Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解

ハイブリッド/マルチVPC環境を
構成するための
AWSネットワーク完全理解
Kikuchi Shuji

スライドは後で⼊⼿することが出来ますので
発表中の内容をメモする必要はありません。
写真撮影をする場合は
フラッシュ・シャッター⾳が出ないようにご配慮ください
Attention

3
ハッシュタグ
#cmdevio
#cmdevio3

#cmdevio #cmdevio3
4⾃⼰紹介
菊池修治
クラスメソッド株式会社
AWS事業本部コンサルティング部
Senior Solutions Architect
AWS認定全11種取得
AWS Japan APN Ambassador 2019
SIer → ⾃動⾞メーカー → クラスメソッド

5
本⽇のテーマ
#cmdevio #cmdevio3

6
ハイブリッド・マルチVPC
#cmdevio #cmdevio3

7
複数のVPCやオンプレミスと
クローズドネットワークで
相互に接続する環境
#cmdevio #cmdevio3

8ハイブリッド・マルチVPC環境
#cmdevio #cmdevio3

9
ポイント
複数環境の通信を適切に制御する
ルーティング
#cmdevio #cmdevio3

10Key Component
AWSのGatewayサービス
• Internet Gateway（IGW）
• Virtual Private Gateway（VGW）
• VPC Peering（PCX）
#cmdevio #cmdevio3

11Key Component
#cmdevio #cmdevio3

12Key Component
#cmdevio #cmdevio3

13
AWSのGatewayサービス
• Internet Gateway（IGW）
• Virtual Private Gateway（VGW）
• VPC Peering（PCX）
• Transit Gateway（TGW）
Key Component
#cmdevio #cmdevio3

14
Before Transit Gateway
#cmdevio #cmdevio3

15複数環境での通信を実現するには
#cmdevio #cmdevio3

16
複数VPCをホップする
通信は不可能という制約
#cmdevio #cmdevio3

17VPCをホップする通信は不可能
#cmdevio #cmdevio3

18VPCをホップする通信は不可能
#cmdevio #cmdevio3

19
全てのVPC・オンプレミスを
1対1で接続していく必要がある
#cmdevio #cmdevio3

20フルメッシュでの相互接続が必要
#cmdevio #cmdevio3

21なぜ複数ホップができないか
内部のルートテーブルから考察
#cmdevio #cmdevio3

#cmdevio #cmdevio3
22Site to Site VPN / Peering のルートテーブル
宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 VGW
192.168.0.0/24 PCX1
VPC Routerがもつルートテーブル︓任意に編集

#cmdevio #cmdevio3
宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 VGW
192.168.0.0/24 PCX1
PCXのルートテーブル︓Peeringにより⾃動設定
宛先 Next Hop
172.16.0.0/24 VPC Router
192.168.0.0/24 PCX2

#cmdevio #cmdevio3
宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 VGW
192.168.0.0/24 PCX1
VGWのルートテーブル︓BGP or Staticで設定
宛先 Next Hop
172.16.0.0/24 VPC Router
192.168.0.0/24 PCX2
宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 CGW

#cmdevio #cmdevio3
宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 VGW
192.168.0.0/24 PCX1
VPCをまたぐ通信がしたくても
宛先 Next Hop
172.16.0.0/24 VPC Router
192.168.0.0/24 PCX2
宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 CGW
10.0.0.0/24を知らない
192.168.0.0/24を
知らない

26
GWサービス（VGW/PCX/IGW）は
直接つながるVPCしかルーティング不可能
#cmdevio #cmdevio3

27
After Transit Gateway
#cmdevio #cmdevio3

29ハブ型での相互接続を実現するサービス
#cmdevio #cmdevio3

30Transit Gateway
re:Invent 2018にて発表されたサービス
ハブ型のトポロジーが組める
ルートテーブルが編集可能
2018/12/13 東京リージョンで利⽤可能に
2019/9/25 東京リージョンでDirect Connectをサポート
#cmdevio #cmdevio3

31
Transit Gateway の基本
#cmdevio #cmdevio3

32Transit Gatewayの設定
1. Transit Gatewayの作成
2. アタッチメントの作成
3. TGWルートテーブルの作成
4. TGWルートテーブルとアタッチメントのアソシエーション
5. TGWルートテーブルの設定
6. VPCルートテーブルの設定
#cmdevio #cmdevio3

2つのVPCを相互に接続する
#cmdevio #cmdevio3

#cmdevio #cmdevio3

宛先 Next Hop
10.0.0.0/16 VPC Router
192.168.0.0/16 tgw
宛先 Next Hop
192.168.0.0/16 VPC Router
10.10.0.0/16 tgw
#cmdevio #cmdevio3

40Route設定の⾃動化
Transit Gateway作成時に設定可能
p Default route table association
アタッチしたVPC/VPN/DXが⾃動でルートテーブルにアソシエーション
p Default route table propagation
アタッチしたVPC/VPN/DXへの経路が⾃動でTGWルートテーブルに追加
全ての接続先に相互通信が必要なら有効化しておくと設定が簡略化
後からの変更（有効化/無効化）はできないことに注意
#cmdevio #cmdevio3

#cmdevio #cmdevio3

association/propagationを有効にすると設定を簡略化
#cmdevio #cmdevio3

#cmdevio #cmdevio3

44
Transit Gateway と VPN
#cmdevio #cmdevio3

45VPN接続の設定
#cmdevio #cmdevio3
1. TGWの作成

#cmdevio #cmdevio3

#cmdevio #cmdevio3
3. VPNを接続

#cmdevio #cmdevio3
4. アソシエーションとBGPによる経路交換

49Transit Gatewayの料⾦（東京リージョン）
接続料︓
アタッチメント毎に $0.07/時間（1ヶ⽉で $52）
VPNのアタッチメントはサイト間VPN接続料も加算 $0.048/時間
データ処理料︓
Transit Gatewayに送信されたデータに対し $0.02/GB
#cmdevio #cmdevio3

50
Transit Gateway の経路制御
#cmdevio #cmdevio3

51Transit Gatewayの経路制御
• 1つのTGWに複数のルートテーブルを設定可能
• 1つのアタッチメントがアソシエーションできるルートテーブルは1
つのみ
• アタッチメントとルートテーブルのアソシエーションは、アタッチ
メントから⼊ってくる通信がどの宛先に通信可能かを紐付け
-> 通信先相互で同じルートテーブルに紐付ける必要はない
#cmdevio #cmdevio3

#cmdevio #cmdevio3
52複数ルートテーブルの利⽤

#cmdevio #cmdevio3
Route Table 1に経路を持つので通信可能

#cmdevio #cmdevio3

55
ルートテーブルの優先度
#cmdevio #cmdevio3

56ルートテーブルの優先度
1つのルートテーブルに同じ宛先ネットワークが設定された場合
1. ロンゲストマッチ
（例︓10.0.0.0/8 より 10.0.0.0/16 を優先）
2. VPCターゲット（Static/Propagatedで同じ）
3. VPN（Static）
4. DirectConnect Gateway（Propagated）
5. VPN（Propagated）
#cmdevio #cmdevio3

57
複数ルートテーブルによる
経路制御
#cmdevio #cmdevio3

58
通信の分離パターン
#cmdevio #cmdevio3

通信の分離パターン︓特定VPC間のみ通信を許可
#cmdevio #cmdevio3

#cmdevio #cmdevio3

66
共有VPCパターン
#cmdevio #cmdevio3

特定VPCのリソースを共有
#cmdevio #cmdevio3

#cmdevio #cmdevio3

70
インターネット通信集約
パターン
#cmdevio #cmdevio3

71通信経路の集約
インターネットへのOutbound経路を集約
#cmdevio #cmdevio3

#cmdevio #cmdevio3

#cmdevio #cmdevio3
宛先 Next Hop
10.0.0.0/16 VPC Router
0.0.0.0/0 tgw
宛先 Next Hop
10.255.0.0/16 VPC Router
0.0.0.0/0 tgw
宛先 Next Hop
172.16.0.0/16 VPC Router
10.0.0.0/16 tgw
10.255.0.0/16 tgw
0.0.0.0/0 NAT
宛先 Next Hop
172.16.0.0/16 VPC Router
0.0.0.0/0 Internet
宛先 Next Hop
172.16.0.0/16 VPC Router
10.0.0.0/16 tgw
10.255.0.0/16 tgw
0.0.0.0/0 IGW

76
インターネット通信集約
+
VPC間通信制御
パターン
#cmdevio #cmdevio3

インターネットへのOutbound経路を集約 + VPC間の通信制御
#cmdevio #cmdevio3

#cmdevio #cmdevio3

81
まとめ
#cmdevio #cmdevio3

82まとめ
ハイブリッド/マルチVPC環境での通信はルーティング
がポイント
Transit Gateway の登場により
• ハブ型構成が可能に
• 柔軟なルート制御が可能
#cmdevio #cmdevio3

Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解

Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解

More Related Content

What's hot

Similar to Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解

More from Shuji Kikuchi

Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解