Embed Size (px)
Citation preview
S U M M I TTo k y o 2 0 1 9
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
初級
VPC最新機能から紐解くクラウドネットワークデザインTetsuo, KosakaConsultantAmazon Web Services
C 1 - 0 3
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
本セッションの対象となる方
本セッションはAWSのネットワークについて「なんとなくはわかる」~「使ったことはある」くらいの方を対象としております。
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
本セッションのゴール
まずはAWSのネットワークのキホンについてご理解いただく
AWSのネットワークをさらに便利に使うことができるVPCの新機能をご理解いただく
さらには、早速ウチでも検討してみよう!使ってみよう!という気持ちになっていただく
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
本セッションの進み方
VPCの新機能を理解
VPCに追加された新機能のアップデートや適用の勘所についてご説明
VPCおよび関連要素のアップデート
事例から見た設計方法を理解
これから本格利用に設計や見直しにあたり、設計の進め方や他社での構成例をご説明
設計の進め方および構成事例
AWSネットワークのウォークスルー
AWSネットワークを知るにあたり押さえておくとよい基本要素をご説明
AWSネットワークの基本要素の理解またはおさらい
内容 トピック
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
今日はここを重点的にご説明
サービス概要
•論理的なネットワーク分離が可能➢必要に応じてネットワーク同士の接続も可能
•きめ細かいネットワーク設定が可能➢ルートテーブルや各種ゲートウェイ、各種コンポーネント
•複数の接続オプションが選択可能➢インターネット経由➢ VPN / 専用線(Direct Connect)
AWS上にプライベートネットワーク空間を構築
Amazon VPC
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
ネットワークのお話の前に・・・
リージョン
• AWSサービスを利用することができる地域
➢各リージョンは完全に独立
➢日本では東京と大阪ローカルリージョンを展開
➢リージョン間の通信はAmazon Global Network
を経由
アベイラビリティゾーン(AZ)
• リージョンは2つ以上のAZから構成
➢災害等の影響を受けにくいよう地理的に独立
➢AZは最低1ヶ所以上のデータセンタで構成
➢データセンタの電源やネットワークは独立
➢AZ間は低遅延の高速専用線で接続
リージョン
アベイラビリティー
ゾーン A
アベイラビリティー
ゾーン B
アベイラビリティー
ゾーン C
アベイラビリティー
ゾーン D
AWSネットワークの全体像 一部記載していないものがあります
Availability Zone A
Availability Zone C
AWSネットワークの全体像 一部記載していないものがあります
Availability Zone A
Availability Zone C
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWSネットワークの基本要素
Availability Zone A
Availability Zone C
AWS アカウント
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWSネットワークの基本要素
Availability Zone A
Availability Zone C
Availability Zone A
Availability Zone C
Destination Target
10.1.0.0/16 local
0.0.0.0/0 nat-gw
EC2
Availability Zone A
Availability Zone C
Destination Target
10.1.0.0/16 local
0.0.0.0/0 nat-gw
EC2
Availability Zone A
Availability Zone C
EC2
Availability Zone A
Availability Zone C
EC2
さらに知りたい皆様には
この後のセッションでさらに詳しく!
AWSのネットワーク設計をさらに深く学びたい方はこちらのセッションもぜひご参加ください。
本セッションでは、お客様からよくご相談いただくネットワーク関連の課題とその解決方法にフォーカスし、ネットワークデザインパターンとしてご紹介します。・・・
・・・このセッションでは、AWS Transit Gatewayのアーキテクチャおよびユースケースをより深く説明し、Transit Gatewayを理解し使いこなせるようにご説明いたします。
「ネットワークデザインパターンDeep Dive」
「Transit Gateway Deep Dive アーキテクチャガイド」
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
VPCエンドポイントは続々と増えています!
オンプレミスや閉じたAWSネットワークから安全にAWSのサービスが利用可能
• AWSマネージドの運用系サービス
• Amazon S3, API Gatewayなどのサービス
• その他、機械学習やデータ処理系のサービス
インターネットに接続できないとCloudWatchやS3などのサービスが使えないと聞いたのですが…
AWS vpc endpoint
検索
Availability Zone
CloudWatch
AmazonS3
InterfaceEndpoint
GatewayEndpoint
EC2
SystemsManager
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
本セクションの進み方
ここではVPCの新機能について解説し、どのように活用してゆくかをご説明します
Shared VPCのご紹介と構成の基本、注意事項
Transit Gatewayのご紹介構成の基本、注意事項
新機能をどのように設計・実装に活かすか?
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
VPCがより使いやすくなりました
Shared VPC
• VPCを他アカウントと共有
➢ VPCをサブネット単位で他のAWSアカウントリソースとの共有が可能に
一般的な構成
• AWS標準のネットワーク➢ 標準的に利用されている
AWSネットワーク
➢ VPC間を接続するにはピアリングを利用 本日はこの2つの
新機能を中心に解説
Transit Gateway
• VPC間接続の柔軟性を最大化
➢ 管理性、接続性が大幅に向上
➢ DirectConnectおよびVPN
接続に対応
いままでのVPCの課題
VPC間を接続するには
• VPC同志を接続するには「ピアリング」と呼ばれる機能で接続する
いままでのVPCの課題
ピアリングには制限がある
• VPC同志を接続するには「ピアリング」と呼ばれる機能で接続する
• ピアで接続しているVPC間だけがお互い接続できる
いままでのVPCの課題
ピアリングには制限がある
• VPC同志を接続するには「ピアリング」と呼ばれる機能で接続する
• ピアで接続しているVPC間だけがお互い接続できる
• VPCが増るとピアリングの数が増え、複雑になる
課題を解決するための機能その1:Shared VPC
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
機能その1:Shared VPC
Shared VPCとは?
• AWS Resource Access Managerの一機能
• 異なるAWSアカウントで1つのVPCを共有できる➢設定はサブネット単位
• AWS Organizationsの利用が前提
SharedVPC
Shared VPCのイメージ
複数のAWSアカウントから共有VPCのサブネットを自アカウントのサブネットのように利用可能
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Shared VPC の構成例Shared
VPC
共通VPCのサブネットへの招待を開発、本番VPCへ
行う(黄色枠)
Shared VPCの構成
開発・本番VPCは招待を受ける
開発・本番VPCは共通VPCのサブネットのリソースにアクセスできる
共通で利用したいEC2
EC2
EC2
共通利用のエンドポイント
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Shared VPC の構成・利用の注意点
得られるメリットは何か?
• システムの共通機能を集約できる
• VPCの重複機能を削減できる➢ Privatelink、NAT GWおよび
DirectConnect
• VPCピアリングのような制約がない
➢ VPC全体ではなくサブネット単位で制御できる
気を付けるべき点は何か?
• 共有サブネットには配置できないサービスがある➢ Glue、EMR、NLBなど※
• 規模が大きくなるとShared VPC自体がボトルネックとなるリスクあり
➢例えばDirectConnect、NAT GW
などのリソース
※Working with Shared VPCs - Limitation
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-
sharing.html#vpc-share-limitations
また上記の正式なサービス名はAWS Glue, Amazon EMRおよびNetwork Load Balancerとなります
SharedVPC
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
課題を解決するための機能その2:Transit Gateway
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
機能その2:Transit Gateway
Transit Gatewayとは?
• オンプレミスを含むネットワークを単一のゲートウェイに接続し接続先のIPに従い自由にルーティングできる
• DirectConnect およびVPN経由の利用が可能
TransitGateway
Transit Gatewayのイメージ
Transit Gatewayは VPCの構成に最大限の柔軟性を提供する
Transit Gateway
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Transit Gatewayの構成例Transit
Gateway
Destination Target
10.1.0.0/16 社内VPC
10.100.0.0/16 開発VPC
Transit Gatewayの構成
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Transit Gatewayの構成例Transit
Gateway
Transit Gatewayの構成
Destination Target
10.1.0.0/16 社内VPC
10.100.0.0/16 開発VPC
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Transit Gatewayの構成・利用の注意点
得られるメリットは何か?
• 用途に応じてVPC・アカウント単位で分けたネットワークを柔軟に構成できる➢外部システム、内部向けシステム
➢大規模システム、重要システムおよび共通システム
• 重複するシステム、機能を削減できる
気を付けるべき点は何か?
• 自由度が高い分コストの上昇に注意
• 構成・拡張ルールを設ける➢ AWSアカウント、VPCが乱造されるリスクあり
TransitGateway
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
新しいVPC機能をどう活用してゆくか?新機能の活用
Shared VPC
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
本セクションの進み方
本セクションでは、VPCの新機能を踏まえ、AWSのネットワークの設計の進め方を事例を交えてご説明します。
ネットワーク設計の前にAWSアカウントから考える
VPC新機能の活用を踏まえた設計をする
他、AWSネットワークの設計で考えておくと良いこと
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
まずはアカウントから考える
まずは「アカウント」から
• システム配置、コストおよび権限管理の観点から検討
• 以下のような問いから始める
請求の単位は?
環境の境界は?
権限管理の境界は?
アカウント構成
アカウント構成の主な例
• 支払いのとりまとめのみを行うアカウント
• リソースを展開するアカウント環境、機能および規模で分ける
• 外部のベンダ様にある程度の権限を渡すアカウント
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
VPCの構成を考えるVPC設計と考慮事項
VPCをどう構成するか
• VPCに持たせる機能、利用の目的を決める
• 以下のような問いから始める
VPCにどのような役割を持たせるか?
どのような局面でVPCを増やすのか?
VPCの構成の主な例
• アカウント内にVPCを役割別に構成する➢ 開発・本番、共通機能別
• アカウントとVPCを1:1にするアカウントの役割とVPCの役割を同じにする
➢ コスト管理、権限管理とセット
さっそく今日の知識を活用してみる VPC設計と考慮事項
Destination Target
10.1.0.0/16 社内VPC
10.100.0.0/16 開発VPC
10.200.0.0/16 基幹VPC
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
サブネットとルーティングを考える
サブネット・ルーティング構成
• 配置するシステムの持つ情報の重要度を設定し、配置要件を満たしたサブネットを検討
サブネット構成の検討例の一例として掲載
お客様により構成は変わります
設計時に併せて検討
サブネットとルーティングの検討例
情報重要度
低
情報重要度
中
情報重要度
高
!
!
!!
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
命名規則の検討例 ネットワークの一部
その他考えておくこと 1 of 2
• VPC、サブネット、他命名ルールを決めておく
• アカウントが増えても汎用的に適用できるものが好ましい
• ネットワーク以外の要素も作成する(S3、EC2など)
命名規則
命名ルール
Amazon VPCVPC-[AccountNickname]-[Environment]
例:VPC-Nickname-DEV
Subnetsubnet-[Pub/Pri区分]-[nn]-[AZ区分]
例:Subnet-PriM-01-a
Internetゲートウェイ
igw-[vpcid]-[Environment]
例:igw-vpc1234-DEV
Virtualゲートウェイ
vgw-[vpcid]-[Environment]
例:vgw-vpc1234-DEV
設計時に併せて検討
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
構成をWikiで管理 実際のお客様での利用例
その他考えておくこと 2 of 2
• 自社で構成を管理する
• 今後、社内ITや開発ベンダの方も利用できるように電子化しておくのがベター➢ WikiやMarkdownで構成をまとめておく
• 拡張の条件なども記載する
構成ルールを決めて管理
設計時に併せて検討
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
本セッションのまとめ
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
ネットワークデザインパターンDeep Dive
益子直樹(アマゾンウェブサービスジャパン)
関連セッション
16:00開始開始時刻
会場 B1-05
この後すぐ開始時刻
会場 B1-04
終了開始時刻
Transit Gateway Deep Diveアーキテクチャガイド
菊池之裕(アマゾンウェブサービスジャパン)
AWS を支える
グローバルネットワーク
岡本京(アマゾンウェブサービスジャパン)
Thank you!
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Tetsuo, [email protected]
![[AWS Black Belt Online Seminar] AWS Command …...2019/07/24 · (参考) AWS Tools for Windows PowerShell AWSPowerShell モジュール内のコマンドレットから、AWSサービスを操](https://img.pdfslide.net/doc/110x75/5ebfe0060cfb180b0933c1ee/aws-black-belt-online-seminar-aws-command-20190724-ef-aws-tools.jpg)
