1. AWSクラウドデザインパターン
-VPC移行編-

2. 自己紹介
• 名前
– 荒木靖宏
• 所属
– アマゾンデータサービスジャパン株式会社
• ID
– @ar1
– https://www.facebook.com/araki.yasuhiro
• 好きなAWSサービス
– Amazon Virtual Private Cloud
– AWS Direct Connect

3. AWS クラウドデザインパターンとは
• AWSクラウドを使ったシステムアーキテクチャ
設計を行う際に発生する、典型的な問題とそれ
に対する解決策・設計方法を、分かりやすく分
類して、ノウハウとして利用できるように整理
したものである。
• http://aws.clouddesignpattern.org

4. このシナリオ背景
前回までのおはなし
• 雲の写真を載せるブログサイト開始
• Eコマースで雲グッズ販売
• キャンペーンサイトで拡販

5. 今回のシナリオ背景
前回までのおはなし
まさかのEコマースサイトの成功
海外有名VCから声が
今回のおはなし
雲サイトは私が育てました（予定）

6. VPC化がはじまる
クレジットカードに
自社対応しろ
VPCでないと認証とれ
ず

7. Stack Deploymentパターン
• CloudFormerを使っ
て既存のシステムか
らテンプレート作成
• 修正追記
• 再利用！

8. VPC移行ステップ
• CloudFormerでテンプレート作成
• まずVPCをMCで作成
• テンプレートVPC関係を追加
"Parameters" : {
"VpcId" : {
"Type" : "String",
"Description" : "VpcId of your existing Virtual Private Cloud (VPC)"
},
“Properties” :{
"WebServerSecurityGroup" : {
"Type" : "AWS::EC2::SecurityGroup",
"Properties" : {
"VpcId" : { "Ref" : "VpcId" },
"GroupDescription" : "Enable HTTP access via port 80 and SSH access",
"SecurityGroupIngress" : [
{"IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "CidrIp" : "0.0.0.0/0"},
{"IpProtocol" : "tcp", "FromPort" : "22", "ToPort" : "22", "CidrIp" : "0.0.0.0/0"}
]
}
}

9. セキュリティみなおし
• VPCには2つのセキュリティ基本が
– セキュリティグループ
– サブネット(+ネットワークACL)

10. Functional Firewallパターン
アクセス制御を階層で行え
るため、セキュリティが向
上する
機能毎にグループを分けて
いるため、Scale Outを利用
した際もグループにEC2を
所属させれば、セキュリ
ティグループの設定変更が
必要ない

11. Operational Firewall パターン
• 利用者や関連するサーバを
アクセス権利ごとにまとめ
る
• Outbound制御も可能
• アクセスしてくるセキュリ
ティグループ(組織)ごとに、
アクセス情報を一元管理で
きる
• アクセス制限を変更する際
に、設定のミスを低減でき
る
• Functional Firewallと併用する
ことも可能

12. Fuctional+Operational Firewall

13. backnetパターン
• メンテ対象サーバにENI
で一時的にアクセス権
利を付与する
• 管理用サブネットでは
sshで接続可能に。

14. いざ移行!
当然無停止だよね?

15. Weighted Transition Pattern
Route53のWeighted Round
Robin機能を使う

16. つづく
ワシの王国ははじまったばかりだ