Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ひたすら楽してネットワーク管理者

Avatar for Shota Shiratori Shota Shiratori
October 08, 2025
1
19

 ひたすら楽してネットワーク管理者

NW-JAWS #18登壇資料です

Avatar for Shota Shiratori

Shota Shiratori

October 08, 2025
Tweet

More Decks by Shota Shiratori

See All by Shota Shiratori
なぜ複数のVPCをつなぐ必要があるのか?
Avatar for Shota Shiratori shotashiratori
7
1.1k
あなたの通信はどうやってAWSのリソースまで届くか
Avatar for Shota Shiratori shotashiratori
3
1.2k
セキュリティグループとネットワークアクセスリストを併用して、上手に通信制御を行うためのベストプラクティス
Avatar for Shota Shiratori shotashiratori
0
570
「一つのVPCを作る」徹底討論
Avatar for Shota Shiratori shotashiratori
7
790
自治体ネットワークとAWSの接続について
Avatar for Shota Shiratori shotashiratori
1
1.3k
もし90年代の地方住み小学生に14.4Kのモデムを与えたら
Avatar for Shota Shiratori shotashiratori
0
440
re:Invent 2024 Innovation Talks(NET201)で語られた大切なこと
Avatar for Shota Shiratori shotashiratori
0
480
re:Invent 2023終了後~2024年のネットワーク関連のアップデート
Avatar for Shota Shiratori shotashiratori
0
340
現地でMeet Upをやる場合の注意点 〜反省点を添えて〜
Avatar for Shota Shiratori shotashiratori
0
1.2k

Featured

See All Featured
Code Review Best Practice
Avatar for Trisha Gee trishagee
72
19k
Docker and Python
Avatar for Tania Allard trallard
46
3.6k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.2k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.8k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
19
1.2k
A better future with KSS
Avatar for Kyle Neath kneath
239
17k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
329
39k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
46
7.6k

Transcript

  1. ひたすら楽してネットワーク管理者 Shota SHIRATORI(NW-JAWS) @whitebird_sp #NW_JAWS ※本資料に記載の内容は2025年10月8日12:00(JST)時点のものとなります ※本資料の見解・知見については所属する組織を代表するものではありません

  2. 自己紹介 所属 NTT東日本 白鳥 翔太 業務 プロダクト開発シニアスペシャリスト(クラウド関連プロダクト) 経歴 2009年入社 ネットワークエンジニア~セールス~現職

    保有資格 しらとり しょうた 好きなAWSサービス Amazon VPC ネットワークスペシャリスト 情報セキュリティスペシャリスト 2020/2021/2022 APN AWS Top Engineers 2023/2024/2025 Japan AWS Top Engineers 2023/2024 Japan AWS All Certifications Engineers 2024/2025 AWS Ambassadors 好きな言葉 Knowledge is Power./Insist on the Highest Standards. Any sufficiently advanced technology is indistinguishable from magic. コミュニティ AWS Ambassador - Certification All-Star Award 2024/2025 今ハマってるAWS関連 Amazon Q Developer CLIで ひたすら楽して構築保守 @whitebird_sp #NW_JAWS

  3. 本日お話しすること・しないこと • 本日お話しすること • マルチアカウント・マルチVPC環境のネットワーク管理を楽してやる • CCoEやマルチアカウント環境の管理をしている方向け • 本日お話ししないこと •

    AWSの個別サービスの説明(上級編なのでわかる前提) @whitebird_sp #NW_JAWS

  4. 登壇資料はアップ済みです @whitebird_sp #NW_JAWS https://speakerdeck.com/shotashiratori/*****

  5. 本題 @whitebird_sp #NW_JAWS

  6. ネットワーク管理を楽したい @whitebird_sp #NW_JAWS マルチアカウント・マルチVPC環境の管理 やることリスト(主なサービス) ・アカウント管理(AWS Organizations) ・VPC間接続の管理 (Transit Gateway/CloudWAN/VPC

    Lattice) ・オンプレミス-クラウド間接続 (Direct Connect/Site-to-Site VPN) ・インターネット接続の中央管理 (NAT Gateway/Network Firewall) ・VPC間のネットワークトラフィックのルール管理 (Security Group/Network Firewall) ・インバウンドトラフィックのセキュリティ確保 (Network Firewall/AWS WAF&Shield) ・DNS、VPCエンドポイントの中央管理 (Route 53 Resolver/Privatelink) Building a Scalable and Secure Multi-VPC AWS Network Infrastructure https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/welcome.html https://docs.aws.amazon.com/ja_jp/prescriptive- guidance/latest/security-reference- architecture/network.html

  7. ネットワーク管理を楽したい @whitebird_sp #NW_JAWS 取りうる方針 ①自動化/IaC化 メリット:ルールが明確に決まっていれば再現性を持って対応可能 デメリット:ルール面で解釈の余地があったり幅があると自動化しづらい IaCのメンテコストとの天秤(わかる人が限られる) そもそもオンプレ民にコード管理はきつい ②ランブック・手順書化

    作業者が手順書に応じて都度対応 一部はCDKやCloudFormationで自動化 ⇒手作業が発生するため、作業ミスのリスクは完全に排除できない ⇒作業ミスが発生すると、再発防止という名の手順書の記載内容が増え、 可読性の低い手順書ができ上がり、読まなくなってさらにミスが発生(無限ループ) 多くの場合、手順書読まない方ではなく作った人が詰められる(責任の放棄)

  8. 究極的に目指すもの @whitebird_sp #NW_JAWS 「やれ」「はい」で成立する超ハイコンテクストな状態

  9. 究極的に目指すもの @whitebird_sp #NW_JAWS 「やれ」「はい」で成立する超ハイコンテクストな状態 最小入力トークン数クリア =アカウントID 12桁(4Token)

  10. 今回の相手 @whitebird_sp #NW_JAWS マルチアカウント・マルチVPC環境のネットワーク構築 前提 ・Networkアカウントは作成済みで、構成も完成 ・NetworkアカウントのAWS CLIのProfile作成済み ・作業対象のアカウントはCCoEが払い出してくれている。 ・IAM

    IDC許可セット「NetworkAdmin」+RAMに関するカスタムポリシー付与済 入力 アカウントID:12桁のみ(4Token) 期待する出力 ・新規アカウントにプライベートサブネットのみのVPCが作成されている ・Networkアカウントのリソースに接続されている ・IPアドレスは許可した範囲で払い出されている

  11. 構成 @whitebird_sp #NW_JAWS Outbound VPC(10.0.0.0/16) AWS Transit Gateway Internet gateway

    Endpoint VPC(10.1.0.0/16) Endpoints Service VPC Attachment Network account Service VPC(10.129.0.0/16) Account #2 Service VPC Account #3 Account #1 Private subnet Attachment Private subnet Transit Gateway Route table 作るのこっち

  12. 作業の流れ @whitebird_sp #NW_JAWS 入力:アカウントID 作業: ・AWS SSOでアカウントIDのプロファイルを作成 ・Transit GatewayのRAM共有 ・CIDRブロックの採番を空きリストから確認

    (今回は10.0.0.0/8のうち、第2オクテットが129以降で一番若番を採番し、/16で払い出し) ・VPC&サブネット&ルートテーブル作成 ・Transit Gatewayアタッチメント作成&関連付け https://aws.amazon.com/jp/about-aws/whats-new/2025/07/amazon-q-developer-cli-custom-agents/

  13. 使うもの @whitebird_sp #NW_JAWS Amazon Q Developer CLIを使用 ・Amazon Q Developerのカスタムエージェント機能(7/31アップデート)を使い、コ

    ンテキストを補強 ・設計書&指示書(ネットワークの設計と作業手順) ・使えるMCPサーバー(AWS Knowledge MCP Server) ・使えるツール群(FS_read, FS_write, use_aws) ・Ubuntu用ブラウザ(なんでもOK) ・`q chat –agent ${agent_name}`で起動すると、コンテキストを起動時に読み込 んでくれる https://aws.amazon.com/jp/about-aws/whats-new/2025/07/amazon-q-developer-cli-custom-agents/

  14. 指示書のイメージ @whitebird_sp #NW_JAWS Markdownでがりがり作成

  15. デモ(できれば) @whitebird_sp #NW_JAWS

  16. まとめ @whitebird_sp #NW_JAWS ◆Amazon Q Developerでネットワークの構成管理は楽にやれそう Infrastructure as a Codeから、Infrastructure

    as a Promptの時代に CDKがーCloudFormationの学習コストがー!と言わずに済む ◆マルチアカウントの場合、NetworkAdministratorにRAMの権限がないので追加する ◆ある程度の業務内容が決まっていれば、カスタムエージェントを作業者に配布すれば同レベル で業務ができるのはありがたい ◆ネットワークインスペクションもNW FirewallのTransit Gatewayへの関連付けが対応した ので楽にやれそう

  17. 余談 @whitebird_sp #NW_JAWS ネットワークアカウント側もAmazon Q Developer CLIで作成しました Outbound VPC(10.0.0.0/16) AWS

    Transit Gateway Internet gateway Endpoint VPC(10.1.0.0/16) Endpoints Network account Transit Gateway Route table
  18. None