Upgrade to Pro — share decks privately, control downloads, hide ads and more …

VPCについてあらためて考えてみる

Avatar for da-hatakeyama da-hatakeyama
October 07, 2023
Technology
1
270

 VPCについてあらためて考えてみる

JAWS FESTA 2023 の懇親会LTで使用した資料です
https://jft2023.jaws-ug.jp/

Avatar for da-hatakeyama

da-hatakeyama

October 07, 2023
Tweet

More Decks by da-hatakeyama

See All by da-hatakeyama
プロトコルを跨いで使えるファイルサーバーを作ってみる 〜S3 File GatewayとTransfer Familyの併用〜
Avatar for da-hatakeyama hatahata021
1
160
VPC Block Public Accessを触ってみて気づいた色々な勘所
Avatar for da-hatakeyama hatahata021
2
300
VPC Block Public AccessとCloudFrontVPCオリジンによって何が変わるのか?
Avatar for da-hatakeyama hatahata021
2
960
WernerVogelsのKeynoteで語られた6つの教訓とOps
Avatar for da-hatakeyama hatahata021
2
570
サーバレスを本気で理解したいあなたに贈る 「実践力を鍛えるBootcamp」の紹介
Avatar for da-hatakeyama hatahata021
3
370
CloudFrontを使ってSPAなWebサイトを公開するときに気をつけること
Avatar for da-hatakeyama hatahata021
1
3.1k
「AWSの薄い本」の紹介
Avatar for da-hatakeyama hatahata021
1
210
ALBの新機能 Automatic Target Weightsとgray failuresについて考えてみる
Avatar for da-hatakeyama hatahata021
0
1k
re:Invent Workshop「Advanced Multi-AZ Resilience Patterns」をやってみた
Avatar for da-hatakeyama hatahata021
1
290

Other Decks in Technology

See All in Technology
AI エージェントを評価するための温故知新と Spec Driven Evaluation
Avatar for Takahiro Kubo icoxfog417
PRO
2
690
Progressive Deliveryで支える!スケールする衛星コンステレーションの地上システム運用 / Ground Station Operation for Scalable Satellite Constellation by Progressive Delivery
Avatar for iselegant iselegant
1
210
新しい風。SolidFlutterで実現するシンプルな状態管理
Avatar for ZOZO Developers zozotech
PRO
0
130
The Complete Android UI Testing Landscape: From Journey to Traditional Approaches
Avatar for Alex Zhukovich alexzhukovich
1
110
【M3】攻めのセキュリティの実践!プロアクティブなセキュリティ対策の実践事例
Avatar for mizu axelmizu
0
180
今すぐGoogle Antigravityを触りましょう
Avatar for ryu rfdnxbro
0
150
ローカルVLM OCRモデル + Gemini 3.0 Proで日本語性能を試す
Avatar for Gota gotalab555
1
130
巨大モノリスのリプレイス──機能整理とハイブリッドアーキテクチャで挑んだ再構築戦略
Avatar for ZOZO Developers zozotech
PRO
0
280
自然言語でAPI作業を片付ける!「Postman Agent Mode」
Avatar for 草薙昭彦 nagix
0
130
Kubernetesと共にふりかえる! エンタープライズシステムのインフラ設計・テストの進め方大全
Avatar for 高棹大樹 daitak
0
440
身近なCSVを活用する!AWSのデータ分析基盤アーキテクチャ
Avatar for Kotaro.S koosun
0
4k
生成AIシステムとAIエージェントに関する性能や安全性の評価
Avatar for shibuiwilliam shibuiwilliam
0
130

Featured

See All Featured
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
7k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.5k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
7.8k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
118
20k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
760
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
How GitHub (no longer) Works
Avatar for Zach Holman holman
315
140k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
76
5.1k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
7k

Transcript

  1. そのCIDR、ほんとに使って大丈夫? VPCについてあらためて考えてみる JAWS FESTA 2023 懇親会LT

  2. 自己紹介 名前: 畠山 大治 業務: AWSを使ったインフラ構築 @某CIre 趣味: Perfumeを追いかける(ファンクラブ 9年目)

    読書、映画・アニメを見る 資格: AWS認定全冠、GC認定ACE、失効間近のCCNA JAWS歴: コロナ禍にJAWSデビュー 現在は運営もやってます(OpsJAWS) 好きなAWSサービス: VPC @hatake_book

  3. 昨日の記録 ⚫大地のうどん、資さんうどんおいしすぎた

  4. LTのきっかけ いつものようにAWS公式ドキュメントを見ていたら…

  5. LTのきっかけ いつものようにAWS公式ドキュメントを見ていたら… VPCのことは好き。 でも、VPCのこと本当に 理解できてるかな?

  6. 話すこと・前提 ⚫VPCを使う前に確認しておきたいことを勝手にまとめました ⚫ついでに、みんな大好き(?)VPCについてちょっとおさらい ⚫ベスプラに沿うように意識してますが、あくまで個人的な まとめです ⚫気になるところあったら懇親会で捕まえてください!!

  7. アジェンダ ⚫VPCについて軽くおさらい ⚫VPC使う時にあらかじめ確認しておきたいこと ⚫デフォルトVPC ⚫CIDR ⚫名前解決 ⚫消費されるIPアドレス ⚫IPアドレスの管理 ⚫IPv6 ⚫おまけ

  8. VPCについて軽くおさらい

  9. VPCとは ⚫VPCはリージョンごとに作成 サブネットはAZごとに作成 ⚫サービス開始は2009年 ⚫EC2のサービス開始よりも後(EC2は2006年) ⚫VPCリリース前のEC2は「EC2-Classic」と呼ばれる (サービス終了済み) ⚫たまにAWSサービスの裏にいる黒子的な存在 論理的に分離されたAWS内部の仮想ネットワーク https://docs.aws.amazon.com/ja_jp/vpc/latest/

    userguide/what-is-amazon-vpc.html

  10. VPCとは ⚫関連サービスは多岐にわたる(コンソール画面参考) ⚫ネットワーク系: サブネット、インターネットGW、ルートテーブル、VPN、Transit Gateway、 VPC Lattice … ⚫ セキュリティ系:

    ネットワークACL、セキュリティグループ、DNS Firewall、 Network Firewall… ⚫実は、AWS CLIコマンドでは EC2の中に位置する

  11. VPC使う時にあらかじめ 確認しておきたいこと ~デフォルトVPC~

  12. デフォルトVPCの扱い ⚫クオーターの観点 ⚫VPCの上限数はアカウントあたり5個まで ⚫上限緩和可能だが、残しておくメリット が薄いので削除推奨 クオーターとセキュリティの観点から、削除推奨 ⚫セキュリティの観点 ⚫デフォルトVPC内にはパブリックサブネットが 存在する ⚫インターネットGW、セキュリティグループも

    デフォルトのものが存在する ⚫デフォルトのサブネット、ルートテーブル、 IGW、SGもまとめて削除しましょう ※デフォルトVPC達は後から再作成も可能です

  13. VPC使う時にあらかじめ 確認しておきたいこと ~CIDR~

  14. 使用しないほうがいいCIDR ⚫リンクローカルアドレス:169.254.0.0/29 特殊な意味を持つCIDR グローバルIPを含むCIDR ⚫使用しても良いが、インターネットに抜ける場合などに影響あり ⚫運用者も混乱するはず、よほどのことが無ければ避けるべき (異論あったら教えてください!!) AWSで予約しているCIDR ⚫172.17.0.0/16 ⚫Cloud9、Sage

    Makerを使用するとIPアドレスの競合が発生する可能性あり

  15. 使用しないほうがいいCIDR ⚫リンクローカルアドレス:169.254.0.0/29 特殊な意味を持つCIDR グローバルIPを含むCIDR ⚫使用しても良いが、インターネットに抜ける場合などに影響あり ⚫運用者も混乱するはず、よほどのことが無ければ避けるべき (異論あったら教えてください!!) AWSで予約しているCIDR ⚫172.17.0.0/16 ⚫Cloud9、Sage

    Makerを使用するとIPアドレスの競合が発生する可能性あり そもそも作成不可(エラーになる) 作成は可能 作成は可能

  16. VPC使う時にあらかじめ 確認しておきたいこと ~名前解決~

  17. 名前解決関連で確認しておきたいこと ⚫VPCのDNS関連の設定、基本的には有効に ⚫DNS解決(enableDnsSupport) ⚫DNSホスト名(enableDnsHostnames) ⚫ある特定のDNSサーバーを使いたい場合は、DHCPオプションセットを別途作成する ⚫DNSサーバーは必ずオンプレにあるDNSサーバーを使いたい、など ⚫ある特定の名前解決の設定をしたいときは、Route53 Resolver Endpointを使用する ⚫syanai.localだけはオンプレのDNSサーバーで名前解決させたい、など

    ⚫料金には注意 0.125USD ENI ごと / 1時間 → 90USD / 月 × 2 ENI (ENIは最低2つ必要) = 180USD / 月

  18. VPC使う時にあらかじめ 確認しておきたいこと ~消費されるIPアドレス~

  19. 裏側でENIを消費するサービス(一例) ⚫エージェントを使用する場合はENIを4つ使用 ⚫エージェントを使用しなくてもENIを2つ使用 DataSync ⚫ジョブ実行時にENIが追加で1つ必要 Glue パツパツのCIDRにしていると危険 各サービスドキュメントの「ネットワーク要件」を要チェック!

  20. VPC使う時にあらかじめ 確認しておきたいこと ~IPアドレスの管理~

  21. IPアドレスの管理を考える ⚫社内で代々受け継がれるIPアドレス管理表を事前に確認 ⚫CIDRを後で変更するのは絶望的 ⚫IPアドレス管理には IP Address Manager(IPAM) を積極的に活用 ⚫事前にIPAMでIPのプールを作っておくことで、VPC作成時にプールの 中からCIDRを引っ張ってくることが可能

  22. VPC使う時にあらかじめ 確認しておきたいこと ~IPv6~

  23. IPv4と色々違うIPv6 ⚫IPv6はグローバルに一意なのでCIDRを事前に定義できない ⚫各リージョンで定められた範囲から、勝手に払い出される ⚫IaCを使う場合は、作成したリソースから属性値を引っ張ってくるなどの対応が必要 ⚫IPv6を使用した名前解決が必要な場合はDNS64を使用 ⚫DNS64は明示的に有効化する必要あり ⚫NAT64はデフォルトで有効 ⚫IPv6を使ったインターネットアウトバウンドがある場合は注意 ⚫場合によっては Egress

    Only Internet Gateway を追加する必要あり

  24. IPv4と色々違うIPv6 ⚫IPv6についての詳細は外道父さんの神ブログへ! https://blog.father.gedow.net/2023/09/04/aws-public-ipv4-to-ipv6/

  25. VPC使う時にあらかじめ 確認しておきたいこと ~おまけ~

  26. Terraformを使う場合 ⚫cidrsubnet 関数を積極的に利用しよう ⚫VPCのCIDRだけ定義しておけば、パラメータをいじるだけで サブネットのCIDRを定義できる ⚫IPv6のCIDRでも使用可能 https://developer.hashicorp.com/terraform/language/functions/cidrsubnet

  27. さいごに 何かとやっかいもの扱いされがち(?)なVPCですが もっと知りたくなってくれたらうれしいです

  28. 参考情報 ⚫VPC 公式ドキュメント ⚫ https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html ⚫create-vpc — AWS CLI 1.29.57

    Command Reference ⚫ https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc.html ⚫VPC CIDR ブロック ⚫ https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-cidr-blocks.html ⚫VPC 内の DNS 属性 ⚫ https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-dns.html#vpc-dns-support ⚫AWS DataSyncネットワーク要件 ⚫ https://docs.aws.amazon.com/ja_jp/datasync/latest/userguide/datasync-network.html ⚫AWS Glue のエラー「The specified subnet does not have … ⚫ https://repost.aws/ja/knowledge-center/glue-specified-subnet-free-addresses ⚫VPCのDNS解決とDNSホスト名の関係性について検証してみた ⚫ https://blog.serverworks.co.jp/2023/05/02/175854#DNS%E3%83%9B%E3%82%B9%E3%83%88%E5%90%8 DenableDnsHostnames ⚫AWSのPublic IPv4構成をIPv6に切り替える ⚫ https://blog.father.gedow.net/2023/09/04/aws-public-ipv4-to-ipv6/