Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWSユーザがはじめる、Alibaba CloudのVPCとネットワーク

Alibaba CloudのVPCやネットワークの考え方をAWSと対比しながら学ぶことのできる資料です。

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

AWSユーザがはじめる、Alibaba CloudのVPCとネットワーク

  1. 1. AWSユーザがはじめる Alibaba CloudのVPCとネットワーク Alibaba CloudのVPCとネットワークの考え方入門 SBクラウド株式会社 ソリューションアーキテクト 森 真也 (2018/10/11)
  2. 2. Who are you? 名前:森 真也    もーすけ (@mosuke5) 仕事:  Alibaba Cloud Solutin Architect  以前はWebエンジニア、インフラエンジニア。 ネタ:  Terraform大好き。最近は、プラグイン開発にチャレンジ。  テックブログやってます。 https://blog.mosuke.tech/
  3. 3. はじめに 以前にAlibaba Cloudでの高可用なWebアプリケーションの作り方についてご紹介しま した。AWSと似ていると感じられた部分も多くあると思いますが、実際の構築・運用に際 してVPCやネットワークの機能差分や考え方の違いがあります。 本資料ではその考え方や機能の違いについてご紹介します。 なお2018年10月11日時点での機能による違いになりますのでご了承ください。
  4. 4. プロダクト対応表 プロダクト AWS Alibaba Cloud 仮想サーバ EC2 ECS 仮想ネットワーク VPC VPC ロードバランサー ELB SLB リレーショナルDB RDS Apsara DB for RDS 固定IPアドレス EIP EIP オブジェクトストレージ S3 OSS リソース管理 IAM RAM
  5. 5. 料金の考え方 AWS Alibaba Cloud 使った分だけ <オンデマンド> サービスの利用時間やトラフィック量 など利用した分だけお支払いするモデ ル。AWSでは基本的に従量課金でほ ぼすべてのサービスが利用可能。 <従量課金> サービスの利用時間やトラフィック量な ど利用した分だけお支払いするモデ ル。多くのサービスは従量課金に対応 しているが、一部のプロダクトは非対 応。また、高スペックのインスタンスも 購入ができない場合がある。 予約 <リザーブド> 1 年契約または 3 年契約するモデ ル。前払いの金額に応じて割引額が 変動。最大75%の割引。 <サブスクリプション> 1ヶ月契約または1年契約するモデ ル。1ヶ月という比較的短い期間で割 引を受けられる。 一部のプロダクトはサブスクリプション のみで購入可能。
  6. 6. Alibaba Cloudのサブネットの切り方(推奨) Alibaba CloudではVPC内に2つ以上の異な るAZにサブネットを1つずつ作ることを推奨し ています。AWSのベストプラクティスであるプ ライベートサブネット、パブリックサブネットの 区分けは必須ではありません。 その理由は、ルーティングテーブルやセキュリ ティグループの仕様の違いにあります。 (公式ドキュメント) https://jp.alibabacloud.com/help/doc-detail/54095.htm VPC AZ1 AZ2 サブネット1 サブネット2 仮想サーバ 仮想サーバ
  7. 7. ネットワークセキュリティの考え方 AWS Alibaba Cloud セキュリティグループ インスタンスレベルのセキュリティを設定す る。 通信の許可のみ設定が可能。ステートフ ルのため、ルールに関係なく、戻りのトラ フィックが自動的に許可される。 インスタンスレベルのセキュリティを設定す る。 通信の許可と拒否を設定可能。ステートフ ルのため、ルールに関係なく、戻りのトラ フィックが自動的に許可される。 ネットワークACL サブネットレベルのセキュリティを設定す る。通信の許可と拒否の設定が可能。ス テートレスのため、戻りのトラフィックが ルールに判定対象になる。 ー Alibaba Cloudでは、セキュリティグループを使って、ネットワークのセキュリティを制御し ます。Alibaba Cloudのセキュリティグループでは許可と拒否の両方に対応していること が1つのポイントです。
  8. 8. ルートテーブルのサブネット関連付け Alibaba Cloudでは、VPCに暗示的にルー タ(VRouter)が存在します。VRouterはデ フォルトでルートテーブルを持っており、 ルーティングの設定が可能です。 また、ルートテーブルを追加し、サブネット ごとに特定のルートテーブルを関連付けす ることが可能です。 VPC サブネット1 サブネット2 仮想サーバ 仮想サーバ VRouter ルートテーブル2 xx.xx.xx.xx -> zzzzz xx.xx.xx.xx -> zzzzz ルートテーブル1 xx.xx.xx.xx -> yyyyy xx.xx.xx.xx -> yyyyy
  9. 9. インターネットゲートウェイの存在について Alibaba Cloudではインターネットゲートウェイ (以下IGW) というコンポーネントが個別に存在 するわけではありません。VPC内部からイン ターネットに直接出れるかどうかは、インスタン スにEIP(or インターネットアドレス)がついてい るかで決定します。 そのため、サブネット単位でプライベート用、パ ブリック用と区別することはできません。 VPC サブネット1 (192.168.0.0/24) 仮想サーバ VRouter ルートテーブル1 192.168.0.0/24 システムデフォルト 100.64.0.0/10 システムデフォルト Elastic IP (ECS) ルートテーブルに 明示的にIGW向き の記載がなくても EIPを持つインスタ ンスはインターネッ トへ抜けることがで きる
  10. 10. EIPがアタッチされているサーバの動き VPC サブネット NAT Gateway Elastic IP (ECS) 仮想サーバ (EIPあり) 仮想サーバ (EIPなし) VRouter Elastic IP (NAT GW) Alibaba CloudではEIPがアタッチさ れている仮想サーバは、インター ネット向きの通信の場合はルータエ ントリーに関係なく、EIPを通してイン ターネットに接続します。 例えば、EIPをアタッチされている仮 想サーバはEIPのアドレスでインター ネットに接続し、EIPをアタッチされて いない仮想サーバはNAT Gateway のEIPを通してインターネットに接続 します。 ルートテーブル 0.0.0.0/0 -> NAT GW
  11. 11. EIPがアタッチされているサーバの動き VPC サブネット NAT Gateway Elastic IP (ECS) 仮想サーバ (EIPあり) 仮想サーバ (EIPなし) VRouterルートテーブル 0.0.0.0/0 -> NAT GW Elastic IP (NAT GW) 右の構成で、それぞれの仮想サー バからインターネットにアクセスする と接続元IPは下記の通りとなる。 47.91.23.156 47.91.23.77 <EIPありサーバ> $ curl ifconfig.io 47.91.23.156 <EIPなしサーバ> $ curl ifconfig.io 47.91.23.77
  12. 12. インターネットロードバランサの配置場所 Alibaba Cloudのロードバランサ(SLB) はインスタンスタイプにインターネットと イントラネットがあります。 インターネットタイプはVPCとは異なるク ラシックネットワーク(※)に配置されます。 イントラネットタイプはVPCを指定しVPC 内部に配置することができます。 ※クラシックネットワーク https://jp.alibabacloud.com/help/faq-detail/54489.htm#vpcvsclassic VPC AZ1 AZ2 AZ1 AZ2 サブネット1 サブネット2 クラシックネットワーク
  13. 13. LBからのヘルスチェック SLBからECSインスタンスへのヘルスチェックも実際に100.xx.xx.xxというアドレス帯か らアクセスがあります。こちらのアドレス帯はAlibaba Cloudの内部的に利用されている アドレス帯になります。 $ sudo tail -f /var/log/httpd/access_log 100.109.247.1 - - [27/Aug/2018:14:23:58 +0800] "HEAD / HTTP/1.0" 200 - "-" "-" 100.109.247.59 - - [27/Aug/2018:14:23:58 +0800] "HEAD / HTTP/1.0" 200 - "-" "-" 100.109.247.39 - - [27/Aug/2018:14:23:58 +0800] "HEAD / HTTP/1.0" 200 - "-" "-" 100.109.247.17 - - [27/Aug/2018:14:23:59 +0800] "HEAD / HTTP/1.0" 200 - "-" "-" 100.109.247.0 - - [27/Aug/2018:14:24:00 +0800] "HEAD / HTTP/1.0" 200 - "-" "-" 100.109.247.55 - - [27/Aug/2018:14:24:00 +0800] "HEAD / HTTP/1.0" 200 - "-" "-"
  14. 14. LBからのアクセスに対する制御 Alibaba Cloudのセキュリティグループでは、インス タンスレベルで通信の許可と拒否の制限を行うこと ができますが、SLBからの通信はセキュリティグ ループで制御することができない点は注意が必要 です。 例えば右の場合、セキュリティグループでポート80 を拒否しても、ロードバランサからはアクセスが可 能です。ロードバランサ経由でアクセスする場合に は、必ず不要なリスナーが空いていないかの確認 をしてください。 セキュリティグループ ポリシー Deny Port80 0.0.0.0/0
  15. 15. ロードバランサの接続アドレスについて Alibaba Cloudのロードバランサは、仮想サー バにインストールされて提供されるのではな く、Alibaba Cloudのロードバランサ専用クラ スタにより提供されます。 ロードバランサを作成すると、グローバルIPア ドレスが払い出され、動的に変更されることは ありません。 公式ドキュメント https://jp.alibabacloud.com/help/doc-detail/27544.htm
  16. 16. その他、参考情報 ● グローバルアドレスを利用するデータセンターとVPC接続する際の注意 ● Alibaba CloudとAWSをVPN接続する

×