Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
実践VPC
Search
Isobe Kazuhiko
March 23, 2012
Technology
44
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
実践VPC
Isobe Kazuhiko
March 23, 2012
More Decks by Isobe Kazuhiko
See All by Isobe Kazuhiko
今こそ遊ぼうパンデミック
muramasa64
0
37
My Keyboard Situation
muramasa64
0
34
Slack Enterprise Grid with multiple IdP
muramasa64
0
59
cloudpackを支える認証技術
muramasa64
0
54
AWS Account Numberを取得するN個の方法
muramasa64
0
37
AWS Identity and Access Management
muramasa64
0
35
Introduction to AWS SDK for Ruby
muramasa64
0
44
Amazon VPCでVPN
muramasa64
0
54
Other Decks in Technology
See All in Technology
クラウド上のデータ復旧で見落としがちな制約: 医療系 SaaS の BCP 設計から得た教訓
kakehashi
PRO
0
3.4k
Mastraエージェント、どのクラウドにデプロイする?
minorun365
PRO
2
180
凡エンジニアがこの先生きのこるためには。〜TypeScript完全に理解したい〜
alchemy1115
2
180
Control Planeで育てるBtoB SaaSの認証基盤 - SRE NEXT 2026
pokohide
1
2.3k
LLM/Agent評価:トップ営業の発言を「正解」にする 〜暗黙的正解による評価を営業資産に変える〜
takkuhiro
1
210
タスクの複雑さでモデルを選ぶ ── Thompson Samplingで動かす“トークン/コスト最適化
satohy0323
0
360
End-to-Endで考える信頼性 —LINEアプリにおけるクライアント開発×SRE連携の実践
maruloop
4
4.1k
AICoEでAIネイティブ組織への進化
yukiogawa
0
170
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
2
3.8k
AI Agent SaaS を支える自社仮想化基盤への挑戦と実運用 / ai-agent-saas-virtualization
flatt_security
2
3.8k
Compose 新機能総まとめ / What's New in Jetpack Compose
yanzm
0
170
AIレビューはどこまで任せられるのか?自動化と人が背負うレビューの境界
sansantech
PRO
2
770
Featured
See All Featured
Designing for humans not robots
tammielis
254
26k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.8k
Design in an AI World
tapps
1
260
Exploring anti-patterns in Rails
aemeredith
3
440
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.4k
The #1 spot is gone: here's how to win anyway
tamaranovitovic
3
1.1k
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
340
YesSQL, Process and Tooling at Scale
rocio
174
15k
My Coaching Mixtape
mlcsv
0
170
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1.2k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.8k
Transcript
実践VPC 実践VPC ISOBE Kazuhiko (cloudpack) cloudpack night #2 2012-03-23
提供 この発表はcloudpackの提供で お送りいたします 01 26
自己紹介 Twitter: muramasa64 cloudpackでAWSで提案・設計・運用 最近VPCを使う案件が多いです 好きなAWSサービス: API 02 26
VPCはパラダイムシフト 従来のAWSのシステム設計とは方法論を変 えなければならない もちろんオンプレミスとも違う 03 26
VPCを使って分かったこと これまでVPCの設計をしてきて、ある程度 固まってきた使い方について紹介 04 26
サブネット サブネットをどう分割するか 05 26
サブネット単位でできること ネットワークACL ルーティング どこかのAZに所属 AZをまたげない 06 26
サブネットの分け方 ルーティング単位で分ける Internetと通信する VPNの接続拠点に直接アクセスする NATインスタンスを使ってる 07 26
サブネットの分け方 ELB専用サブネットを作る(推奨) RDSは専用でなくてもよさそう? 08 26
セキュリティグループ セキュリティグループはEC2稼働中に付け 替えられて便利 この機能を前提とすると、従来とは違った 使い方のほうがすっきるする 09 26
従来のやりかた defaultセキュリティグループはすべてに つける サーバ間の通信をすべて許可する設定 全てに共通な設定(管理サーバからのアクセスな ど)を設定 10 26
従来のやりかた サーバのカテゴリごとにつける Webサーバなら、web、DBサーバならDBという グループを作ってつける 同じカテゴリなら、同じルールの設定が必要にな るため 11 26
従来のやりかたの課題 同じIPアドレスからの許可を、複数のグ ループに設定が必要だったりして面倒 このIPアドレスって、どこのIPアドレス だっけ? 12 26
VPCでの考え方 下記のようなグループ分けをする 領域別グループ 機能別グループ 利用者別グループ 13 26
領域別グループ 通信を許可する領域別につくる internetからのアクセス、VPC内部のアク セス 14 26
機能別グループ サーバのもつ機能ごとに設定する Webサーバ、DBサーバ、NATインスタン ス 15 26
利用者別グループ cloudpack、お客さま、開発会社など グループ単位で追加・変更・削除すると管 理しやすい 16 26
ネットワークACL サブネット単位 複数AZはまたげない Denyルールが使える ステートレス 設定がやや面倒 サブネット内の通信は影響なし 17 26
ネットワークACLの使い所 通常のFW的使い方は、セキュリティグ ループでやる Denyルールを活用する サブネット間で通信させたくないとき 特定のIPアドレスから攻撃があった時にブロック する 18 26
VPCの設計での事例 とりあえずVPCを使うのは決まっていた VPCのCIDRは、192.168.0.0/24という顧 客の要望 /24だと、AZを複数作るとカツカツ 192.168.0.0/25, 192.168.0.128/25の2つ ここまでは良かった… 19 26
あっ、サブネットが足りない えっ、ELB使うの? ELBは、IPアドレスが123個以上無いと作れ ない もうサブネットは追加できないし… VPN接続の設定はしちゃったのでCIDRを 増やして作り直しもNG 20 26
とりあえずの解決策 /25ならELBをひとつ作ることはできる まず、/25のサブネットを作る そこにELBを入れる その後にEC2を立ち上げる 21 26
問題点 ELBを複数作ることができない 消して作りなおしもできない Amazonの推奨ではない ELBは専用のサブネットが望ましい でも、123個必要って、ちょっと制限がきついので は… 22 26
今後の対策 最初にしっかりとシステム構成を定義しま しょう ELBを後から追加したいとかは厳しい 最初に定義できない場合は、VPCは広く確 保しておく 23 26
ちなみに Virtual Private Gatewayは別のVPCにア タッチし直せる 別のVPCを作ってアタッチし直すという技 が使える 今回も検討したけど事情があり使えなかった システムのリプレースに便利かも 24
26
まとめ VPCは便利だけど使い方が難しい ちゃんと設計してから構築しましょう ご意見募集! 25 26
ご静聴ありがとうございました 26 26