Upgrade to Pro — share decks privately, control downloads, hide ads and more …

VPC Reachability Analyzerを使ってみてわかった便利さと意外なハマりどころ

daiki.handa
February 16, 2024
Technology
0
150

VPC Reachability Analyzerを使ってみてわかった便利さと意外なハマりどころ

以下勉強会の登壇資料になります。

【AWS】AWS10分LT会 - vol.3
https://aws-likers.connpass.com/event/307986/

daiki.handa

February 16, 2024
Tweet

More Decks by daiki.handa

See All by daiki.handa
AWS学習者向けにAzureの解説スライドを作成した話
handy
3
220
英語力0だけどData Engineer Associate(beta)を受験してみた
handy
1
330
アクセスが制限されているECRに対してAzure Pipelinesからイメージを登録してみた
handy
0
98

Other Decks in Technology

See All in Technology
データ基盤を支える技術
chanyou0311
5
2.9k
知識と実践を紡ぐGenAI / Connecting Knowledge and experience with GenAI
aki_moon
2
170
Step by Stepで学ぶ、ADT(代数的データ型)、モナドからEffect-TSまで
leveragestech
1
2.9k
PHP 9 に備えよ - 動的プロパティ、どうすればいぃ?
taisukearase
0
290
令和版ソフトウェアエンジニアの情報収集術 PHPカンファレンス香川2024
ysknsid25
4
870
エンジニアゼロの組織から内製開発の DX をどう実現したのか / How did we achieve DX in in-house development in an organization with zero engineers?
genkiogasawara
6
2.9k
[2024년 5월 세미나] 생성형 AI와 함께하는 데이터 분석가 커리어
datarian
0
1.2k
TypescriptでのContextualな構造化ロギングと社内全体への導入
leveragestech
3
570
Google Cloudを組織(企業)で運用する時のベストプラクティス × 健康の環境分離戦略 #まるクラ勉強会
yasumuusan
0
170
社内での継続的な機械学習勉強会の開催のコツ
yudai00
2
380
Real World Type Puzzle and Code Generation
yukukotani
4
630
Prisma ORMを2年運用して培ったノウハウを共有する
tockn
19
5k

Featured

See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
25
2k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
8
3.5k
The Art of Programming - Codeland 2020
erikaheidi
43
12k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
4 Signs Your Business is Dying
shpigford
176
21k
Typedesign – Prime Four
hannesfritz
36
2.1k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.7k
Web development in the modern age
philhawksworth
203
10k
KATA
mclloyd
16
12k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
23
1.7k
Into the Great Unknown - MozCon
thekraken
15
1.1k

Transcript

  1. VPC Reachability Analyzerを使ってみてわかった 便利さと意外なハマりどころ 2024年2月16日 半田大樹(@handydd18) AWS10分LT会 - vol.3

  2. AWS10分LT会 - vol.3 自己紹介 半田 大樹(Daiki Handa) • 普段はAWSを中心とした技術支援や設計・構築等を担当 •

    最近はAWSとAzureを跨いだアーキテクチャの検討や技術検証も少し担当 こんな資料も作ってます→「AWS履修者のためのAzure入門」(speakerdeck) • 好きなAWSサービスはS3とAppFlow • SAA対策本の一部執筆も担当 • 趣味はクラウド資格取得(現在29個) (数えたら2021年から毎年6個~9個ずつ取ってました) 株式会社BeeX所属 ×13 ×8 ×8 X→@handydd18

  3. いきなりですが、このような経験はありますか?

  4. AWS Cloud Virtual private cloud (VPC) Amazon EC2 AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング 構成例 設定合ってるはずなのに 何故か通信できない…

  5. AWS Cloud Virtual private cloud (VPC) Amazon EC2 AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング 構成例 設定合ってるはずなのに 何故か通信できない… SG設定が間違っている? SG設定が間違っている?

  6. AWS Cloud Virtual private cloud (VPC) Amazon EC2 AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング 構成例 設定合ってるはずなのに 何故か通信できない… SG設定が間違っている? Route table Route table ルート設定が間違っている? SG設定が間違っている? ルート設定が間違っている?

  7. AWS Cloud Virtual private cloud (VPC) Amazon EC2 AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング 構成例 設定合ってるはずなのに 何故か通信できない… SG設定が間違っている? Route table Route table ルート設定が間違っている? SG設定が間違っている? ルート設定が間違っている? ピアリング先が間違っている?

  8. AWS Cloud Virtual private cloud (VPC) Amazon EC2 AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング 構成例 設定合ってるはずなのに 何故か通信できない… SG設定が間違っている? Route table Route table ルート設定が間違っている? SG設定が間違っている? ルート設定が間違っている? ピアリング先が間違っている? Network access control list Network access control list NACLが間違ってる?

  9. AWS Cloud Virtual private cloud (VPC) Amazon EC2 AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング 構成例 設定合ってるはずなのに 何故か通信できない… SG設定が間違っている? Route table Route table ルート設定が間違っている? SG設定が間違っている? ルート設定が間違っている? ピアリング先が間違っている? 疎通コマンドが間違ってる? Network access control list Network access control list NACLが間違ってる?

  10. 原因どこなんだ…(´;ω;`)

  11. もっと複雑な構成だったら?

  12. AWS Cloud Virtual private cloud (VPC) AWS Cloud Virtual private

    cloud (VPC) AWS Cloud Virtual private cloud (VPC) AWS Transit Gateway Amazon EC2 AWS Network Firewall AWS Cloud Virtual private cloud (VPC) Amazon EC2 Internet gateway NAT gateway Attachment Attachment Attachment Attachment 構成例 原因調査だけで数日かかりそう…

  13. そんな時に使えるのが

  14. VPC Reachability Analyzer

  15. VPC Reachability Analyzerとは? 簡単に言うとコンソール上からVPC内の接続テストをできる構成分析ツールです。 以下のようなことができます。 • ネットワークの設定ミスによる接続問題のトラブルシュート • ネットワーク構成の正確性調査 など

  16. 最初の疎通エラーの環境で使ってみます

  17. エラー時画面

  18. エラー時画面 アクセス先のEC2のセキュリティグループの設定が不足していました。

  19. VPCエンドポイントへの疎通確認 EC2からVPCエンドポイントへの疎通も確認できます。

  20. VPC Reachability Analyzerの設定項目 以下の設定項目で構成されています。 • パス設定 • パスの送信元 • パスの送信先

    • プロトコル • タグ

  21. VPC Reachability Analyzerの設定項目 以下の設定項目で構成されています。 • パス設定 • パスの送信元 • パスの送信先

    • プロトコル • タグ 送信元タイプ(9種類) • Instances • Internet Gateways • Network Interfaces • Transit Gateways • Transit Gateway Attachments • VPC Endpoint • VPC Endpoint Service • VPC Peering Connections • VPN Gateways

  22. VPC Reachability Analyzerの設定項目 以下の設定項目で構成されています。 • パス設定 • パスの送信元 • パスの送信先

    • プロトコル • タグ 送信先タイプ(8種類) • Instances • Internet Gateways • IP Address • Network Interfaces • Transit Gateways • Transit Gateway Attachments • VPC Endpoint • VPC Endpoint Service • VPC Peering Connections • VPN Gateways

  23. VPC Reachability Analyzerの設定項目 以下の設定項目で構成されています。 • パス設定 • パスの送信元 • パスの送信先

    • プロトコル • タグ プロトコル • TCP • UDP

  24. そんな便利なVPC Reachability Analyzerですが 意外なハマりどころがありました

  25. AWS Cloud Virtual private cloud (VPC) Amazon RDS AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング (実際はTGW) 実際の構成 VPC Reachability Analyzerで EC2からRDSへ疎通確認できたのに 何故か通信できない…

  26. AWS Cloud Virtual private cloud (VPC) Amazon RDS AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング (実際はTGW) 実際の構成 VPC Reachability Analyzerで EC2からRDSへ疎通確認できたのに 何故か通信できない… SG設定は合ってる SG設定は合ってる 疎通コマンドは合ってる

  27. AWS Cloud Virtual private cloud (VPC) Amazon RDS AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング (実際はTGW) 実際の構成 VPC Reachability Analyzerで EC2からRDSへ疎通確認できたのに 何故か通信できない… SG設定は合ってる SG設定は合ってる 疎通コマンドは合ってる Flow logs Flow logs RDSに通信は届いていた

  28. AWS Cloud Virtual private cloud (VPC) Amazon RDS AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング (実際はTGW) 実際の構成 EC2に戻りの通信が届いてない? SG設定は合ってる SG設定は合ってる 疎通コマンドは合ってる Flow logs Flow logs RDSに通信は届いていた

  29. AWS Cloud Virtual private cloud (VPC) Amazon RDS AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング (実際はTGW) 実際の構成 戻りのルート設定が足りてないやんけ! SG設定は合ってる SG設定は合ってる 疎通コマンドは合ってる Flow logs Flow logs RDSに通信は届いていた Route table Route table 戻りのルート設定が不足

  30. AWS Cloud Virtual private cloud (VPC) Amazon RDS AWS Cloud

    Virtual private cloud (VPC) Amazon EC2 Peering connection Peering connection ピアリング (実際はTGW) 実際の構成 戻りのルートを設定したら疎通できた SG設定は合ってる SG設定は合ってる 疎通コマンドは合ってる Flow logs Flow logs RDSに通信は届いていた Route table Route table ルート設定を修正

  31. VPC Reachability Analyzerで見つけられなかった原因 疎通を確認するサービスという認識だったので 往復の通信もチェックされていると思い込んでいた ※pingコマンドをイメージしてました

  32. VPC Reachability Analyzerドキュメント 参考URL:https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html 以下の「到達可能性」というのは、双方向ではなく あくまで送信元と宛先間の単方向のみ

  33. VPC Reachability Analyzer料金 料金は1回$0.10とちょっと高めです

  34. まとめ • VPC Reachability Analyzer便利なので是非使ってみてくだ さい • 単方向の「到達可能性」しかチェックしないので、戻りの通 信経路は別途チェックする必要があります

  35. おまけ

  36. 参考URL:https://aws.amazon.com/jp/blogs/networking-and-content-delivery/introducing-amazon-q-support-for-network-troubleshooting/ Amazon Qを利用したトラブルシュート 2023年のre:Invent期間のアップデートで Amazon Qでトラブルシュートできるようになったらしい (英語のみ)

  37. 聞いてみましたが、バージニアしかまだ対応してないようです。 Amazon Qを利用したトラブルシュート

  38. おわり