Successfully reported this slideshow.
実践VPC        実践VPCISOBE Kazuhiko (cloudpack)   cloudpack night #2 2012-03-23
提供     この発表はcloudpackの提供で        お送りいたします01                        26
自己紹介     Twitter: muramasa64     cloudpackでAWSで提案・設計・運用      最近VPCを使う案件が多いです     好きなAWSサービス: API02                        ...
VPCはパラダイムシフト     従来のAWSのシステム設計とは方法論を変     えなければならない     もちろんオンプレミスとも違う03                          26
VPCを使って分かったこと     これまでVPCの設計をしてきて、ある程度     固まってきた使い方について紹介04                          26
サブネット     サブネットをどう分割するか05                   26
サブネット単位でできること     ネットワークACL     ルーティング     どこかのAZに所属      AZをまたげない06                   26
サブネットの分け方     ルーティング単位で分ける     Internetと通信する     VPNの接続拠点に直接アクセスする     NATインスタンスを使ってる07                       26
サブネットの分け方     ELB専用サブネットを作る(推奨)     RDSは専用でなくてもよさそう?08                       26
セキュリティグループ     セキュリティグループはEC2稼働中に付け     替えられて便利     この機能を前提とすると、従来とは違った     使い方のほうがすっきるする09                          26
従来のやりかた     defaultセキュリティグループはすべてに     つける      サーバ間の通信をすべて許可する設定      全てに共通な設定(管理サーバからのアクセスな      ど)を設定10                ...
従来のやりかた     サーバのカテゴリごとにつける     Webサーバなら、web、DBサーバならDBという     グループを作ってつける     同じカテゴリなら、同じルールの設定が必要にな     るため11             ...
従来のやりかたの課題     同じIPアドレスからの許可を、複数のグ     ループに設定が必要だったりして面倒     このIPアドレスって、どこのIPアドレス     だっけ?12                          26
VPCでの考え方     下記のようなグループ分けをする     領域別グループ     機能別グループ     利用者別グループ13                     26
領域別グループ     通信を許可する領域別につくる     internetからのアクセス、VPC内部のアク     セス14                              26
機能別グループ     サーバのもつ機能ごとに設定する     Webサーバ、DBサーバ、NATインスタン     ス15                           26
利用者別グループ     cloudpack、お客さま、開発会社など     グループ単位で追加・変更・削除すると管     理しやすい16                           26
ネットワークACL     サブネット単位      複数AZはまたげない     Denyルールが使える     ステートレス      設定がやや面倒     サブネット内の通信は影響なし17                    26
ネットワークACLの使い所     通常のFW的使い方は、セキュリティグ     ループでやる     Denyルールを活用する      サブネット間で通信させたくないとき      特定のIPアドレスから攻撃があった時にブロック      ...
VPCの設計での事例     とりあえずVPCを使うのは決まっていた     VPCのCIDRは、192.168.0.0/24という顧     客の要望     /24だと、AZを複数作るとカツカツ      192.168.0.0/25, 1...
あっ、サブネットが足りない     えっ、ELB使うの?     ELBは、IPアドレスが123個以上無いと作れ     ない     もうサブネットは追加できないし…     VPN接続の設定はしちゃったのでCIDRを     増やして作り直...
とりあえずの解決策     /25ならELBをひとつ作ることはできる     まず、/25のサブネットを作る     そこにELBを入れる     その後にEC2を立ち上げる21                          26
問題点     ELBを複数作ることができない      消して作りなおしもできない     Amazonの推奨ではない      ELBは専用のサブネットが望ましい      でも、123個必要って、ちょっと制限がきついので      は…2...
今後の対策     最初にしっかりとシステム構成を定義しま     しょう      ELBを後から追加したいとかは厳しい     最初に定義できない場合は、VPCは広く確     保しておく23                        ...
ちなみに     Virtual Private Gatewayは別のVPCにア     タッチし直せる     別のVPCを作ってアタッチし直すという技     が使える      今回も検討したけど事情があり使えなかった     システムの...
まとめ     VPCは便利だけど使い方が難しい     ちゃんと設計してから構築しましょう     ご意見募集!25                       26
      ご静聴ありがとうございました26                    26
Upcoming SlideShare
Loading in …5
×

cloudpack night #2 実践VPC

1,168 views

Published on

cloudpack night #2で発表した資料です。

Published in: Technology
  • Be the first to comment

cloudpack night #2 実践VPC

  1. 1. 実践VPC 実践VPCISOBE Kazuhiko (cloudpack) cloudpack night #2 2012-03-23
  2. 2. 提供 この発表はcloudpackの提供で お送りいたします01 26
  3. 3. 自己紹介 Twitter: muramasa64 cloudpackでAWSで提案・設計・運用 最近VPCを使う案件が多いです 好きなAWSサービス: API02 26
  4. 4. VPCはパラダイムシフト 従来のAWSのシステム設計とは方法論を変 えなければならない もちろんオンプレミスとも違う03 26
  5. 5. VPCを使って分かったこと これまでVPCの設計をしてきて、ある程度 固まってきた使い方について紹介04 26
  6. 6. サブネット サブネットをどう分割するか05 26
  7. 7. サブネット単位でできること ネットワークACL ルーティング どこかのAZに所属 AZをまたげない06 26
  8. 8. サブネットの分け方 ルーティング単位で分ける Internetと通信する VPNの接続拠点に直接アクセスする NATインスタンスを使ってる07 26
  9. 9. サブネットの分け方 ELB専用サブネットを作る(推奨) RDSは専用でなくてもよさそう?08 26
  10. 10. セキュリティグループ セキュリティグループはEC2稼働中に付け 替えられて便利 この機能を前提とすると、従来とは違った 使い方のほうがすっきるする09 26
  11. 11. 従来のやりかた defaultセキュリティグループはすべてに つける サーバ間の通信をすべて許可する設定 全てに共通な設定(管理サーバからのアクセスな ど)を設定10 26
  12. 12. 従来のやりかた サーバのカテゴリごとにつける Webサーバなら、web、DBサーバならDBという グループを作ってつける 同じカテゴリなら、同じルールの設定が必要にな るため11 26
  13. 13. 従来のやりかたの課題 同じIPアドレスからの許可を、複数のグ ループに設定が必要だったりして面倒 このIPアドレスって、どこのIPアドレス だっけ?12 26
  14. 14. VPCでの考え方 下記のようなグループ分けをする 領域別グループ 機能別グループ 利用者別グループ13 26
  15. 15. 領域別グループ 通信を許可する領域別につくる internetからのアクセス、VPC内部のアク セス14 26
  16. 16. 機能別グループ サーバのもつ機能ごとに設定する Webサーバ、DBサーバ、NATインスタン ス15 26
  17. 17. 利用者別グループ cloudpack、お客さま、開発会社など グループ単位で追加・変更・削除すると管 理しやすい16 26
  18. 18. ネットワークACL サブネット単位 複数AZはまたげない Denyルールが使える ステートレス 設定がやや面倒 サブネット内の通信は影響なし17 26
  19. 19. ネットワークACLの使い所 通常のFW的使い方は、セキュリティグ ループでやる Denyルールを活用する サブネット間で通信させたくないとき 特定のIPアドレスから攻撃があった時にブロック する18 26
  20. 20. VPCの設計での事例 とりあえずVPCを使うのは決まっていた VPCのCIDRは、192.168.0.0/24という顧 客の要望 /24だと、AZを複数作るとカツカツ 192.168.0.0/25, 192.168.0.128/25の2つ ここまでは良かった…19 26
  21. 21. あっ、サブネットが足りない えっ、ELB使うの? ELBは、IPアドレスが123個以上無いと作れ ない もうサブネットは追加できないし… VPN接続の設定はしちゃったのでCIDRを 増やして作り直しもNG20 26
  22. 22. とりあえずの解決策 /25ならELBをひとつ作ることはできる まず、/25のサブネットを作る そこにELBを入れる その後にEC2を立ち上げる21 26
  23. 23. 問題点 ELBを複数作ることができない 消して作りなおしもできない Amazonの推奨ではない ELBは専用のサブネットが望ましい でも、123個必要って、ちょっと制限がきついので は…22 26
  24. 24. 今後の対策 最初にしっかりとシステム構成を定義しま しょう ELBを後から追加したいとかは厳しい 最初に定義できない場合は、VPCは広く確 保しておく23 26
  25. 25. ちなみに Virtual Private Gatewayは別のVPCにア タッチし直せる 別のVPCを作ってアタッチし直すという技 が使える 今回も検討したけど事情があり使えなかった システムのリプレースに便利かも24 26
  26. 26. まとめ VPCは便利だけど使い方が難しい ちゃんと設計してから構築しましょう ご意見募集!25 26
  27. 27.   ご静聴ありがとうございました26 26

×