classmethod aws-study-vpc-20160114
TRANSCRIPT
classmethod.jp
AWS VPCの概要と勘所
ユースケースから学ぶAWS勉強会
1
2016/1/14
⾃⼰紹介
• 梶 浩幸(かじ ひろゆき) • Twitter ID:@cocacola917 • AWSコンサルティング部 札幌オフィス勤務 • 2014年8⽉JOIN • ネットワーク屋出⾝ • 好きなAWSサービス • VPC
2
⽬次• VPCの概要 • VPCの前に・・・ • Amazon VPCの基本⽤語 • まとめ • VPC構築⼿順
3
Amazon VPCの概要
4
Amazon Virtual Private Cloud(VPC)
• オンプレミス環境に⾔うとネットワークインフラ
• 中⼩規模のLAN構成と変わらない • 柔軟な構成
• インターネットアクセス可能なPublic Cloud • オンプレミスからのトラフィックのみの
Private Cloud
5
料⾦• Amazon VPCは、Amazon EC2 の使⽤料以
外には、追加料⾦はかかりません。 • VPNを利⽤する場合は、1時間あたり、
$0.05/VPN接続(¥4,500円/⽉、1$=120円)
• トラフィックはデータ転送量に応じてVPCから⾒たアウトバンドに対して課⾦
6
VPCの前に・・・
リージョンとAZ
7
リージョンとAZ
8
• AWSにおけるロケーションは、⼤きく3つ(残りは次ページ) • グローバル • リージョン
• 利⽤者がAWS上に保存したデータは1つのリージョン内にのみ保存
[参照元](http://aws.amazon.com/jp/about-aws/global-infrastructure/)
•サービスによりグローバルに属するもの、リージョンに属するものが異なります。
アベイラビリティ ゾーン(AZ)• 1つのリージョンの下には2〜4つのAZがあります。 • 東京リージョンで⾔うと ap-northeast-1a、ap-
northeast-1cという2つのAZ • ap-northeast-1bは新規ユーザは利⽤不可
• 複数AZが同じ原因(例えば天災)で同時に障害を起こすことのないような独⽴性
9
Amazon Web Services
東京リージョン (ap-northeast1)
ソウルリージョン New!! (ap-northeast2)
AZ a AZ c AZ a AZ c
リージョンとAZは使い⽅は?• リージョン
• レイテンシや法的制限の回避 • AZ
• 可⽤性(アベイラビリティ)
10
Amazon VPCの基本⽤語
11
VPC
VPC
12
サブネット12
サブネット
Internet Gateway
Virtual Private Gateway
インターネット オンプレミス
暗黙のルータ
EC2 インスタンス
EC2 インスタンス
EC2 インスタンス
TCP/IPネットワーク全体をVPCという単位で管理
リージョン毎に作成 VPC毎に独⽴
VPC全体で/16のサブネット⻑
サブネットVPC
AZ 1a
サブネット1 10.0.11.0/24
13
AZ 1c
サブネット2 10.0.21.0/24
サブネット3 10.0.12.0/24
EC2 インスタンス
VPC内を分割する単位としてサブネットを設定
仮想マシン(EC2インスタンス)やDBマシン(RDSインスタンス)をVPCサブネットへ配置
AWSのデータセンター群にあたるいずれかのAZに紐づけが必要
複数のAZを利⽤するVPCを構築するためには、AZごとに最低1つのサブネットを作成
VPC・サブネットの注意点• オンプレミスや別VPCとのIPアドレスの重複させない
• デフォルトVPCは利⽤を避ける • 運⽤後は簡単に変更できないので注意
• AWS VPCは作成開始時に決定したプライベートアドレスは、後から変更はできない
• サブネットも後で変更できない • 機能毎にサブネットを分ける • サブネットは、今後のスケールアップを考慮し、/24
など広めに
14
VPC
VPC構成例
15
インターネット 公開⽤サブネット
15
インターネット ⾮公開⽤サブネット
Internet Gateway
Virtual Private Gateway
インターネット オンプレミス
暗黙のルータ
Webサーバなど
DBサーバなど
VPC
Internet Gateway(IGW)
1616
サブネット
Internet Gateway
インターネット
暗黙のルータ
EC2 インスタンス
IGWはインターネットと接続するためのもの
IGWを経由し、仮想マシン(EC2インスタンス)とインターネット間の通信のために、VPCでは仮想マシン(EC2インスタンス)ごとにパブリックIPを付与でき、インターネットからのトラフィック受信時に宛先IPアドレスであるパブリックIPをプライベートIPに変換することで通信できます。
変更前 変換後スタティックNAT
グローバルIP (Public IP)
172.16.1.10
VPC
Virtual Private Gateway(VGW)
1717
サブネット 172.16.1.0/24
VGW
暗黙のルータ
EC2インスタンス .10
オンプレミス
オンプレミスのネットワークと接続するためのVPN接続もしくは専⽤線接続(Direct Connect:DX)で利⽤します。
ルートテーブル
1818
宛先 ターゲット172.16.0.0/16 local192.168.1.0/24 vgw0.0.0.0/0 igw
VPC
サブネット1 172.16.1.0/24
18
サブネット2 172.16.2.0/24
Internet Gateway
Virtual Private Gateway
インターネット オンプレミス
暗黙のルータ .1
EC2 インスタンス
EC2 インスタンス
どのネットワークから、どこへ転送するべきかを指定
18
各サブネットに対して1つルートテーブルを指定
192.168.1.0/24
172.16.0.0/16
VPC
NAT ゲートウェイ(NATインスタンス)
19
インターネット 公開⽤サブネット
19
インターネット ⾮公開⽤サブネット
Internet Gateway
NAT Gateway
インターネット
暗黙のルータ
NATゲートウェイが登場するまでは、AWS提供のNATインスタンスを構築 ⾮公開サブネットのNTPや パッケージアップデートに利⽤
2015/12/18に発表された新機能
NATインスタンス
VPC
Elastic IP
20
インターネット 公開⽤サブネット
20
Internet Gateway
Virtual Private Gateway
インターネット オンプレミス
暗黙のルータ
Elastic IP アドレス (EIP)を⽤いて、固定のグローバルIPアドレスをマッピング 実⾏中のインスタンスと関連付けられている Elastic IP アドレスが1つまで無料
通常EC2(仮想マシン)起動時 ・プライベート IP アドレス ・パブリック IP アドレス パブリックIPはインスタンスを停⽌し、起動した場合に変化してしまう。
NACLとSecurity Group
2121
VPC
サブネット1 172.16.1.0/24
21
サブネット2 172.16.2.0/24
EC2 インスタンス
EC2 インスタンス
NACL =ネットワークアクセスコントロールリスト • サブネットに設定 • 送信、受信をそれぞれ制御 • ステートレス • デフォルトは許可
21
Security Group(こちらを多く利⽤) =EC2の仮想ファイヤウォール • ステートフル • デフォルトは通信不可 • 複数のEC2をグループピング
まとめ• リージョンとAZ • VPC • サブネット • ルートテーブル • IGWとVGW • NATゲートウェイ(NATインスタンス) • Elastic IP • NACLとSecurity Group
22
詳細については・・・・ AWS Black Belt Tech Webinar「Amazon VPC」 http://aws.typepad.com/sajp/2015/04/aws-black-belt-vpc.html
VPCの構築⼿順
23
VPC
構築する構成
24
インターネット 公開⽤サブネット
Public 1a 10.0.11.0/24
24
インターネット ⾮公開⽤サブネット
Private 1a 10.0.21.0/24
Internet Gateway
NAT Gateway
インターネット
暗黙のルータ
Webサーバなど
DBサーバなど
25
1-1.事前準備
26
1-2.事前準備
27
1-3.事前準備
28
1-4.事前準備
29
2-1.VPCウィザードでVPC構築
30
2-2.VPCウィザードでVPC構築
31
2-3.VPCウィザードでVPC構築
32
2-4.VPCウィザードでVPC構築
33
3-1.確認(VPC)
34
3-2.確認(サブネット)
ご静聴ありがとうございました
35