ひたすら楽してネットワーク管理者

Transcript

1. ひたすら楽してネットワーク管理者 Shota SHIRATORI(NW-JAWS) @whitebird_sp #NW_JAWS ※本資料に記載の内容は2025年10月8日12:00(JST)時点のものとなります ※本資料の見解・知見については所属する組織を代表するものではありません

2. 自己紹介 所属 NTT東日本 白鳥 翔太 業務 プロダクト開発シニアスペシャリスト（クラウド関連プロダクト） 経歴 2009年入社 ネットワークエンジニア～セールス～現職

   保有資格 しらとり しょうた 好きなAWSサービス Amazon VPC ネットワークスペシャリスト 情報セキュリティスペシャリスト 2020/2021/2022 APN AWS Top Engineers 2023/2024/2025 Japan AWS Top Engineers 2023/２０２４ Japan AWS All Certifications Engineers 2024/2025 AWS Ambassadors 好きな言葉 Knowledge is Power./Insist on the Highest Standards. Any sufficiently advanced technology is indistinguishable from magic. コミュニティ AWS Ambassador - Certification All-Star Award 2024/2025 今ハマってるAWS関連 Amazon Q Developer CLIで ひたすら楽して構築保守 @whitebird_sp #NW_JAWS

3. 本日お話しすること・しないこと • 本日お話しすること • マルチアカウント・マルチVPC環境のネットワーク管理を楽してやる • CCoEやマルチアカウント環境の管理をしている方向け • 本日お話ししないこと •

   AWSの個別サービスの説明（上級編なのでわかる前提） @whitebird_sp #NW_JAWS

4. 登壇資料はアップ済みです @whitebird_sp #NW_JAWS https://speakerdeck.com/shotashiratori/*****

5. 本題 @whitebird_sp #NW_JAWS

6. ネットワーク管理を楽したい @whitebird_sp #NW_JAWS マルチアカウント・マルチVPC環境の管理 やることリスト(主なサービス) ・アカウント管理（AWS Organizations） ・VPC間接続の管理 （Transit Gateway/CloudWAN/VPC

   Lattice） ・オンプレミス-クラウド間接続 (Direct Connect/Site-to-Site VPN) ・インターネット接続の中央管理 (NAT Gateway/Network Firewall) ・VPC間のネットワークトラフィックのルール管理 (Security Group/Network Firewall) ・インバウンドトラフィックのセキュリティ確保 (Network Firewall/AWS WAF&Shield) ・DNS、VPCエンドポイントの中央管理 (Route 53 Resolver/Privatelink) Building a Scalable and Secure Multi-VPC AWS Network Infrastructure https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/welcome.html https://docs.aws.amazon.com/ja_jp/prescriptive- guidance/latest/security-reference- architecture/network.html

7. ネットワーク管理を楽したい @whitebird_sp #NW_JAWS 取りうる方針 ①自動化/IaC化 メリット:ルールが明確に決まっていれば再現性を持って対応可能 デメリット：ルール面で解釈の余地があったり幅があると自動化しづらい IaCのメンテコストとの天秤（わかる人が限られる） そもそもオンプレ民にコード管理はきつい ②ランブック・手順書化

   作業者が手順書に応じて都度対応 一部はCDKやCloudFormationで自動化 ⇒手作業が発生するため、作業ミスのリスクは完全に排除できない ⇒作業ミスが発生すると、再発防止という名の手順書の記載内容が増え、 可読性の低い手順書ができ上がり、読まなくなってさらにミスが発生（無限ループ） 多くの場合、手順書読まない方ではなく作った人が詰められる（責任の放棄）

8. 究極的に目指すもの @whitebird_sp #NW_JAWS 「やれ」「はい」で成立する超ハイコンテクストな状態

9. 究極的に目指すもの @whitebird_sp #NW_JAWS 「やれ」「はい」で成立する超ハイコンテクストな状態 最小入力トークン数クリア =アカウントID 12桁（4Token）

10. 今回の相手 @whitebird_sp #NW_JAWS マルチアカウント・マルチVPC環境のネットワーク構築 前提 ・Networkアカウントは作成済みで、構成も完成 ・NetworkアカウントのAWS CLIのProfile作成済み ・作業対象のアカウントはCCoEが払い出してくれている。 ・IAM

    IDC許可セット「NetworkAdmin」+RAMに関するカスタムポリシー付与済 入力 アカウントID：12桁のみ(4Token) 期待する出力 ・新規アカウントにプライベートサブネットのみのVPCが作成されている ・Networkアカウントのリソースに接続されている ・IPアドレスは許可した範囲で払い出されている

11. 構成 @whitebird_sp #NW_JAWS Outbound VPC(10.0.0.0/16) AWS Transit Gateway Internet gateway

    Endpoint VPC(10.1.0.0/16) Endpoints Service VPC Attachment Network account Service VPC(10.129.0.0/16) Account #2 Service VPC Account #3 Account #1 Private subnet Attachment Private subnet Transit Gateway Route table 作るのこっち

12. 作業の流れ @whitebird_sp #NW_JAWS 入力：アカウントID 作業： ・AWS SSOでアカウントIDのプロファイルを作成 ・Transit GatewayのRAM共有 ・CIDRブロックの採番を空きリストから確認

    （今回は10.0.0.0/8のうち、第2オクテットが129以降で一番若番を採番し、/16で払い出し） ・VPC＆サブネット＆ルートテーブル作成 ・Transit Gatewayアタッチメント作成＆関連付け https://aws.amazon.com/jp/about-aws/whats-new/2025/07/amazon-q-developer-cli-custom-agents/

13. 使うもの @whitebird_sp #NW_JAWS Amazon Q Developer CLIを使用 ・Amazon Q Developerのカスタムエージェント機能（7/31アップデート）を使い、コ

    ンテキストを補強 ・設計書&指示書（ネットワークの設計と作業手順） ・使えるMCPサーバー（AWS Knowledge MCP Server） ・使えるツール群(FS_read, FS_write, use_aws) ・Ubuntu用ブラウザ（なんでもOK） ・`q chat –agent ${agent_name}`で起動すると、コンテキストを起動時に読み込 んでくれる https://aws.amazon.com/jp/about-aws/whats-new/2025/07/amazon-q-developer-cli-custom-agents/

14. 指示書のイメージ @whitebird_sp #NW_JAWS Markdownでがりがり作成

15. デモ（できれば） @whitebird_sp #NW_JAWS

16. まとめ @whitebird_sp #NW_JAWS ◆Amazon Q Developerでネットワークの構成管理は楽にやれそう Infrastructure as a Codeから、Infrastructure

    as a Promptの時代に CDKがーCloudFormationの学習コストがー！と言わずに済む ◆マルチアカウントの場合、NetworkAdministratorにRAMの権限がないので追加する ◆ある程度の業務内容が決まっていれば、カスタムエージェントを作業者に配布すれば同レベル で業務ができるのはありがたい ◆ネットワークインスペクションもNW FirewallのTransit Gatewayへの関連付けが対応した ので楽にやれそう

17. 余談 @whitebird_sp #NW_JAWS ネットワークアカウント側もAmazon Q Developer CLIで作成しました Outbound VPC(10.0.0.0/16) AWS

    Transit Gateway Internet gateway Endpoint VPC(10.1.0.0/16) Endpoints Network account Transit Gateway Route table
18. None