なぜ複数のVPCをつなぐ必要があるのか？

Transcript

1. なぜ複数のVPCをつなぐ必要があるのか？ Shota SHIRATORI(NW-JAWS) @whitebird_sp #NW_JAWS ※本資料に記載の内容は2025年8月27日12:00(JST)時点のものとなります ※本資料の見解・知見については所属する組織を代表するものではありません

2. 自己紹介 所属 NTT東日本 白鳥 翔太 業務 プロダクト開発シニアスペシャリスト（クラウド関連プロダクト） 経歴 2009年入社 ネットワークエンジニア～セールス～現職

   保有資格 しらとり しょうた 好きなAWSサービス Amazon VPC ネットワークスペシャリスト 情報セキュリティスペシャリスト 2020/2021/2022 APN AWS Top Engineers 2023/2024/2025 Japan AWS Top Engineers 2023/２０２４ Japan AWS All Certifications Engineers 2024 AWS Ambassadors 好きな言葉 Knowledge is Power./Insist on the Highest Standards. Any sufficiently advanced technology is indistinguishable from magic. コミュニティ AWS Ambassador - Certification All-Star Award 2024/2025 今ハマってるAWS関連 Amazon Q Developer for CLIで ひたすら楽して構築 @whitebird_sp #NW_JAWS

3. 本日お話しすること・しないこと • 本日お話しすること • 複数VPCを分ける必要性と目的 • 本日お話ししないこと • AWSの個別サービスの話 •

   VPC間接続サービスの話（後続の皆さんに譲ります） @whitebird_sp #NW_JAWS

4. 登壇資料はアップ済みです @whitebird_sp #NW_JAWS https://speakerdeck.com/shotashiratori/nazefu-shu-novpcwotunagubi-yao-gaarunoka

5. 本題 @whitebird_sp #NW_JAWS

6. (おさらい)VPCってなんだっけ？ @whitebird_sp #NW_JAWS Amazon VPCとは 論理的に隔離されている定義済みの仮想ネッ トワークを作れるサービス。 VPCの内部でEC2などのリソースを作れる 主な機能 ・仮想プライベートクラウド

   ・サブネット ・IPアドレス指定 ・ルーティング ・ゲートウェイとエンドポイント ・ピアリング接続 ・トラフィックミラーリング ・Transit Gateway ・VPCフローログ ・VPN接続

7. VPCいっぱい使ってます？ @whitebird_sp #NW_JAWS Virtual private cloud (VPC) シングルVPC派 マルチVPC派 Virtual

   private cloud (VPC) Virtual private cloud (VPC) Virtual private cloud (VPC) Virtual private cloud (VPC) Virtual private cloud (VPC) Virtual private cloud (VPC) VS

8. VPCの数に関するベストプラクティス @whitebird_sp #NW_JAWS ・使うVPCの数に関しては、ちゃんとWell-Architected Frameworkにもある

9. VPCを分割しないデメリット @whitebird_sp #NW_JAWS ・ネットワークの到達性・環境差分・料金の按分・影響範囲の特定が難しい ・ネットワークの到達性 - インターネットに接続する必要のないリソースの接続 - 一つのリソースが侵害されたとき、別のリソースへの侵害の恐れ ※セキュリティグループ/NACLで制御もできるが、設定が煩雑

   ・環境差分 - 検証環境と本番環境でネットワーク設定が異なる状態 ・料金の按分 - ネットワーク転送量の料金をどう案分する？ ※AZ間、NATゲートウェイ、インターフェースVPCエンドポイント ・ネットワーク障害に影響を受けたリソースの特定 ⇒管理の最小単位で分けて、最小限つなぎたいところだ けつなぐ方が便利という発想（タイトル回収） Virtual private cloud (VPC) Virtual private cloud (VPC)

10. 【余談】VPC昔話 @whitebird_sp #NW_JAWS ・VPCリリース当初は…一つでよかった https://www.youtube.com/watch?v=rwmAXlcHAvk Dave Brown氏 （超翻訳） VPCをリリースした当時は一つ あれば十分だと思っていた。

    でも、それは間違いであることに 気付いた。 今日では、1,000を超えるVPC を利用するお客様もいる。

11. VPC分割の考慮ポイント①～信頼境界～ @whitebird_sp #NW_JAWS ・信頼境界はまず分割のポイント。どのネットワークを信頼して、どのネットワークを信頼しないかを決める Virtual private cloud (VPC) Public subnet

    Internet インターネットと直接通信が 可能なネットワーク（Untrust） Virtual private cloud (VPC) Public subnet Internet インターネットとの境界になる ネットワーク（Untrust/DMZ） NAT gateway Application Load Balancer Virtual private cloud (VPC) Private subnet Private subnet インターネットと接続しない ネットワーク（Trust）

12. VPC分割の考慮ポイント②～用途～ @whitebird_sp #NW_JAWS ・用途や、求められるサービスレベル、セキュリティレベルが異なるもので分ける Virtual private cloud (VPC) Private subnet

    Aシステム （シングルサーバーで稼働） Virtual private cloud (VPC) Private subnet Bシステム （マルチAZ/複数レイヤで稼働） Availability Zone Private subnet Availability Zone Private subnet Private subnet

13. VPC分割の考慮ポイント③～環境～ @whitebird_sp #NW_JAWS ・同じシステムでもネットワークの設定を同一にするため、開発・検証・本番環境で分ける Virtual private cloud (VPC) Private subnet

    Aシステム （開発環境） Virtual private cloud (VPC) Private subnet Aシステム （検証環境） Virtual private cloud (VPC) Private subnet Aシステム （本番環境）

14. VPC分割の考慮ポイント④～組織～ @whitebird_sp #NW_JAWS ・開発や運用主体の組織で分ける（責任分界点の明確化） Virtual private cloud (VPC) Private subnet

    Aシステム/Bシステム （開発部1課） ※AシステムとBシステムが密結合になる場合 Virtual private cloud (VPC) Private subnet Cシステム （開発部2課） Private subnet

15. VPC分割の考慮ポイント⑤～予算～ @whitebird_sp #NW_JAWS ・用途ごとに予算計上が必要な場合。コスト配分タグなどのタグ戦略もセットで検討 Virtual private cloud (VPC) Private subnet

    Aシステム （A部の予算） Virtual private cloud (VPC) Private subnet Bシステム （B部の予算） Availability Zone Private subnet Availability Zone Private subnet Private subnet

16. VPC分割とアカウント分割 @whitebird_sp #NW_JAWS ・アカウントを分割せず、VPCのみの分割の場合、ネットワークの分割はできるが、アクセス権などの分割はできない ・アカウントの分離も行う場合、アクセス権の分割、予算の分割は容易になる一方で、ガバナンスの管理が増える ・アカウント分離の場合、ControlTowerやOrganizations、共通テンプレートの活用などを推奨 AWS account Virtual private

    cloud (VPC) Virtual private cloud (VPC) AWS account Virtual private cloud (VPC) Virtual private cloud (VPC) AWS account

17. 実践のヒント @whitebird_sp #NW_JAWS ・VPC分割とＶＰＣ間接続のタイミング・・・複数の組織や予算主体がＡＷＳを利用し始めたら ・実践の順序（例） ①現状の棚卸 VPCの構成、ネットワークの構成、利用中のサービス すでに複数のワークロードがないか確認 ②セキュリティリスク・運用課題の洗い出し 信頼境界の規定、アクセス管理（セキュリティグループ・NACLなど）の確認

    リソースごとに侵害を受けたときの影響範囲のシミュレーション リソース追加や設定変更時の影響範囲のシミュレーション ③分割の優先度の決定 信頼境界による分割 環境の分割 責任分界点やコスト配分による分割 ④ほかのAWSのベストプラクティスやWell-Architected Frameworkを確認し、他のリスクがないか確認 ⑤一気にやらない、できるところから順序だてて行う 検証環境と本番環境の分離 将来の拡張に備えたマルチアカウント、効率的なVPCやネットワーク戦略を検討

18. まとめ @whitebird_sp #NW_JAWS VPCは信頼境界・用途・環境・管理組織・予 算で分割するのが良い VPCと合わせて、アカウント分割も検討 する つなぎたいところだけVPC間接続を利用 する まずはできるところから、順を追って分

    割を行っていく
19. None