Web, and Tiny UX
lynnandtonic
286
19k
Designing for Performance
lara
601
66k
Music & Morning Musume
bryan
38
5.2k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
101
6.4k

Transcript

  1. VPC Ingress Routingについて

    〜IPヘッダのことを考えて頭を抱えよう〜

    2020/1/22(水)

    AWS事業本部コンサルティング部 千葉幸宏

    1

    View Slide

  2. 2
    発端
    2019/12/12
    『20分くらいでre:Invent周り
    の特定サービスの話よろし
    くお願いします!』(入社前)

    View Slide

  3. 自己紹介
    千葉幸宏
    ● 2020年1月JOIN
    ● ITエンジニア歴5年半、AWS歴4年半
    ● AWS認定9冠
    ○ 機械学習、Alexaが未取得
    ● 「Dockerがどっかーん。」じゃない方
    3時間悩んだ結果、
    右のアイコンにしました。
    3
    ¥440 ¥275
    ● 好きなAWSサービス:
    ○ VPC
    ● 好きなネットワークコンポーネント:
    ○ 仮想ルータ
    コンニチハ


    View Slide

  4. 4
    今日の流れ
    ● ざっくりVPC Ingress Routingとは     
    ● ネットワークの基本に立ち返る     
    ● もう少しVPC Ingress Routingを深堀り   
    ● おまけ              
    ○ 実際のアプライアンスの構成って?
    ○ アプライアンスの可用性担保ってどうしたらいい?

    View Slide

  5. 5
    ざっくりVPC Ingress Routingとは

    View Slide

  6. 6
    VPC Ingress Routingとは
    ● ゲートウェイ(IGW、VGW)にルートテーブルを関連づけること
    ができるようになったよ
    ● それによってVPCへのインバウンドに対して特殊なルーティ
    ングができるようになったよ
    ● アプライアンス製品を使用する構成以外は特に使い道は思
    いつかないよ

    View Slide

  7. 7
    こんなにあるルートテーブルの種類

    View Slide

  8. 8
    急にネットワークのおさらい

    View Slide

  9. 9
    Agenda
    ● IPヘッダを意識しよう
    ● IPフォワードとは
    ○ 送信先/送信元チェック
    ● NATとは
    ○ 例:NATインスタンス
    ○ 例:NLB
    ● プロキシとは
    ○ 例:フォワードプロキシ
    ○ 例:リバースプロキシ
    ● ルーティングとは

    View Slide

  10. 10
    IPパケット
    @IT 第10回 IPパケットの構造とIPフラグメンテーション (2/3)
    https://www.atmarkit.co.jp/ait/articles/0304/04/news001_2.html より
    IPパケットはIPヘッダとデータ
    部からなる。
    IPヘッダには以下が含まれ
    る。
    ● 送信元IPアドレス
    ● 宛先IPアドレス
    上記の2つを意識してみる。

    View Slide

  11. 11
    ネットワークをまたぐ通信の基本的な考え方
    クライアントは自身のルーティング
    テーブルに従いゲートウェイにパ
    ケットを送信する。
    宛先IPのネットワークのルータに
    たどり着くまで、各ルータは各々
    のルーティングテーブルに従いIP
    パケットをルーティングする。
    ルータを経由するだけでは送信元
    IPと宛先IPに変化はない。

    View Slide

  12. 12
    IPフォワードとは
    自身が宛先IPアドレスでないIPパ
    ケットを受け取った場合、自身が
    参照するルーティングテーブルに
    従い、対応するインタフェースから
    パケットを転送する行為。ルータ
    だけでなくサーバが行うことも可
    能。
    IPヘッダ内の宛先IP、送信先IPに
    変更は加えない。

    View Slide

  13. 13
    送信元/送信先チェック
    VPC上のリソースはデフォルトでは自身が宛先IPアドレスでないIPパケットを受け
    取ることができない。
    ENIのパラメータである「送信元/送信先チェック」を無効化することで解消でき
    る。
    AWSカスタマーが明示的に上記のパラメータを変更できるのはEC2に紐づくENI
    のみであるため、実質的にEC2のパラメータであると言える。

    View Slide

  14. 14
    NATとは
    IPヘッダ内の送信元IPもしくは宛
    先IPを変換する行為。
    プライベートIPとグローバルIPの変
    換がよくあるケース。
    変換前と変換後がN:1で紐づく場
    合を、NAPTやIPマスカレードと呼
    ぶ。

    View Slide

  15. 15
    NAT on AWS NATインスタンス
    (例)NATインスタンス
    NATインスタンスは送信元IP
    をNAPTしている。
    AMIで用意されているNATイ
    ンスタンスには、IPフォワー
    ドとIPマスカレードが予め有
    効になっている。

    View Slide

  16. 16
    NAT on AWS NLB
    (例)NLB(インターネット向
    け)
    NLBは、ALBやCLBと異なり、
    送信元IPを維持したまま宛
    先IPをNATする。
    そのため、戻りの通信は
    NLBを経由しない。プライ
    ベートサブネットのインスタ
    ンスからインターネット疎通
    可能な状態にしておく必要
    がある。
    訂正します

    View Slide

  17. 17
    NLBの挙動について
    戻りの通信もNLB を経由し、プライベートサ
    ブネットのインスタンスから、インターネットへ
    疎通可能な状態にしておく必要はない。
    https://www.slideshare.net/AmazonWebServicesJapan/20191
    029-aws-black-belt-online-seminar-elastic-load-balancing-elb/
    53
    2020/3/27訂正
    ご指摘いただき、正しい挙動は以下となりま
    す。
    当該インスタンスのSecurity Group では、インターネット側の
    クライアントと直接送受信しているように見える
    ため、イン
    ターネット側のクライアントIP との通信許可設定は必要(イン
    ターネット向けに広く公開する場合には、
    0.0.0.0/0との通信
    許可など)
    Securiry Groupの開放については以下の仕様が補
    足としてあります。

    View Slide

  18. 18
    プロキシとは
    通信を代替する機能。
    IPパケットは一旦プロキシで終
    端され、改めて宛先に対してIP
    パケットが送出される(要出
    典)。
    右記の例は、フォワードプロキ
    シを想定したもの。

    View Slide

  19. 19
    プロキシ on AWS フォワードプロキシ
    (例)EC2でプロキシサーバ
    を構築したケース
    プライベートEC2から来るIP
    パケットの宛先IPはプロキ
    シサーバであるため、IP
    フォワードは不要。送信元/
    送信先チェックを無効にす
    る必要が無い。

    View Slide

  20. 20
    プロキシ on AWS リバースプロキシ
    (例)ALB(インターネット向
    け)
    NLBの場合と異なり、プライ
    ベートEC2へのIPパケットの
    送信元IPはALBのものとな
    る。
    戻りの通信はALB経由で行
    われるし、EC2にアタッチす
    るSecurityGroupはALBを
    ソースにすれば良い。

    View Slide

  21. 21
    ルーティングとは
    ルーティング(英: routing)あるいは経路制御
    (けいろせいぎょ)とは、データを目的地まで
    送信するために、コンピュータネットワーク上
    のデータ配送経路を決定する制御の事であ
    る。
    (Wikipediaより)
    文脈によって微妙に意図すると
    ころが変わる気もします。
    VPC Ingress Routingでは、新たな
    対象にルートテーブル を適用で
    きるようになったため、それによ
    る経路制御をもって「Routing」な
    のだと理解しています。

    View Slide

  22. 22
    ようやくVPC Ingress Routingの内訳

    View Slide

  23. 23
    ここに書いたことのおさらいです。
    https://dev.classmethod.jp
    /cloud/aws/what-is-vpc-ing
    ress-routing/

    View Slide

  24. 24
    インターネット経由の通信
    ユーザがパブリックサブネット上のEC2
    にアクセスする。そこをアプライアンス
    でインターセプトしたい。
    ゲートウェイルートテーブル が登場す
    るまでは、簡単には行かなかった。

    View Slide

  25. 25
    VPC Ingress Routingなしでどうしたらできる?
    例えば‥
    そもそも宛先IPとしてアプラ
    イアンスを指定してそこから
    NATさせるか、トンネルを張
    るか。
    AWS re:Invent 2019】VPC Ingress Routingを試してみた
    http://blog.serverworks.co.jp/tech/2019/12/04/vpc-ingress-routing/ より

    View Slide

  26. 26
    TransitGateway使ったらできる?
    VPC間の通信をインターセ
    プトする構成はできる。
    VPC内からインターネットに
    抜けてく経路ならVPCを分
    ければインターセプトでき
    る?
    VGW経由の通信であれば
    両方向インターセプトでき
    る?
    どのみち煩雑そうだし、お
    値段もそこそこする。 20191113 AWS Black Belt Online Seminar AWS Transit Gateway
    https://www.slideshare.net/AmazonWebServicesJapan/20191113-aws-black-belt-online-seminar-aws-transit-gateway より

    View Slide

  27. 27
    ともかく簡単になった
    ゲートウェイルートテーブル に
    ルートを定義できるようになり、イ
    ンターセプトが簡単に!

    View Slide

  28. 28
    さっきと似たような絵でみると
    ここで想定しているアプライ
    アンスサーバはIPフォワード
    をするのみで、NATをしませ
    ん。
    アプリケーションサーバ側
    のサブネットルートテーブル
    にルートを定義しないと、戻
    りの通信はIGW経由で行わ
    れます。

    View Slide

  29. 29
    アウトバウンド
    アウトバウンドの通信もアプライアンス
    サーバを経由させたい場合、サブネッ
    トのルートテーブル に書くことで実現。

    View Slide

  30. 30
    さっきと似たような絵でみると
    インバウンドの場合と比
    較して、送信元IPと宛先IP
    がそのまま逆になりま
    す。

    View Slide

  31. 31
    まとめ
    ● 特定のゲートウェイにルートテーブルを関連付けられるようになった
    ○ インターネットゲートウェイ(IGW)と仮想プライベートゲートウェイ(VGW)である
    ○ 上記の関連付けをエッジアソシエーションと呼ぶ
    ○ エッジアソシエーションされたルートテーブルをゲートウェイルートテーブル と呼ぶ
    ● ゲートウェイルートテーブルには以下の制限がある
    ○ 送信先として指定できるのはVPCのCIDRの範囲内のみ
    ○ ターゲットに指定できるのは「local」か「ネットワークインタフェース」のみ ※事実上EC2のみ
    ○ ルートテーブル のパラメータ「ルート伝達」が有効であってはならない
    ● ゲートウェイルートテーブルによって、VPCへのインバウンドを細かくルーティングできるようになった
    ○ 宛先IPとは異なるインタフェースにルーティングが可能に
    ○ ルーティング先のサーバでIPフォワード設定がされていることが必要
    ○ ルーティング先のEC2で「送信元/送信先チェック」は無効であることが必要

    View Slide

  32. 32
    おまけ

    View Slide

  33. 33
    アプライアンスベンダーが書いたブログのリンク
    https://aws.amazon.com/jp/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/

    View Slide

  34. 34
    paloaltoの例
    https://live.paloaltonetworks.
    com/t5/Blogs/Amazon-Web-
    Services-AWS-Ingress-Routi
    ng/ba-p/300885
    各ベンダーのを
    一通り見てブログ
    に起こしたい‥

    View Slide

  35. 35
    可用性?
    アプライアンスサーバが
    SPOFになる。
    マルチAZでそれぞれ構成す
    るのはいいとして、片系のア
    プライアンスサーバが障害
    発生したらどうする?

    View Slide

  36. 36
    前段にELBおいてそこにIngress Routing?
    無理。そもそもELBのENIは送信
    先/送信元チェック有効になっ
    ているからそこでこける。
    (それでも一応試した。)
    NLBのENIはゲートウェイルート
    テーブル のターゲットに指定で
    きなかった。
    CLBは指定できたが、ENIが可
    変なので指定できても嬉しくな
    い。

    View Slide

  37. 37
    ENIのスワップ?ルートテーブル の書き換え?
    障害を監視する仕組みと連
    動させて、
    ルートテーブル でターゲット
    として指定されているENIを
    別のインスタンスに付け替
    えるか?
    ルートテーブル 上でのター
    ゲットなるENIを書き換える
    か?
    OS上の設定が何かありそう
    なので感覚的に後者‥

    View Slide

  38. 38
    Blackbeltではルート書き換えパターンが。
    先ほどのTransitGatewayで見た資料です。
    https://www.slideshare.net/AmazonWebServi
    cesJapan/20191113-aws-black-belt-online-se
    minar-aws-transit-gateway

    View Slide

  39. 39
    IPヘッダを意識しましょう。
    たまには仮想ルータも思い出しましょう。
    まとめ

    View Slide

  40. 40

    View Slide