JAWS DAYS 2013 札幌とVPCと私

5,714 views

Published on

Published in: Technology

JAWS DAYS 2013 札幌とVPCと私

  1. 1. 【JW-04】 札幌とVPCと私 VPCの真価! 編 2013/03/16 札幌事業所 マネジャー 古山浩司Copyright © 2013 AGREX INC.
  2. 2. 自己紹介 こやま ひろし 古山 浩司 (株)アグレックス 札幌事業所 システム部 facebook.com/H.Koyaman *1972年 静岡県浜松市生まれ *1997年 某・重工メーカー入社 *2001年 (株)アグレックス 入社 企業向けオープン系システム開発 (主にJava) 2011年~ ECサイト構築&運用ビジネス担当 好きなAWSサービス : VPC、RDSCopyright © 2013 AGREX INC. 1
  3. 3. ECサイト構築・運用スキーム ただ「売る」だけの仕組みではなく、 ショップ側の運用コスト・手間を軽減! (某メガバンクとの提携サービス) EC決済&請求・回収プラットフォーム ・銀振 / クレカ / コンビニ / ペイジー オールインワンECパッケージ ・振込専用口座 ・入金消込み ・請求書・払込票発行 (アウトソーシングサービス) 低コスト・柔軟・高可用性・セキュアなインフラ 繁忙・閑散期ギャップや急激な事業成長にも追従 → 販売チャンスのロスなし!Copyright © 2013 AGREX INC. 2
  4. 4. VPCの利用パターン2つ VPNしたいからVPC VPNしない…でもVPC Internet Internet VPN 「Virtual Private Cloud」で イメージするのはこちらCopyright © 2013 AGREX INC. 3
  5. 5. VPCの利用パターン2つ VPNしないVPC 素のAWS Internet Internet ≒ これって意味ある?Copyright © 2013 AGREX INC. 4
  6. 6. 3/12 AWS発表! 「default VPC」 素のAWS VPNしないVPC Internet InternetEC2-Classic EC2-VPC デフォルト デフォルト VPCの真価 ≠ VPN (VPNもできる、程度に思っておけばよし) VPCの魅力を、分かりやすい事例でご紹介! Copyright © 2013 AGREX INC. 5
  7. 7. VPCの真価 ~ 1 固定IPCopyright © 2013 AGREX INC. 6
  8. 8. EC2-ClassicのIPアドレス 内部通信はDNS名で DNS名 xxx.amazonaws.com EIP(public IP) Web DB Server 再起動すると … DNS名が変わってしまう EIPが外れる yyy.amazonaws.com つながらない! Web Server xxx? DB MACアドレスも変わる DBはどこ? ・EIPの再設定、インスタンス間通信の再設定を自動化する仕掛けが必要。 ・ライセンスがMACアドレスで縛られる利用するアプリやサービス…お手上げ!Copyright © 2013 AGREX INC. 7
  9. 9. EC2-VPCのIPアドレス 好きなアドレスを付与 Private IP 10.0.0.11 EIP(public IP) Web DB Server 再起動しても … アドレスそのまま EIPそのまま Private IP 10.0.0.11 Web DB Server MACアドレスそのまま ・全てのEC2に任意のPrivateIPを付与できる。 ・PrivateIP、MACアドレスとも再起動を繰り返しても不変。 ・EIPも勝手に外されることはない。Copyright © 2013 AGREX INC. 8
  10. 10. EC2-VPCのIPアドレス ENI (Elastic Network Interface) ◆ VPC内のEC2でのみ、利用可能。 ◆ NIC(ネットワークカード)を仮想化したもの。 ・MACアドレス、PrivateIPはENIが破棄されるまで不変。 ・EC2ひとつに対して、2枚挿しもできる。 ・EIPの付け外しも自在。 eth0 eth1 ・Hwaddr ・HWaddr ・inet addr ・inet addr attach attach attach EC2 EIP (public IP) ENI ENICopyright © 2013 AGREX INC. 9
  11. 11. VPCの真価 ~ 2 Security GroupCopyright © 2013 AGREX INC. 10
  12. 12. EC2-Classic の Security Group Security Group Security Group 開発用 A社向けデモ用 Web 開発用一般利用者 1号機 一般利用者 A社に見せたい… A社 A社 Web S.G.交換不可! 開発用 2号機 ・立ち上げ時のS.G.を、後に別のS.Gと入れ替えることはできない。 ・現在のS.G.自体の設定を変えることは可能、 …ただし同じS.G.のインスタンスは一蓮托生。。Copyright © 2013 AGREX INC. 11
  13. 13. EC2-VPC の Security Group Security Group Security Group 開発用 A社向けデモ用 Web Outbound 開発用一般利用者 1号機 一般利用者 In/Out 制御可能 Inbound A社 A社 Web 開発用 いつでも 2号機 交換OK! ・いつでも(起動中でも) S.G.の入れ替えができる。 ・Inboundだけでなく、Outboundも制御可能。 (非VPCではInboudしかできない)Copyright © 2013 AGREX INC. 12
  14. 14. VPCの真価 ~ 3 ネットワーク設計Copyright © 2013 AGREX INC. 13
  15. 15. EC2-Classic の ネットワーク 典型的な、「外から入れるWeb」と「外からは入れないDB」 EC2-Classic で構成すると… Internet http MySQL DB Web SSH65.43.2.1 SSH Web用 S.G. DB用 S.G. IN tcp: 80 0.0.0.0/0 IN tcp: 3306 Web用S.G. IN tcp: 22 65.43.2.1/32 IN Tcp: 22 Web用S.G. ・全てのインスタンスにおいて、ネットワーク的には平等。 ・外界と隔てる唯一の壁がSecurity Group (外はいきなりInternet)Copyright © 2013 AGREX INC. 14
  16. 16. EC2-VPC の ネットワーク Internet 10.0.0.0 /16 Public Subnet 10.0.1.0 /24 Internet Gateway S.G. Web用 S.G. Web Route Table 10.0.0.0 /16 → local EC2-VPC 3段階のアクセス制御方法 0.0.0.0 /0 → Internet Access Control List 1. Route Table サブネットと外界との通信可否 Private Subnet 10.0.2.0 /24 2. Access Control List S.G. Web用 S.G. サブネット同士の通信可否 DB 3. Security Group インスタンス同士の通信可否 10.0.0.0 /16 → local・自由なネットワーク設計を実現。 (目的・役割毎にサブネットを分離)・より高いセキュリティ。(上記3要素の組合せによるきめ細かなアクセス制御)Copyright © 2013 AGREX INC. 15
  17. 17. VPCの真価 ~ 4 適用サービスの充実Copyright © 2013 AGREX INC. 16
  18. 18. かつてVPCでは出来なかったこと RDS ELB t1.micro EC2 Elastic Beanstalk 大人気のこれらのサービスが使えないのでは、 せっかくのVPCも魅力半減! …だった。Copyright © 2013 AGREX INC. 17
  19. 19. VPC アップデート 2011/08 全リージョン、Multi-AZ、での利用が可能に! 2011/11 ELBが利用可能に! 2012/01 RDSが利用可能に! 2012/05 RDSのリード・レプリカが利用可能に! EC2 2012/10 EC2 マイクロインスタンスが利用可能に! 2012/11 Elastic Beanstalkが利用可能に! 2012/12 RDS マイクロインスタンスが利用可能に! 2012/12 ElastiCacheが利用可能に!! : 2013/03 default VPC スタート!!Copyright © 2013 AGREX INC. 18
  20. 20. VPCの真価 ~ 5 無料! (VPN料金は$36/月)Copyright © 2013 AGREX INC. 19
  21. 21. まとめ  自在なネットワーク設計と、きめ細かなセ キュリティ制御こそがVPCの本質。  VPNの利用有無に関係なく、VPCはAWS上 で構築する場合のスタンダード!  使い方は難しくはない。まずはサブネットひ とつのVPCにEC2-Classicを移行してみるの がお勧め。Copyright © 2013 AGREX INC. 20
  22. 22. Appendix ~ 最速VPC VPC with a Single Public Subnet Only 通称「タコツボ型」からスタート!Copyright © 2013 AGREX INC. 21
  23. 23. Appendix ~ タコツボ型からの発展 Internet Public Subnet Public Subnet「Single Public S.G. S.G. Subnet Only」 Internet Gateway EC2 EC2 Private Subnet Private Subnet S.G. S.G. Multi-AZ Deployment AZ-a AZ-b Copyright © 2013 AGREX INC. 22
  24. 24. 最後にこちらも…Copyright © 2013 AGREX INC. 23
  25. 25. 【公開資料はこちら】Copyright © 2013 AGREX INC.

×