Internal Port
Concentrator Pattern
CDP Night 2013 Tokyo
classmethod.jp 1
2013/07/19 Kazuki Ueki
本日ご紹介するパターン
Internal Port Concentrator
“ネットワーク”のパターン
VPCプライベートサブネットへのアクセス
classmethod.jp 2
自己紹介
名前:植木和樹(うえき かずき)
年齢:36歳
出身:新潟県妙高市(単身赴任中)
元製造業情報システムG常駐
主にUnixサーバエンジニア(監視、保守)
資格:IPAITサービスマネージャ
IPA システムアーキテクト
JAWS北陸コ...
クラスメソッド AWSのお仕事
• AWSコンサルティング
• AWS環境構築
• スパイクアクセス対策
• 保守、運用、監視サポート
• 障害調査
classmethod.jp 4
保守・運用・監視・障害調査
インターネットからAWSへアクセスが必要
どうやって用意するか、が今日のお話
classmethod.jp 5
EC2-Classicの保守・監視
• 自動で PublicDNS が割り当てられる
• 経路とか正直あまり気にしなくて良い
classmethod.jp 6
VPCの登場
2011年8月4日
classmethod.jp 7
EC2-VPCの保守・監視
• EIPやELBが外からのアクセスに必要
• グローバルIPアドレスを持たないサーバ
→ 直接アクセスできない
• 踏み台サーバを用意する(sshはOK)
• RDSへ開発PCからアクセスしたい
• PHPのリモー...
どうやってプライベートネットワークに
アクセスする?
classmethod.jp 9
Backnet Pattern?
プライベートネットとVPNをはる
初期のVPCの用途はそもそもこういうもの
王道パターン
classmethod.jp 10
classmethod.jp 11
コストとデリバリの問題
• EC2インスタンスはなるべく減らしたい
• VPNの機器代、構築コスト
• スケジュールの都合(構築優先)
【解決したい課題】
お⾦をかけずにプライベートネットワークへ⾃
在にアクセスしたい
classmethod....
INTERNAL PORT
CONCENTRATOR
PATTERN
本日のご提案
classmethod.jp 13
Internal Port Concentrator
〜概要〜
• VPC内ポートの集中管理
• NATを使用したポートマッピング
• ntpやyumのためNATサーバは必要
• S3やCloudWatchへアクセスするにもNAT
• NATを...
classmethod.jp 15
Internal Port Concentrator
〜課題の解決〜
• プライベートネットワークには
元々NATサーバが必要
⇒ 追加EC2不要!
• 時間をかけたくない
⇒ 設定は簡単!
• アクセスしたい要件はいろいろ
⇒ 理論上6万以上...
Internal Port Concentrator
〜実装⽅法〜
時間がないので続きはウェブで!
classmethod.jp 17
クラスメソッド ブログ 検索
代替案1:デフォルトVPC
• 2013年3月11日発表
• Tokyoリージョンでは5月1日より提供開始
• 個人的にお気に入り
• ※新規利⽤リージョンのみ
classmethod.jp 18
代替案2:EC2-Classic
EC2-VPCが機能豊富
固定IP不要で
セキュリティグループが簡易な
ELB+EC2+RDS構成なら・・・
classmethod.jp 19
代替案3:AWS標準NAT待ち
Internet Gatewayがあるなら
NAT Gatewayサービスがあったって
いいじゃない
classmethod.jp 20
Internal Port Concentrator
〜可⽤性を⾼めるために〜
Floating IP パターン
(CDP認定済)
High Availability NAT パターン
(CDP2.0候補)
classmethod.jp 21
Internal Port Concentrator
〜問題点1:セキュリティ〜
接続元は限定しよう
NATサーバセキュリティグループの
InboudへアクセスできるIPアドレスを限定
classmethod.jp 22
Internal Port Concentrator
〜問題点2:マッピングの⼿間〜
IPアドレスが変わったら再マッピング
AutoScaling使用時など
EC2インスタンスが入れ替わるたびに
マッピング情報をメンテナンス
classmeth...
Internal Port Concentrator
〜問題点3:ポート管理〜
NATサーバの50001番ポート
→ Webサーバの80番ポート
50002番ポートは・・・?
ドキュメントにちゃんと記述!
classmethod.jp 24
いんたーなる
ぽーと
こんせんとれーた
ご紹介でした
classmethod.jp 25
ご清聴ありがとうございました
classmethod.jp 26
Upcoming SlideShare
Loading in …5
×

20130719 CDP Night LightningTalk "Internal Port Concentrator"

1,046 views
974 views

Published on

2013.07.19 CDP Night Tokyo
Lightning Talk "Internal Port Concentrator" Pattern

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,046
On SlideShare
0
From Embeds
0
Number of Embeds
28
Actions
Shares
0
Downloads
7
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

20130719 CDP Night LightningTalk "Internal Port Concentrator"

  1. 1. Internal Port Concentrator Pattern CDP Night 2013 Tokyo classmethod.jp 1 2013/07/19 Kazuki Ueki
  2. 2. 本日ご紹介するパターン Internal Port Concentrator “ネットワーク”のパターン VPCプライベートサブネットへのアクセス classmethod.jp 2
  3. 3. 自己紹介 名前:植木和樹(うえき かずき) 年齢:36歳 出身:新潟県妙高市(単身赴任中) 元製造業情報システムG常駐 主にUnixサーバエンジニア(監視、保守) 資格:IPAITサービスマネージャ IPA システムアーキテクト JAWS北陸コアメンバー(JAWS DAYS 2013〜) AWS歴:約5か月(2013年5月Classmethod入社) 好きなAWSサービス:SQS classmethod.jp 3 @czkuk
  4. 4. クラスメソッド AWSのお仕事 • AWSコンサルティング • AWS環境構築 • スパイクアクセス対策 • 保守、運用、監視サポート • 障害調査 classmethod.jp 4
  5. 5. 保守・運用・監視・障害調査 インターネットからAWSへアクセスが必要 どうやって用意するか、が今日のお話 classmethod.jp 5
  6. 6. EC2-Classicの保守・監視 • 自動で PublicDNS が割り当てられる • 経路とか正直あまり気にしなくて良い classmethod.jp 6
  7. 7. VPCの登場 2011年8月4日 classmethod.jp 7
  8. 8. EC2-VPCの保守・監視 • EIPやELBが外からのアクセスに必要 • グローバルIPアドレスを持たないサーバ → 直接アクセスできない • 踏み台サーバを用意する(sshはOK) • RDSへ開発PCからアクセスしたい • PHPのリモートデバッガ使いたい classmethod.jp 8
  9. 9. どうやってプライベートネットワークに アクセスする? classmethod.jp 9
  10. 10. Backnet Pattern? プライベートネットとVPNをはる 初期のVPCの用途はそもそもこういうもの 王道パターン classmethod.jp 10
  11. 11. classmethod.jp 11
  12. 12. コストとデリバリの問題 • EC2インスタンスはなるべく減らしたい • VPNの機器代、構築コスト • スケジュールの都合(構築優先) 【解決したい課題】 お⾦をかけずにプライベートネットワークへ⾃ 在にアクセスしたい classmethod.jp 12
  13. 13. INTERNAL PORT CONCENTRATOR PATTERN 本日のご提案 classmethod.jp 13
  14. 14. Internal Port Concentrator 〜概要〜 • VPC内ポートの集中管理 • NATを使用したポートマッピング • ntpやyumのためNATサーバは必要 • S3やCloudWatchへアクセスするにもNAT • NATをプライベート→VPC外だけでなく、 VPC外→プライベートアクセスにも使用 classmethod.jp 14
  15. 15. classmethod.jp 15
  16. 16. Internal Port Concentrator 〜課題の解決〜 • プライベートネットワークには 元々NATサーバが必要 ⇒ 追加EC2不要! • 時間をかけたくない ⇒ 設定は簡単! • アクセスしたい要件はいろいろ ⇒ 理論上6万以上のマッピングが可能! classmethod.jp 16
  17. 17. Internal Port Concentrator 〜実装⽅法〜 時間がないので続きはウェブで! classmethod.jp 17 クラスメソッド ブログ 検索
  18. 18. 代替案1:デフォルトVPC • 2013年3月11日発表 • Tokyoリージョンでは5月1日より提供開始 • 個人的にお気に入り • ※新規利⽤リージョンのみ classmethod.jp 18
  19. 19. 代替案2:EC2-Classic EC2-VPCが機能豊富 固定IP不要で セキュリティグループが簡易な ELB+EC2+RDS構成なら・・・ classmethod.jp 19
  20. 20. 代替案3:AWS標準NAT待ち Internet Gatewayがあるなら NAT Gatewayサービスがあったって いいじゃない classmethod.jp 20
  21. 21. Internal Port Concentrator 〜可⽤性を⾼めるために〜 Floating IP パターン (CDP認定済) High Availability NAT パターン (CDP2.0候補) classmethod.jp 21
  22. 22. Internal Port Concentrator 〜問題点1:セキュリティ〜 接続元は限定しよう NATサーバセキュリティグループの InboudへアクセスできるIPアドレスを限定 classmethod.jp 22
  23. 23. Internal Port Concentrator 〜問題点2:マッピングの⼿間〜 IPアドレスが変わったら再マッピング AutoScaling使用時など EC2インスタンスが入れ替わるたびに マッピング情報をメンテナンス classmethod.jp 23
  24. 24. Internal Port Concentrator 〜問題点3:ポート管理〜 NATサーバの50001番ポート → Webサーバの80番ポート 50002番ポートは・・・? ドキュメントにちゃんと記述! classmethod.jp 24
  25. 25. いんたーなる ぽーと こんせんとれーた ご紹介でした classmethod.jp 25
  26. 26. ご清聴ありがとうございました classmethod.jp 26

×