【レポート】【初級】VPC最新機能から紐解くクラウドネットワークデザイン #AWSSummit
こんにちは、大前です。AWS Summit 楽しんでいますか?
Day1のセッション、「【初級】VPC最新機能から紐解くクラウドネットワークデザイン」を受講したのでレポートを記載します。 本ブログは、AWS Summit 2019 day1のセッションレポートになります。
セッション概要
登壇者
アマゾン ウェブ サービス ジャパン株式会社
プロフェッショナルサービス本部
コンサルタント
小坂 剛生 様
概要
AWS をこれから使い始める、もしくは特定システムでの利用から全社的な活用に進むお客様にとって AWS のネットワークを(VPC および関連要素)をどう設計するかは、今後の運用負担や円滑な利用を大きく左右します。本セッションでは、上記に該当するお客様および お客様での AWS活用を支援されるパートナ様を対象に構成事例や最新動向を交えながら設計時に抑えておくべきポイントを解説します。
本セッションの対象
- AWSのネットワークについて「なんとなくはわかる」〜「使ったことはある」 くらいの方
ゴール
- AWSのネットワークのキホンについてご理解いただく
- AWSのネットワークをさらに便利に使うことができるVPCの新機能を理解いただく
- うちでもAWSのネットワークを使ってみよう!という気持ちになっていただく
1. AWSネットワークのウォークスルー
ネットワークのお話の前に...
- リージョンとは
- AWSのサービスを提供している地域
- 21のリージョン
- 日本は東京と大阪ローカルリージョンを展開
- リージョン間はAmazon Global networkを経由
- AZとは
- リージョンは2つ以上のAZからなる
- AZは1箇所以上のデータセンタで構成
- AZ間で低遅延の高速専用線で接続
AWSネットワークを構成する各コンポーネント
- AWSアカウント ... お客様がAWSに作成するテナント
- VPC ... AWS上に構成する仮想のネットワーク
- AZ ... AWSのリージョン内にある複数からなるデータセンタ
- InternetGateway ... VPC内のサブネットからインターネットに接続するために必要なゲートウェイ
- Virtual Private Gateway .... 主にオンプレミスとAWSを専用線で接続する際に利用するゲートウェイ
- DirectConnect ... データセンタや拠点とVPC間に専用線を接続する場合に利用する機能
- NAT Gateway ... プライベートサブネットからインターネットに接続するためのゲートウェイ
- サブネット ... VPC内に構成するネットワーク。外部やオンプレとの接続の要件に応じてAZごとに構成する
- ルートテーブル ... サブネット単位でネットワークトラフィックにおける経路の判断に使用する
- セキュリティグループ ... 1台のインスタンスから設定できるファイアウォール
- Amazon EC2 ... 従量課金型の仮想マシンコンピューティングサービス
- VPC / Interface エンドポイント ... インターネット接続できないサブネットからのAWSサービスへのアクセスポイント(インターフェース型エンドポイントとゲートウェイ型エンドポイント)
VPCのエンドポイントは続々と増えている
- 5月時点で26のサービス
- オンプレミスや閉じたAWSネットワークから安全にAWSサービスが利用可能に
2. VPCの新機能
2つの新機能紹介
- Shared VPC
- Transit Gateway
なぜ新機能が出てきた?
今まではVPC間の接続にはVPCピアリングを使用していたが、環境が大きくなってくるとピアリングの数が増え、ネットワーク構成が複雑になる課題があった
上記課題を解決するための2つの機能として、上記の新機能
Shared VPC
- 異なるAWSアカウントで1つのVPCを共有できる
- サブネット単位で設定ができる
- AWS Organizationの利用が前提
構成例
- 開発、本番、共通の3アカウント
- 共通アカウント経由でのみインターネットに接続したい、共通アカウントのインスタンスにのみ情報を保持させたいなどのニーズ
- 共通アカウントでサブネットを開発し開発・本番アカウントに招待をかける
- 開発・本番VPCにて招待を受ける
-
開発・本番は共通VPCのサブネットのリソースにアクセスできる
メリットは?
- 共通機能を集約できる
- VPCの重複機能を削減できる
- VPCピアリングのような制約がない
気をつける点
- 共有サブネットには配置できないサービスがある
- 規模が大きくなるとShared VPC自体がボトルネックとなるリスクもあり(DX, NATGW)
Transit Gateway
- オンプレミスを含むネットワークを単一のゲートウェイに接続し、接続先のIPに従い自由にルーティングできる
- DirectConnectおよびVPN経由の利用が可能
- 拡張性の高さが強み
構成例
- TransitGatewayを構成しルートテーブルを定義する
- アタッチメントにVPCやVPNおよびDirectConnectを結びつける
- VPCルートテーブルを設定し、ポリシーに沿った通信ができるているかを確認する
メリット
- 用途に応じてVPC・アカウント単位で分けたネットワークを柔軟に構成できる
- 重複するシステム、機能を削減できる
気をつけるべき点
- 自由度が高い分コストの上昇に注意
- 構成・拡張ルールを設ける必要あり
まとめ
Shared VPC
- 共通機能(プロキシ、エンドポイント)を集約させることができる
- アカウント管理やコンスト管理を分けることもできる
-> シングルテナント、シングルリージョンに制限して利用する場合に最初に検討
Transit Gateway
- AWSの本格的な利用を見込む場合は、最大の柔軟性を得ることができるTransit Gatewayの構成を検討が好ましい
-> AWSアカウントとVPCの機能から考える必要あり
3.事例からみたVPC・ネットワークの設計事例
- ネットワーク設計の前にアカウントから考える
- 闇雲に作るのではなく、システム配置、コストおよび権限管理の観点からアカウント構成を検討する
2. VPC新機能の活用を踏まえた設計をする
- VPCに持たせる機能、利用の目的を決める
- VPCにどのような役割を持たせるか?
- どのような局面でVPCを増やすのか?
ポイント
- 環境別にアカウントを準備
- 1アカウント1VPCで構成
- オンプレ/VPC間アクセスを制限
- サブネットとルーティングを考える
- 配置するシステムが持つ情報の重要度を設定し、配置要件を満たしたサブネットを検討する
その他考えておくこと
命名規則
- VPC、サブネット、他命名ルールを決めておく
- アカウントが増えても汎用的に適用できるものが好ましい
- ネットワーク以外の要素も作成する
- 構成ルールを決めて管理
自社で構成を管理する
- wikiにネットワーク構成やサブネットのルールなどを記載し、車内ITや開発ベンダの方も利用できるように
まとめ
- VPCの新機能を使うことでAWSのネットワークをより柔軟に利用することができる
- 高くなった柔軟性に対する対策を考えることが大切、ルールを決めるなど
セッションを受講して
初心者向けという立ち位置ながら、AWSでネットワーク構成を考えたときに出てくるコンポーネントや注意点を改めて学ぶことができるセッションでした。
また、Shared VPCやTransit Gatewayが出てきた背景を踏まえた上で各機能の特徴を聞くことができ、非常に理解のしやすく、ためになりました。
![[レポート] JJUG CCC 2024 Fallに行ってきました](https://devio2024-media.developers.io/image/upload/v1730277254/user-gen-eyecatch/awivhjatkofztrkayhdv.png)
