JAWS DAYS 2013 札幌とVPCと私
-
Upload
hiroshi-koyama -
Category
Technology
-
view
4.427 -
download
1
Transcript of JAWS DAYS 2013 札幌とVPCと私
Copyright © 2013 AGREX INC.
2013/03/16
札幌事業所
マネジャー 古山浩司
【JW-04】 札幌とVPCと私
VPCの真価! 編
Copyright © 2013 AGREX INC. 1
こやま ひろし
古山 浩司 (株)アグレックス 札幌事業所 システム部
facebook.com/H.Koyaman
*1972年 静岡県浜松市生まれ
*1997年 某・重工メーカー入社
*2001年 (株)アグレックス 入社
企業向けオープン系システム開発 (主にJava)
2011年~ ECサイト構築&運用ビジネス担当
好きなAWSサービス : VPC、RDS
自己紹介
Copyright © 2013 AGREX INC. 2
ECサイト構築・運用スキーム
EC決済&請求・回収プラットフォーム ・銀振 / クレカ / コンビニ / ペイジー ・振込専用口座 ・入金消込み ・請求書・払込票発行 (アウトソーシングサービス)
低コスト・柔軟・高可用性・セキュアなインフラ
(某メガバンクとの提携サービス)
オールインワンECパッケージ
ただ「売る」だけの仕組みではなく、 ショップ側の運用コスト・手間を軽減!
繁忙・閑散期ギャップや急激な事業成長にも追従 → 販売チャンスのロスなし!
Copyright © 2013 AGREX INC. 3
VPCの利用パターン2つ
「Virtual Private Cloud」で イメージするのはこちら
Internet
VPN
Internet
VPNしたいからVPC VPNしない…でもVPC
Copyright © 2013 AGREX INC. 4
VPCの利用パターン2つ
Internet Internet
これって意味ある?
素のAWS VPNしないVPC
≒
Copyright © 2013 AGREX INC. 5
3/12 AWS発表! 「default VPC」
Internet Internet
素のAWS VPNしないVPC
デフォルト デフォルト
EC2-Classic EC2-VPC
VPCの真価 ≠ VPN (VPNもできる、程度に思っておけばよし)
VPCの魅力を、分かりやすい事例でご紹介!
Copyright © 2013 AGREX INC. 6
VPCの真価 ~ 1
固定IP
Copyright © 2013 AGREX INC. 7
EC2-ClassicのIPアドレス
Web
Server
DB
EIP(public IP)
DNS名 xxx.amazonaws.com
yyy.amazonaws.com
DB
Web
Server xxx?
再起動すると …
内部通信はDNS名で
DNS名が変わってしまう
MACアドレスも変わる
EIPが外れる
つながらない!
DBはどこ?
・EIPの再設定、インスタンス間通信の再設定を自動化する仕掛けが必要。 ・ライセンスがMACアドレスで縛られる利用するアプリやサービス…お手上げ!
Copyright © 2013 AGREX INC. 8
EC2-VPCのIPアドレス
Web
Server
DB
EIP(public IP)
Private IP 10.0.0.11
DB
Web
Server
再起動しても …
好きなアドレスを付与
アドレスそのまま
MACアドレスそのまま
EIPそのまま
・全てのEC2に任意のPrivateIPを付与できる。 ・PrivateIP、MACアドレスとも再起動を繰り返しても不変。 ・EIPも勝手に外されることはない。
Private IP 10.0.0.11
Copyright © 2013 AGREX INC. 9
ENI (Elastic Network Interface)
◆ VPC内のEC2でのみ、利用可能。
◆ NIC(ネットワークカード)を仮想化したもの。
・MACアドレス、PrivateIPはENIが破棄されるまで不変。 ・EC2ひとつに対して、2枚挿しもできる。 ・EIPの付け外しも自在。
EC2
attach
EIP (public IP)
eth0 ・Hwaddr ・inet addr
eth1 ・HWaddr ・inet addr
attach attach
ENI ENI
EC2-VPCのIPアドレス
Copyright © 2013 AGREX INC. 10
VPCの真価 ~ 2
Security Group
Copyright © 2013 AGREX INC. 11
Security Group
開発用
Web 開発用 1号機
Web 開発用 2号機
A社
一般利用者
A社
一般利用者
Security Group
A社向けデモ用
S.G.交換不可!
A社に見せたい…
・立ち上げ時のS.G.を、後に別のS.Gと入れ替えることはできない。 ・現在のS.G.自体の設定を変えることは可能、 …ただし同じS.G.のインスタンスは一蓮托生。。
EC2-Classic の Security Group
Copyright © 2013 AGREX INC. 12
Security Group
開発用
Web 開発用 1号機
Web 開発用 2号機
A社
一般利用者
A社
一般利用者
Security Group
A社向けデモ用
いつでも 交換OK!
・いつでも(起動中でも) S.G.の入れ替えができる。 ・Inboundだけでなく、Outboundも制御可能。 (非VPCではInboudしかできない)
EC2-VPC の Security Group
Outbound
Inbound
In/Out 制御可能
Copyright © 2013 AGREX INC. 13
VPCの真価 ~ 3
ネットワーク設計
Copyright © 2013 AGREX INC. 14
Web用 S.G.
Web
DB用 S.G.
典型的な、「外から入れるWeb」と「外からは入れないDB」 EC2-Classic で構成すると…
EC2-Classic の ネットワーク
DB
IN tcp: 80 0.0.0.0/0 IN tcp: 22 65.43.2.1/32
IN tcp: 3306 Web用S.G. IN Tcp: 22 Web用S.G.
MySQL
SSH
http
SSH
Internet
・全てのインスタンスにおいて、ネットワーク的には平等。 ・外界と隔てる唯一の壁がSecurity Group (外はいきなりInternet)
65.43.2.1
Copyright © 2013 AGREX INC. 15
Public Subnet 10.0.1.0 /24
S.G. Web用 S.G.
EC2-VPC の ネットワーク
Web
Private Subnet 10.0.2.0 /24
S.G. Web用 S.G.
Internet
Internet Gateway
Route Table
10.0.0.0 /16 → local
0.0.0.0 /0 → Internet
10.0.0.0 /16 → local
Access Control List
DB
EC2-VPC 3段階のアクセス制御方法
1. Route Table サブネットと外界との通信可否
2. Access Control List サブネット同士の通信可否
3. Security Group インスタンス同士の通信可否
・自由なネットワーク設計を実現。 (目的・役割毎にサブネットを分離) ・より高いセキュリティ。(上記3要素の組合せによるきめ細かなアクセス制御)
10.0.0.0 /16
Copyright © 2013 AGREX INC. 16
VPCの真価 ~ 4
適用サービスの充実
Copyright © 2013 AGREX INC. 17
かつてVPCでは出来なかったこと
RDS
t1.micro EC2
Elastic Beanstalk
ELB
大人気のこれらのサービスが使えないのでは、 せっかくのVPCも魅力半減! …だった。
Copyright © 2013 AGREX INC. 18
VPC アップデート
2011/08 全リージョン、Multi-AZ、での利用が可能に!
2011/11 ELBが利用可能に!
2012/01 RDSが利用可能に!
2012/05 RDSのリード・レプリカが利用可能に!
2012/10 EC2 マイクロインスタンスが利用可能に!
2012/11 Elastic Beanstalkが利用可能に!
2012/12 RDS マイクロインスタンスが利用可能に!
2012/12 ElastiCacheが利用可能に!!
EC2
2013/03 default VPC スタート!!
:
Copyright © 2013 AGREX INC. 19
VPCの真価 ~ 5
無料!
(VPN料金は$36/月)
Copyright © 2013 AGREX INC. 20
まとめ
自在なネットワーク設計と、きめ細かなセキュリティ制御こそがVPCの本質。
VPNの利用有無に関係なく、VPCはAWS上
で構築する場合のスタンダード! 使い方は難しくはない。まずはサブネットひ
とつのVPCにEC2-Classicを移行してみるのがお勧め。
Copyright © 2013 AGREX INC. 21
Appendix ~ 最速VPC
VPC with a Single Public Subnet Only 通称「タコツボ型」からスタート!
Copyright © 2013 AGREX INC. 22
AZ-a
Appendix ~ タコツボ型からの発展
Public Subnet
S.G.
EC2
Private Subnet
S.G.
Internet
Internet Gateway
AZ-b
Public Subnet
S.G.
EC2
Private Subnet
S.G.
Multi-AZ
Deployment
「Single Public Subnet Only」
Copyright © 2013 AGREX INC. 23
最後にこちらも…
Copyright © 2013 AGREX INC.
【公開資料はこちら】