【レポート】Amazon VPC ネットワーキングの基本構成・運用管理(AWS-54) #AWSSummit

AWS Summit Online 2022で行われた「Amazon VPC ネットワーキングの基本構成・運用管理(AWS-54)」のセッションレポートです。
2022.05.27

こんにちは!AWS事業本部コンサルティング部のたかくにです。

今回は、2022年5月25 - 26日の2日間で開催されているAWS Summit Online 2022のセッションレポートをしていきます。セッションのサマリーを理解し、興味があるセッションをチェックすることに、ご活用ください。また、セッションのアーカイブも公開されますので、詳細はそちらをチェックしてください。

本記事は、「Amazon VPC ネットワーキングの基本構成・運用管理(AWS-54)」のレポート記事となります。

今回はセッションの中でも「特に私が勉強になった部分」をピックアップしてご紹介します。

※詳細はアーカイブセッションをご覧いただけますと幸いです。

セッション概要

概要

Amazon Virtual Private Cloud(Amazon VPC) とネットワーク関連サービスについてご紹介いたします。これから AWS クラウドへ移行を検討いただいている方に、Amazon VPC でIPv6 アドレスの割り当て、 DNS64、NAT64 を用いた通信方法をご紹介します。また、AWS セキュリティサービスの活用、AWS PrivateLink・Transit Gateway Connect を用いたネットワーク構成の簡素化についてもご説明します。最後に、VPC Network Access Analyzer と VPC Reachability Analyzer にも触れます。

スピーカー

AWS 技術統括本部 ソリューションアーキテクト 丁 亜峰 氏

セッションレベル

Level 300: 中級者向け

セッションリンク(AWS Summit Online 2022 への登録が必要です)

※閲覧には、AWS Summit Online 2022の無料登録が必要です。

レポート

Agenda

  • AWS ネットワーキングサービス
    • Amazon VPC基本構成
  • VPC間、オンプレミスと接続するサービス
  • Amazon VPC セキュリティの基本
    • AWS セキュリティ サービス
  • ネットワークのモニタリング&ビジビリティ
  • まとめ

AWS ネットワーキングサービス

Amazon VPC基本構成

  • VPCのCIDRは後から変更できない
    • 事前に適切なアドレス付与を計画する
    • 必要に応じてセカンダリCIDRを追加できる
  • EC2のIPアドレス付与について
    • 特定のENIにセカンダリIPv4アドレスを割り当てることができる
    • 1つのEC2インスタンスに対して複数のENIをアタッチできる
  • IPv6アドレス周りのリソースについて
    • VPC CIDRは「/56」に固定されている
    • Subnet CIDRは「/64」に固定されている
    • Elatic IPはサポートされていない
    • 予約IPは、IPv4と同じく「最初の4つのIPアドレスと最後のIPアドレス」が予約されいる
  • デュアルスタックサブネットは、IPv4アドレスを使い切った場合、IPv6が残っていてもENIの作成はできない
    • NAT64/DNS64を使ってIPv4へ到達

セクションでは「NAT64/DNS64」の仕組みについて大変丁寧に解説されておりました。

VPC間、オンプレミスと接続するサービス

AWS PrivateLink

  • ユースケース
    • S3などのエンドポイントをインターネットを経由せずに到達したい
    • VPCで展開しているサービスをインターネットゲートウェイを経由せずにVPCから接続する場合
    • IPアドレスが重複してもOK
  • Private構成要素
    • コンシューマーVPC
    • Interfaceエンドポイント利用してENIが作成される
    • プロバイダーVPC
    • PrivateLinkと統合しNLBを作成する
    • ALBのような柔軟なロードバランシングを行うには
    • NLBのターゲットにALBを置く
    • 同じAZ, AWSアカウントに配置する必要がある

PraivateLinkでは、IPアドレスの重複が許されている点、かなり勉強になりました。

別途ブログにしてみようと思います。

Transit Gateway

  • AWS Transit Gateway Connect
    • SD-WANとTGWの統合を簡素化
    • GRE, BGPのサポート
    • 帯域幅、動的ルーティング
    • Transit Gateway Network Managerと統合
  • AWS Transit Gateway リージョン内ピアリング
    • 同一リージョン内のTransit Gateway間を接続
    • 階層型アーキテクチャ
    • セキュリティの制限やドメインなどの分離
    • 企業のM&A
    • 各社の既存ネットワーク間を統合したい
  • Transit Gateway Network Manager
    • ルート関連の問題を診断できる

AWS Transit Gateway リージョン内ピアリングの使用用途について、丁寧に説明されておりとても勉強になりました。

また、Transit Gateway Network Managerを使ったことがないためぜひ試してみようと思いました。

ネットワークのモニタリング&ビジビリティ

  • VPC Network Access Analyzer
    • Network経路がアクセスポリシーに適しているかどうかを確認
    • ネットワークアクセスポリシーを定義して検証できる
  • VPC Reachability Analyzer
    • 意図した通りに到達できる/できないか検証

「VPC Reachability Analyzer」はよく使うのですが、「VPC Network Access Analyzer」は使ったことがないので試してみようと思いました。

意図した通りに通信できない」の言葉が大変心に残りました。インターネットへ出ない構成など要件に応じてアクセスポリシーを定義してみたいなと思いました。

最後に

本セッションでは、IPv6活用の注意点やオンプレミスや複数VPC間の接続について丁寧に取り上げられておりました。

取り上げられたサービスを活用して、より多くの課題を解決できればイイなと思いました。

以上、AWS事業本部コンサルティング部のたかくにでした!