AWSネットワーク入門

Transcript

1. AWSネットワーク入門 carotene4035 1

2. 自己紹介 2

3. 自己紹介 •  h0ps://twi0er.com/carotene4035   •  Qiitaで記事書いてます（変なやつ）   – つるのおんがえしでPermission  Denied.  

   •  h0ps://qiita.com/carotene4035/items/ 2972c68027D29086378 3

4. 本出しました 4

5. 本出しました •  技術書典で技術書（ラノベ）を出しました   •  デザインパターンなのに、エモい。という本   – 「デザインパターンの本を読んだけど、理屈っぽく ていまいちよくわからなかった」人のための、  

   「デザインパターンを本能で理解する」本   – ラノベ調   – h0ps://carotene4035.booth.pm/items/1044161   5

6. いきさつ •  セキュリティ強化のため、ネットワーク構成を 整理（してもらった）   •  構成をAWS上でポチポチ作るのが僕の最初 の仕事   • 

   ぜんぜんわからん 6

7. いきさつ •  ちょっとずつわかってきたので、完全に理解し たつもりになった   •  そういうのはよくないので、   今日はマサカリ大歓迎です  

   7

8. 前提 •  システムを構成するインフラ要素にアクセス制御をしたい ことがある   –  外部からアクセスさせたいもの（ELB,  webサーバなど）   – 

   外部からアクセスさせたくないもの（RDSなど）   •  見せたいものだけ見せ、見せたくないものは見せないこと により、セキュリティを向上させたい   •  そのための技術がAWSで使うことが出来る   8

9. 主な技術 •  VPC   •  Subnet   •  Route  table

     •  Security  group 9

10. VPC •  Virtual  Private  Cloud   – 外からのアクセスを制限することが出来る、   社内ネットワークをクラウド上に作れるイメージ  

    10

11. Subnet   •  Subnet   –  VPCの中を小さくいくつかに分けたもの   –  各々のSubnetに通信規則を設定することが出来る

      (  network  ACL,  route  table）   –  VPCのipアドレス帯が枯渇しない限り   いくらでもたてれる   –  使用するsubnetの個数と、   その上に載せたいインスタンスの個数を考えた上で ネットワーク部を決める   11

12. VPCとsubnetの関係 •  VPCのIPレンジを10.0.0.0/16にする     •  使用可能なIPレンジの中からsubnetを作る   12

13. subnetで使えるip •  10.0.0.0/24  で分けた場合   –  以下の５つのipについては使用不可   •  10.0.0.0:

     ネットワークアドレス •  10.0.0.1:  VPC  ルーター用に AWS  で予約 •  10.0.0.2:  AWS  で予約 •  10.0.0.3:  将来の利用のために AWS  で予約 •  10.0.0.255:  ネットワークブロードキャストアドレス   •  h0ps://docs.aws.amazon.com/ja_jp/vpc/latest/ userguide/VPC_Subnets.html 13

14. VPCとsubnetの関係 •  例　VPC　10.0.0.0/16   – Subnet1  10.0.0.0/24   – Subnet2  10.0.1.0/24  

    – Subnet3  10.0.2.0/24   – …   – Subnet255  10.0.255.0/24   14

15. Route  table   •  Route  table   – 各VPC,  各subnetに1つ紐付けられる  

    – 通信の規則を記述したもの   •  例） このip範囲への通信は、ここへ飛ばす   15

16. Security  group   •  Security  group   – インスタンスにたいして１つ以上紐つけるもの   – そのインスタンスへの流入、流出を細かく制御す

    ることができる（source,  port,  protocolが指定でき る）   h0ps://docs.aws.amazon.com/ja_jp/AWSEC2/ latest/UserGuide/using-­‐network-­‐security.html   16

17. 【補足】Default  VPC/Subnet/RT •  AWSアカウントを作ると、defaultで以下のものが作ら れる   –  VPC    

    •  172.31.0.0/16   •  Igwがa0achされている   –  VPCに紐付くsubnet     •  172.31.0.0/20,  172.31.16.0/20,  172.31.32.0/20   –  Route  table   •  igwとlocalへのルートが記述されており、   VPCとsubnetに関連付けられている 17

18. Default  VPC/Subnet/RT •  つまり、AWSアカウント開設時に存在する   subnetはすべてpublic  subnet（後述） 18

19. 今回やること •  システム構成図   – 第一部   •  EC2に立てたインスタンスにpingを通すまで   – 第二部

      •  EC2からprivate  subnetに立てたRDSに接続するまで   19

20. 第一部 20

21. VPCを作る •  IPv4  CIDR   21

22. VPCを作る 22

23. Subnetを作る •  VPC,  AZ,  CIDR   23

24. Subnetを作る 24

25. EC2インスタンスを立てる 25

26. 外からアクセスする用にEIPを置く 26

27. 外からアクセスする用にEIPを置く失敗 27

28. Elas`cIP注意 •  Elas`c  IPを使用するにはigwが必要     28

29. VPCにigwを紐つける 29

30. 外からアクセスする用にEIPを置く 30

31. 確認＆ping通らない 31

32. Subnetの設定を確認 32

33. Route  Table紐付け前 33

34. 新しくroute  tableを作って紐付け 34

35. Route  Table紐付け後 35

36. 補足 •  igwへの通り道があるsubnetのことを、   public  subnetといいます   36

37. 確認＆ping通らない 37

38. インスタンスのSecurity  Groupを確認 38

39. ICMPを許可 39

40. ping… 40

41. 普通に通った 41

42. 第二部 42

43. private  subnetを立てる •  RDSは外からアクセスさせたくないので、   igwをroute  tableに持たないprivate  subnetを 立てる 43

44. 44

45. RDSを立てる •  RDSを立てるにはAZをまたいだ複数のsubnet で構成される「subnet  group」を作る必要があ る   •  そのためにsubnetをもう一つ追加する  

    45

46. 46

47. RDSを立てる •  Subnet  groupを作成   47

48. 48

49. RDSを立てる •  今回は作っていないが、別のAZにレプリカを作る ことができる   •  作っておくと、１つのAZがやられても大丈夫   •  ※

     レプリカを作らなくても、   subnet  groupには必ず別AZのsubnetを含んでい なくてはならない（ややこしい）   49

50. 50

51. EC2にsshでログイン&psql接続→失敗 51

52. RDSのセキュリティグループ編集 52

53. EC2にsshでログイン&psql接続→成功 53

54. 外部から接続→失敗、つまり成功 54

55. 55

56. まとめ •  割と楽しい   •  設定項目が多い   •  その分、細かい制御が可能だということ  

    •  VPCレベルで共通の設定→VPCのroute  table   •  Subnetレベルで共通→Subnetのroute  table,  network  ACL   •  インスタンスレベル→security  group   •  など、どこで何を設定するのかを考える必要がある   56