Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ひたすら楽してネットワーク管理者

Avatar for Shota Shiratori Shota Shiratori
October 08, 2025
19

 ひたすら楽してネットワーク管理者

NW-JAWS #18登壇資料です

Avatar for Shota Shiratori

Shota Shiratori

October 08, 2025
Tweet

More Decks by Shota Shiratori

Transcript

  1. 自己紹介 所属 NTT東日本 白鳥 翔太 業務 プロダクト開発シニアスペシャリスト(クラウド関連プロダクト) 経歴 2009年入社 ネットワークエンジニア~セールス~現職

    保有資格 しらとり しょうた 好きなAWSサービス Amazon VPC ネットワークスペシャリスト 情報セキュリティスペシャリスト 2020/2021/2022 APN AWS Top Engineers 2023/2024/2025 Japan AWS Top Engineers 2023/2024 Japan AWS All Certifications Engineers 2024/2025 AWS Ambassadors 好きな言葉 Knowledge is Power./Insist on the Highest Standards. Any sufficiently advanced technology is indistinguishable from magic. コミュニティ AWS Ambassador - Certification All-Star Award 2024/2025 今ハマってるAWS関連 Amazon Q Developer CLIで ひたすら楽して構築保守 @whitebird_sp #NW_JAWS
  2. ネットワーク管理を楽したい @whitebird_sp #NW_JAWS マルチアカウント・マルチVPC環境の管理 やることリスト(主なサービス) ・アカウント管理(AWS Organizations) ・VPC間接続の管理 (Transit Gateway/CloudWAN/VPC

    Lattice) ・オンプレミス-クラウド間接続 (Direct Connect/Site-to-Site VPN) ・インターネット接続の中央管理 (NAT Gateway/Network Firewall) ・VPC間のネットワークトラフィックのルール管理 (Security Group/Network Firewall) ・インバウンドトラフィックのセキュリティ確保 (Network Firewall/AWS WAF&Shield) ・DNS、VPCエンドポイントの中央管理 (Route 53 Resolver/Privatelink) Building a Scalable and Secure Multi-VPC AWS Network Infrastructure https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/welcome.html https://docs.aws.amazon.com/ja_jp/prescriptive- guidance/latest/security-reference- architecture/network.html
  3. ネットワーク管理を楽したい @whitebird_sp #NW_JAWS 取りうる方針 ①自動化/IaC化 メリット:ルールが明確に決まっていれば再現性を持って対応可能 デメリット:ルール面で解釈の余地があったり幅があると自動化しづらい IaCのメンテコストとの天秤(わかる人が限られる) そもそもオンプレ民にコード管理はきつい ②ランブック・手順書化

    作業者が手順書に応じて都度対応 一部はCDKやCloudFormationで自動化 ⇒手作業が発生するため、作業ミスのリスクは完全に排除できない ⇒作業ミスが発生すると、再発防止という名の手順書の記載内容が増え、 可読性の低い手順書ができ上がり、読まなくなってさらにミスが発生(無限ループ) 多くの場合、手順書読まない方ではなく作った人が詰められる(責任の放棄)
  4. 今回の相手 @whitebird_sp #NW_JAWS マルチアカウント・マルチVPC環境のネットワーク構築 前提 ・Networkアカウントは作成済みで、構成も完成 ・NetworkアカウントのAWS CLIのProfile作成済み ・作業対象のアカウントはCCoEが払い出してくれている。 ・IAM

    IDC許可セット「NetworkAdmin」+RAMに関するカスタムポリシー付与済 入力 アカウントID:12桁のみ(4Token) 期待する出力 ・新規アカウントにプライベートサブネットのみのVPCが作成されている ・Networkアカウントのリソースに接続されている ・IPアドレスは許可した範囲で払い出されている
  5. 構成 @whitebird_sp #NW_JAWS Outbound VPC(10.0.0.0/16) AWS Transit Gateway Internet gateway

    Endpoint VPC(10.1.0.0/16) Endpoints Service VPC Attachment Network account Service VPC(10.129.0.0/16) Account #2 Service VPC Account #3 Account #1 Private subnet Attachment Private subnet Transit Gateway Route table 作るのこっち
  6. 作業の流れ @whitebird_sp #NW_JAWS 入力:アカウントID 作業: ・AWS SSOでアカウントIDのプロファイルを作成 ・Transit GatewayのRAM共有 ・CIDRブロックの採番を空きリストから確認

    (今回は10.0.0.0/8のうち、第2オクテットが129以降で一番若番を採番し、/16で払い出し) ・VPC&サブネット&ルートテーブル作成 ・Transit Gatewayアタッチメント作成&関連付け https://aws.amazon.com/jp/about-aws/whats-new/2025/07/amazon-q-developer-cli-custom-agents/
  7. 使うもの @whitebird_sp #NW_JAWS Amazon Q Developer CLIを使用 ・Amazon Q Developerのカスタムエージェント機能(7/31アップデート)を使い、コ

    ンテキストを補強 ・設計書&指示書(ネットワークの設計と作業手順) ・使えるMCPサーバー(AWS Knowledge MCP Server) ・使えるツール群(FS_read, FS_write, use_aws) ・Ubuntu用ブラウザ(なんでもOK) ・`q chat –agent ${agent_name}`で起動すると、コンテキストを起動時に読み込 んでくれる https://aws.amazon.com/jp/about-aws/whats-new/2025/07/amazon-q-developer-cli-custom-agents/
  8. まとめ @whitebird_sp #NW_JAWS ◆Amazon Q Developerでネットワークの構成管理は楽にやれそう Infrastructure as a Codeから、Infrastructure

    as a Promptの時代に CDKがーCloudFormationの学習コストがー!と言わずに済む ◆マルチアカウントの場合、NetworkAdministratorにRAMの権限がないので追加する ◆ある程度の業務内容が決まっていれば、カスタムエージェントを作業者に配布すれば同レベル で業務ができるのはありがたい ◆ネットワークインスペクションもNW FirewallのTransit Gatewayへの関連付けが対応した ので楽にやれそう
  9. 余談 @whitebird_sp #NW_JAWS ネットワークアカウント側もAmazon Q Developer CLIで作成しました Outbound VPC(10.0.0.0/16) AWS

    Transit Gateway Internet gateway Endpoint VPC(10.1.0.0/16) Endpoints Network account Transit Gateway Route table