Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

NW-JAWS x Tech-on勉強会:AWS Transit Gateway で広がる ネットワークアーキテクチャ

1,298 views

Published on

NW-JAWS x Tech-on勉強会の登壇資料
AWS Transit Gatewayを利用することで広がるアーキテクチャについて

Published in: Technology
  • Be the first to comment

  • Be the first to like this

NW-JAWS x Tech-on勉強会:AWS Transit Gateway で広がる ネットワークアーキテクチャ

  1. 1. NW-JAWS x Tech-on勉強会 AWS Transit Gateway で広がる ネットワークアーキテクチャ Kikuchi Shuji
  2. 2. スライドは後で⼊⼿することが出来ますので 発表中の内容をメモする必要はありません。 写真撮影をする場合は フラッシュ・シャッター⾳が出ないようにご配慮ください Attention
  3. 3. 3⾃⼰紹介 菊池 修治 クラスメソッド 株式会社 AWS事業本部コンサルティング部 Senior Solutions Architect AWS認定全11種取得 Japan APN Ambassador 2019 SIer → ⾃動⾞メーカー → クラスメソッド
  4. 4. 4 本⽇のテーマ Transit Gateway
  5. 5. 5本⽇のテーマ • Transit Gateway(TGW)
  6. 6. 6本⽇のテーマ • Transit Gateway(TGW) 従来のゲートウェイのサービス • Virtual Private Gateway(VGW) • Internet Gateway(IGW) • VPC Peering(PCX) • VPC Endpoint(GW型︓S3, DyanamoDB Gateway)
  7. 7. 7従来のGWサービスとの違い Transit Gatewayの特徴 • ハブ型のトポロジーが組める • ルーティングが設定可能 • ENIでVPCに接続する
  8. 8. 8従来のGWサービスとの違い Transit Gatewayの特徴 • ハブ型のトポロジーが組める • ルーティングが設定可能 • ENIでVPCに接続する
  9. 9. 設定可能な宛先は限定的 Inboundは宛先がVPC CIDRの範囲しかルーティングできない 9従来のGWサービスのルーティング サービス Inboundの宛先 Outboundの宛先 VIrtual Private Gateway (VGW) アタッチしたVPC CIDR (⼀部編集可能) スタティックルート(VPN) BGPで学習したルート (VPN/DX) Internet Gateway (IGW) アタッチしたVPC CIDR (⼀部編集可能) 0.0.0.0/0 (デフォルトルート) VPC Peering (PCX) アタッチしたVPC CIDR ピア接続先VPC CIDR VPC Endpoint (GW型) アタッチしたVPC CIDR 対象サービス (S3/DynamoDB)
  10. 10. re:Invent 2019 でのアップデート VGW/IGWにルートテーブルをアタッチ可能に ただし、設定可能な宛先はVPC CIDRの範囲内 あくまで限定的な⽤途 • IPS/IDSなどによるInboundパケットの検査など • https://dev.classmethod.jp/cloud/aws/reinvent2019-vpc-ingress-routing/ 10参考︓VPC Ingress Routing
  11. 11. 11従来のGWサービスとの違い Transit Gatewayの特徴 • ハブ型のトポロジーが組める • ルーティングが設定可能 • ENIでVPCに接続する
  12. 12. 12Transit Gaterwayなら実現できる https://dev.classmethod.jp/cloud/aws/full-managed-s3-access-with-transit-gateway/
  13. 13. 13よくあるやつ 「S3をクローズドネットワーク経由で使いたい」 前提・制約 • できればマネージドサービスだけで • DirectConnect パブリック接続は敷居⾼い • S3のCIDRはわかる https://ip-ranges.amazonaws.com/ip-ranges.json
  14. 14. 14Before Transit Gateway
  15. 15. 15Before Transit Gateway
  16. 16. 16Before Transit Gateway 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 VPC 10.10.10.0/16 Customer Router 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Customer Router S3のCIDR VPC Endpoint 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC
  17. 17. 17Before Transit Gateway 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 VPC 10.10.10.0/16 Customer Router 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Customer Router S3のCIDR VPC Endpoint 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先としてS3のCIDR を知らないので ルーティング不可能
  18. 18. 18Before Transit Gateway 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 VPC 10.10.10.0/16 Customer Router 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Customer Router S3のCIDR VPC Endpoint 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先としてS3のCIDR を知らないので ルーティング不可能 宛先としてDCのCIDR を知らないので ルーティング不可能
  19. 19. 19 Inboundルートが編集できないので マネージドサービスだけでは 実現できない
  20. 20. 20 After Transit Gateway
  21. 21. 21After Transit Gateway
  22. 22. After Transit Gateway 22 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint
  23. 23. After Transit Gateway 23 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint VPC内へルーティング可能 NAT GWへルーティング
  24. 24. After Transit Gateway 24 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint VPC内へルーティング可能 NAT GWへルーティング SourceIPをNAT GWの PrivateIPにNAT
  25. 25. After Transit Gateway 25 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint VPC内へルーティング可能 NAT GWへルーティング SourceIPをNAT GWの PrivateIPにNAT
  26. 26. 26Transit Gatewayなら ルーティングが書ける • VPC以外の任意の宛先をルーティングできる ENIでVPCに接続する • VPCに⼊ったトラフィックがENIのあるサブネット のルートテーブルを参照する
  27. 27. 27 注意事項
  28. 28. 28注意事項 • VPC Endpoint経由でアクセスできるのはVPC と同⼀リージョンに作成されたS3バケットのみ (他はIGWにルーティングされる) • S3のIPレンジは変更される可能性あり
  29. 29. 29
  30. 30. 30 https://classmethod.jp/m/reinvent/

×