HIGOBASHI.AWS #2の登壇資料 AWSにおける最近のネットワーク関連のアップデートと、そのハマりどころ、回避方法を紹介しました。

1. 2018.3.23
Shuji Kikuchi
AWS ネットワーク⼩ネタ祭り
- 最近のアップデート紹介・ハマりどころと対応策 -

2. 2⾃⼰紹介
菊池 修治
- クラスメソッド AWS事業部
- Senior Solutions Architect
- AWS認定 7冠
- SIer → 製造業 → クラスメソッド
- 好きなデータストア
- MongoDB
New!
New!

3. 3アジェンダ
1. 最近のネットワーク関連アップデート
2. 新機能の注意点・ハマりどころと解決策

4. 4アジェンダ
1. 最近のネットワーク関連アップデート
2. 新機能の注意点・ハマりどころと解決策

5. 5最近のネットワーク関連アップデート
• Direct Connect Gateway
（2017.11発表）
• Inter Region VPC Peering
（2017.11発表、2018.2Update）
• NLB + PrivateLinkの独⾃EndPoint
（2017.12発表）

6. 6Direct Connect Gateway
• 1つのDirect Connect（DX）接続で世界中のAWSリー
ジョンとプライベート接続が可能に
• 仮想インターフェース（VIF）とVGWの間にDX Gateway
を配置
https://dev.classmethod.jp/cloud/aws/direct-connect-gateway/

7. 7Direct Connect Gateway

8. 8Direct Connect Gateway
ap-northeast-1
ap-southeast-1
sa-east-1
us-east-1
eu-central-1 DX
DX接続が1つあれば世界中のAWSリージョンとプライベート接続が可能

9. 9
• リージョンをまたいだVPC Peeringが可能に
• 2017年11⽉登場、2018年2⽉に東京リージョン対応
https://dev.classmethod.jp/cloud/aws/inter-regrion-vpc-peering/
https://dev.classmethod.jp/cloud/aws/inter-region-vpc-peering-available-tokyo/
Inter Region VPC Peering

10. 10Inter Region VPC Peering
ap-northeast-1
ap-southeast-1
sa-east-1
us-east-1
eu-central-1
世界中のVPCとプライベート接続が可能

11. 11NLB + PrivateLinkの独⾃EndPoint
独⾃のサービスをVPCエンドポイントとして提供可能に
https://dev.classmethod.jp/cloud/aws/aws-reinvent-vpc-privatelink-endpoint/
PrivateLink
NLB
ENI
ユーザ（クライアント） サービサー（プロバイダ）
①エンドポイント
サービスとして公開
②サービスを指定して
エンドポイント作成
vpce-xxx.ap-northeast-
1.vpce.amazonaws.com

12. 12NLB + PrivateLinkの独⾃EndPoint
• クライアントからはプロバイダの構成は隠蔽
• VPC CIDRの重複を考慮する必要も無し！
Service
ENI
ユーザ（クライアント）
②サービスを指定して
エンドポイント作成
vpce-xxx.ap-northeast-
1.vpce.amazonaws.com

13. 13アジェンダ
1. 最近のネットワーク関連アップデート
2. 新機能の注意点・ハマりどころと解決策

14. 14
Direct Connect Gateway と
Inter Region VPC Peering の違い

15. 15DX Gateway と Inter Region VPC Peering
• どちらも他リージョンとの接続を提供するサービス
• DX Gateway：オンプレミスと複数VPCの接続を提供
• Inter Region VPC Peering：VPC同⼠の接続を提供
• DX Gateway では VPC間の通信は不可
• VPC間の通信はPeeringを併⽤

16. 16DX Gateway と Inter Region VPC Peering

17. 17
Direct Connect Gateway の導⼊

18. 18DX Gatewayを導⼊したい
• まずは利⽤しているDXのタイプを確認
• 専有型：回線とDXルータを⾃前で⽤意・専有
• 共有型：キャリアが提供の回線・ルータからVIFを提供
https://dev.classmethod.jp/cloud/aws/direct-connect-guide/
• 専有型はすぐに利⽤可能（Gatewayを作成）
• 共有型の場合にはサービス提供元に確認

19. 19DX Gatewayを導⼊したい
• タイプがわからない場合はコンソールを確認
• 回線の所有権がない「共有型」では「接続」の項⽬に何
も表⽰されない

20. 20
Inter Region VPC Peering の制約

21. 21Inter Region VPC Peering の制約
• Inter Region VPC Peeringにはリージョン内の
VPC Peeringと⽐べ未サポートの機能がある
• Security Group参照
• VPC間のプライベートIP解決

22. 22Inter Region VPC Peering の制約
• Security Group参照
• リージョン内ではSourceにSecurity Groupを指定可能
• Inter RegionではIP/CIDRで指定する必要あり
Security Group
Web
Security Group
DB
Protocol Port Source
TCP 3306 SG：Web

23. 23Inter Region VPC Peering の制約
• プライベートIP解決
• パブリックDNSの解決結果
• VPC外：Public IPを取得
• VPC内（AmazonProvidedDNS ）：Private IPを取得

24. 24Inter Region VPC Peering の制約
• プライベートIP解決
VPC外：Public IPを取得
VPC内（AmazonProvidedDNS）：Private IPを取得
$ dig ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com @8.8.8.8
：
:;ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com. IN A
;; ANSWER SECTION:ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com. 21599 IN A 13.231.218.52
$ dig ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com @172.31.0.2
：
:;ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com. IN A
;; ANSWER SECTION:ec2-13-231-218-52.ap-northeast-1.compute.amazonaws.com. 21599 IN A 172.31.5.216

25. 25Inter Region VPC Peering の制約
• PeeringしたVPCでも「プライベートIP解決」を有効にすること
でVPC間でもPrivate IPで名前解決可能
• Inter Region VPC Peeringでは「プライベートIP解決」が設定
できないので⾃VPC以外はPublic IPを取得してしまう
ec2-xxx-xxx-xxx-xxx.ap-northeast-
1.compute.amazonaws.com
DNS DNS
ec2-xxx-xxx-xxx-xxx.ap-northeast-
1.compute.amazonaws.com
Private IP

26. 26Inter Region VPC Peering の制約
• パブリックアクセスを有効にしたRDS/Redshiftの場合には重要
• VPC Peeringを経由せずにInternet経由のアクセスになってしまう
DNS DNS
Public IP
xxx.ap-northeast-
1.rds.amazonaws.com
Private IP
RDS
xxx.ap-northeast-
1.rds.amazonaws.com

27. 27Inter Region VPC Peering の制約
• パブリックアクセスを有効にしたRDS/Redshiftの場合には重要
• VPC Peeringを経由せずにInternet経由のアクセスになってしまう
DNS DNS
Public IP
xxx.ap-northeast-
1.rds.amazonaws.com
Private IP
RDS
xxx.ap-northeast-
1.rds.amazonaws.com

28. 28Inter Region VPC Peering の制約
• 解決⽅法はDNSキャッシュの配置
• AmazonProvidedDNSはVPC内からしか利⽤できない
• Peering経由でアクセスするにはDNSキャッシュを経由させる
https://dev.classmethod.jp/cloud/aws-hybrid-cloud-dns-designs/
DNS
xxx.ap-northeast-
1.rds.amazonaws.com
Private IP
RDS
xxx.ap-northeast-
1.rds.amazonaws.com
Private IPDNSキャッシュ
サーバ

29. 29
PrivateLink 独⾃ EndPoint の制約

30. 30PrivateLink 独⾃ EndPoint の制約
• NLB（Network Load Balancer）がコアコンポーネント
• NLB の仕様/制約がそのまま独⾃ EndPointの制約になる
• 利⽤可能なプロトコル
• 利⽤可能なターゲット

31. 31PrivateLink 独⾃ EndPoint の制約
• 利⽤可能なプロトコル：TCP
• UDPアプリケーションは利⽤不可（SNMP、DNSなど）
• HTTPSのSSL/TLS終端は不可（もちろんCertificate Managerも不可）
-> HTTPSの終端が必要な場合はVPC Peering + ALBを使う

32. 32PrivateLink 独⾃ EndPoint の制約
• 利⽤可能なターゲット：
• EC2インスタンス（インスタンスIDを指定）
• IPアドレス
NLB Target Group
Instance ID
or
IP Address

33. 33PrivateLink 独⾃ EndPoint の制約
• 利⽤可能なターゲット：
• EC2インスタンス（インスタンスIDを指定）
• IPアドレス
NLB Target Group
Instance ID
or
IP Address

34. 34PrivateLink 独⾃ EndPoint の制約
• IPアドレスターゲットは全てのIPに使える訳ではない
• NLBの場合はVPC内およびDX接続先のみ利⽤可能
• 以下の指定は不可能
• VPC Peering先
• VPN接続先
• ELB（ALB/NLB/CLB）のIP

35. 35PrivateLink 独⾃ EndPoint の制約
• IPアドレスターゲットは全てのIPに使える訳ではない
• NLBの場合はVPC内およびDX接続先のみ利⽤可能
• 以下の指定は不可能
• VPC Peering先
• VPN接続先
• ELB（ALB/NLB/CLB）のIP
• HTTPS終端が必要な場合はおとなしくEC2で処理しましょう
ALB Target Group
Instance ID
NLB
IP Address

36. 36まとめ
• ネットワーク関連の新機能
• Direct Connect Gateway
• Inter Region VPC Peering
• NLB + PrivateLinkの独⾃EndPoint
• 機能と制限を理解して正しく使いましょう