ハイブリッドクラウド構成におけるRoute53のコスト削減

Transcript

1. © 2024 NTT DATA Corporation © 2024 NTT DATA Corporation

   ハイブリッドクラウド構成におけるRoute53のコスト削減 2024年3⽉15⽇ NTTデータ 川村 吏

2. © 2024 NTT DATA Corporation 2 ⾃⼰紹介 ・名前︓川村 吏（かわむら つかさ）

   ・所属︓株式会社NTTデータ 社会基盤ソリューション事業本部 ・業務︓ 2015年中ころ〜2019年初頭まで︓オンプレミス環境(VMware、Xen、Hyper-V等)を中⼼とした、基盤設計、構築、運⽤等 2019年初頭〜2020年10⽉︓パブリッククラウド(AWS中⼼、Azureも少し)へのリフト、シフト、新規開発における提案、基盤設計、構築 2020年11⽉〜︓NTTデータ社へ中途⼊社 公共機関向けシステムのクラウド移⾏に関するコンサル、提案、設計、構築など ・好きなAWSサービス︓ S3、CloudFront、Route53 ・趣味︓ 猫、Disney、グラス収集、紅茶、料理、etc…

3. © 2024 NTT DATA Corporation 3 本⽇お話すること ハイブリッドクラウド構成において、Route53を利⽤した相互の名前解決を⾏うことが多々あると思います。 特にマルチアカウント構成の場合にコスト削減につながるアーキテクチャを解説します。

4. © 2024 NTT DATA Corporation 4 01 オンプレ→AWSへの名前解決 （シングルアカウント編）

5. © 2024 NTT DATA Corporation 5 ドメインの管理をオンプレミス側で実施する場合 オンプレ側でドメインを管理している場合の構成です。 AWSの⼀部のリソースについては名前解決が必須であるため、名前解決が必要な場合のみ転送するという構成です。 AWS

   Cloud Virtual private cloud (VPC) Corporate data center DNS Servers Private subnet AWS Direct Connect Route 53 Resolver フォワーダー フルサービスリゾルバ リゾルバールール Inbound Endpoint DirectConnect VPN等による接続 特定のドメインに対して の転送ルールを設定 Zone︓example.internal Name Type Value www1 A X.X.X.X www2 CNAME XXX.ama zonaws.c om 条件 転送先 amazonaw s.com InboudEn dpointの IPアドレス 転送ルール そもそもインターネットで名前解決すれば 良いのでは︖

6. © 2024 NTT DATA Corporation 6 クラウドリソースに関するドメインの管理をAWS側に置くパターン AWS側のリソースはすべてRoute53で解決するという思想の⽅式です。 この場合、オンプレミス側DNSではRoute53のドメインはすべて転送というルールを書くのみです。 利⽤⽅法にもよりますが、オンプレミス側への依頼や介⼊をせずに、AWS側で⾃由にレコードを変更、定義が可能なので

   個⼈的にはこちらの構成をおすすめしております。 AWS Cloud Virtual private cloud (VPC) Corporate data center DNS Servers Private subnet AWS Direct Connect Route 53 Resolver フォワーダー フルサービスリゾルバ リゾルバールール Inbound Endpoint Private Host Zone DirectConnect VPN等による接続 特定のドメインに対して の転送ルールを設定 条件 転送先 sub.exampl e.internal InboudEn dpointの IPアドレス Zone︓sub.example.internal Name Type Value www1.aws. internal A X.X.X.X www2.aws. internal A(ALIAS) or CNAME ELBの FQDN

7. © 2024 NTT DATA Corporation 7 02 オンプレ→AWSへの名前解決 （マルチアカウント編）

8. © 2024 NTT DATA Corporation 8 どこがコストポイントか︖ Route 53 Resolverエンドポイントが結構⾼い

   ENIごとに0.125USD/hなので 単純に計算すると 0.125USD*24h*30d*2AZ=180USD（インバウンドエンドポイントのみ） が毎⽉かかる。 さらに単純なマルチアカウント構成をとるとアカウントごとに上記費⽤がかかる。 アウトバウンドエンドポイントを構成する場合はその倍。

9. © 2024 NTT DATA Corporation 9 ドメインの管理をオンプレミス側で実施する場合 この構成の場合、１アカウント１VPCにのみエンドポイントを作ればよいのでコスト上問題はおこりません。 AWS Cloud

   VPC-A Corporate data center DNS Servers Private subnet AWS Direct Connect Route 53 Resolver フォワーダー フルサービスリゾルバ リゾルバールール Inbound Endpoint インバウンドエンドポイ ントは不要 Zone︓example.internal Name Type Value www1 A X.X.X.X www2 CNAME XXX.ama zonaws.c om 条件 転送先 amazonaw s.com InboudEn dpointの IPアドレス 転送ルール AWS Cloud VPC-B

10. © 2024 NTT DATA Corporation 10 クラウドリソースに関するドメインの管理をAWS側に置くパターン この場合、ドメインがVPCごとに分かれるため、VPCごとにInboudEndpointを作る必要がありその分コストが増⼤します。 Corporate data

    center DNS Servers Private Host Zone 条件 転送先 sub.exampl e.internal VPC-Aの InboudEn dpointの IPアドレス sub2.exam ple.internal VPC-Bの InboudEn dpointの IPアドレス Zone︓sub.example.internal Name Type Value www1 A X.X.X.X www2 A(ALIAS) or CNAME ELBの FQDN AWS Cloud VPC-A Private subnet AWS Direct Connect Route 53 Resolver フォワーダー フルサービスリゾルバ リゾルバールール Inbound Endpoint AWS Cloud VPC-B Private subnet Inbound Endpoint Resolver Route 53 Zone︓sub2.example.internal Name Type Value www1 A X.X.X.X www2 A(ALIAS) or CNAME ELBの FQDN Private Host Zone

11. © 2024 NTT DATA Corporation 11 コスト削減パターン クラウドリソースに関するドメインの管理をAWS側に置くパターン 前スライドでVPCごとに作成していたインバウンドエンドポイントを１つに集約するパターンです。 プライベートホストゾーンを１つのVPCに紐づけることにより、インバウンドエンドポイントを集約することができます。

    Corporate data center DNS Servers Private Host Zone 条件 転送先 sub.exampl e.internal VPC-Aの InboudEn dpointの IPアドレス sub2.exam ple.internal VPC-Bの InboudEn dpointの IPアドレス Zone︓sub.example.internal Name Type Value www1 A X.X.X.X www2 A(ALIAS) or CNAME ELBの FQDN AWS Cloud VPC-A Private subnet AWS Direct Connect Route 53 Resolver フォワーダー フルサービスリゾルバ リゾルバールール Inbound Endpoint AWS Cloud VPC-B Private subnet Resolver Route 53 Zone︓sub2.example.internal Name Type Value www1 A X.X.X.X www2 A(ALIAS) or CNAME ELBの FQDN Private Host Zone プライベートホストゾー ンをVPC-Bに紐づけ Endpoint不要

12. © 2024 NTT DATA Corporation 12 04 AWS→オンプレへの名前解決 （シングルアカウント編）

13. © 2024 NTT DATA Corporation 13 AWSからオンプレ側への名前解決を実施する場合 オンプレ側への名前解決をする例です。 AWS Cloud

    Virtual private cloud (VPC) Corporate data center DNS Servers Private subnet AWS Direct Connect Route 53 Resolver フォワーダー フルサービスリゾルバ リゾルバールール Outbound Endpoint DirectConnect VPN等による接続 ドメイン タイプ ターゲット XXX 転送 オンプレ DNS ルール

14. © 2024 NTT DATA Corporation 14 05 AWS→オンプレへの名前解決 （マルチアカウント編）

15. © 2024 NTT DATA Corporation 15 通常パターン OutboundEndpointをVPCごとに⽤意したパターンです。 OutboundEndpointをVPCごとに⽤意しているためVPCが増えるたびにコストが増⼤します。 Corporate

    data center DNS Servers 条件 転送先 sub.exampl e.internal VPC-Aの InboudEn dpointの IPアドレス sub2.exam ple.internal VPC-Bの InboudEn dpointの IPアドレス AWS Cloud VPC-A Private subnet AWS Direct Connect Route 53 Resolver フォワーダー フルサービスリゾルバ リゾルバールール Outbound Endpoint AWS Cloud VPC-B Private subnet Outbound Endpoint Resolver Route 53 ドメイン タイプ ターゲット XXX 転送 オンプレ DNS ルール ドメイン タイプ ターゲット XXX 転送 オンプレ DNS ルール リゾルバールール

16. © 2024 NTT DATA Corporation 16 コスト削減パターン 転送ルールを複数VPCにアタッチすることが可能です。 その場合、OutboundEndpointは⼀つでよく、VPC間の接続も不要で名前解決が可能です。 ※転送ルールは代表するVPCを保有している側での管理となります。

    Corporate data center DNS Servers 条件 転送先 sub.exampl e.internal VPC-Aの InboudEn dpointの IPアドレス sub2.exam ple.internal VPC-Bの InboudEn dpointの IPアドレス AWS Cloud VPC-A Private subnet AWS Direct Connect Route 53 Resolver フォワーダー フルサービスリゾルバ リゾルバールール Outbound Endpoint AWS Cloud VPC-B Private subnet Resolver Route 53 ドメイン タイプ ターゲット XXX 転送 オンプレ DNS ルール リゾルバールール 転送ルールの共有 VPC間の接続は不 要 Endpoint不要 注意︕ 転送ルールを１アカウント に集約するため、対象アカ ウントを管理している側で、 ルールのメンテナンスが必 要。組織が別れている場 合などでは、運⽤が複雑 になる可能性がある

17. © 2024 NTT DATA Corporation 17 06 まとめ

18. © 2024 NTT DATA Corporation 18 まとめ ハイブリッドクラウド構成を取ると必ず名前解決がポイントになります。 構成上⾼額となりやすいResolver Endpointやドメイン管理の構成など、どの構成が案件特性上はまるのかを考えたうえで、コ

    ストとのバランスを取っていきましょう。

19. Thank you!