使い出したらやめられない！知ってお得なVPCの魅力

【NetCOBOLによるAWS活用事例とAWSを活用した事例セミナー】

使い出したらやめられない！

知ってお得なVPCの魅力
2013/02/22

札幌事業所マネジャー古山浩司

Copyright © 2013 AGREX INC.

自己紹介

こやまひろし

古山浩司
(株)アグレックス札幌事業所システム部

＊1972年静岡県浜松市生まれ

＊1997年某・重工メーカー入社 2010.11 第0回勉強会
：
＊2001年 (株)アグレックス入社 2013.01 第9回勉強会
：
企業向けオープン系システム開発 (主にJava)
：
2011年～ ECサイト構築＆運用ビジネス担当

Copyright © 2013 AGREX INC. 2

ECサイト構築＆運用スキーム

ただ「売る」だけの仕組みではなく、ショップ側の運用コスト・手間を軽減！

(某メガバンクとの提携サービス)

オールインワンECパッケージ EC決済＆請求・回収プラットフォーム
・銀振 / クレカ / コンビニ / ペイジー
・振込専用口座
・入金消込み
・請求書・払込票発行
(アウトソーシングサービス)

低コスト・柔軟・高可用性・セキュアなインフラ

繁忙・閑散期ギャップや急激な事業成長にも追従、販売チャンスのロスなし！


VPCとは何・・・？

VPC - Virtual Private Cloud
(AWSオフィシャルサイトより)
Amazon VPCでは、AWS Cloud のプライベートで孤立したセクションを
プロビジョンすることができます。
：
既存のデータセンターと自分の VPC 間にハードウェア VPN接続を作成する
ことができるので、AWS クラウドを既存のデータセンターを拡張するかのように
活用することができます。

VPNでつないで社内ネットワーク
　　の延長として使う、てこと？
・・・とりあえず無理。。

ひとまずVPNは忘れるべし！


使わない場合～ EC2 再起動
内部の通信は
DNS名で

ElasticIP(Public IP) DNS名 xxx.amazonaws.com

Web DB
Server

再起動すると・・・
DNS名が
変わってしまう
Public IPが
外れてしまう yyy.amazonaws.com
つながらない！
Web DB
Server xxx?
MACアドレスも
変わる
DBはどこへ？

◆EC2自身がAPIを使って自動でElasticIPを再設定したり、サーバ間の通信設定を
書き換えたりする仕掛けが必要になる！
◆使っているアプリやサービスにMACアドレス縛りがあると・・・もうお手上げ！


使った場合～ EC2 再起動
好きなアドレスを
つけられる

ElasticIP(Public IP) Private IP 10.0.0.11

Web DB
Server

再起動しても・・・

アドレスそのまま
Public IPそのまま 10.0.0.11

Web DB
Server MACアドレスも
そのまま

◆全てのEC2に任意のPrivate IPを付与でき、それは再起動を繰り返しても不変。
◆MACアドレスも変わらないので、
◆Elastic IPも一度つけたら勝手に外されることはない。


使った場合～ ENI (=仮想 NIC)

ENI (Elastic Network Interface)
◆NIC(ネットワークカード)を仮想化したもの。
◆VPC内のEC2でのみ利用可。
・紐付いたMACアドレス、Private IPはENIが破棄されるまで不変
・ひとつのEC2に対して、2枚挿しもOK
・使用中のENIを抜くのもOK (eth0はEC2を破棄したら抜ける)
・Elastic IPの付け外しもOK

attach attach attach
EC2

Elastic IP
(Public IP) eth0 EC2
eth1
・MAC address Instance
・MAC address
・Private IP ・Private IP


使わない場合～セキュリティ・グループ
＊Security Group ≒ファイアウォール

Security Group Security Group
開発用 A社デモ用

一般利用者 Web 一般利用者
開発用
1号機

2号機だけ
A社 A社に見せたい・・・ A社

Web
開発用
2号機

S.G.の交換は
できない！

◆起動時に決めたSecurity Groupを、後になって別のS.G.に変えることはできない。
◆Security Group自体の allow/deny 設定を変えることは可能だが、同じS.G.下にある
全てのEC2に影響がおよぶ。


使った場合～セキュリティ・グループ

Out方向も
Security Group Security Group 制御可能
開発用 A社デモ用

一般利用者 Out 一般利用者
Web
開発用
1号機
In

A社 S.G.の入替え A社
いつでもOK！
Web
開発用
2号機

◆好きなときにSecurity Groupの付け替えができる。
◆Inboundだけでなく、Outboundについても allow/deny の制御が可能。
(通常のEC2 S.G.では、Inboundだけ)


使わない場合～ネットワーク・モデル

http(s)

Web MySQL DB
EC2 EC2
SSH
65.43.2.1 SSH

IN tcp:80 0.0.0.0/0
IN tcp:443 0.0.0.0/0 IN tcp:3306 Web用 S.G.
IN tcp:22 65.43.2.1/32 IN tcp:22 Web用 S.G.
Web用 Security Group DB用 Security Group

◆ 全てのEC2に共通して、ネットワーク階層という概念はない。(全てがpublic)
◆ 外界との遮蔽は、セキュリティ・グループが唯一の手段。 (S.G.の外側はいきなり外界)


使った場合～ネットワーク・モデル

10.0.0.0/16

Public Subnet Internet
10.0.1.0/24 Gateway
Security
Group Web Route Table
EC2 10.0.0.0/16 → local
3段階のアクセス制御方法
0.0.0.0/0 → I.GW
◆ Route Table
Access Control List サブネット毎の、外界との通信可否

Private Subnet ◆ Access Control List
10.0.2.0/24 サブネット同士の通信可否
Security
Group DB
◆ Security Group
EC2 インスタンス同士の通信可否
10.0.0.0/16 → local

◆ 各インスタンスの役割ごとに、所属するネットワーク階層を分離することができる。
◆ S.G.のみだった通常のEC2と比べて、よりセキュアな構成が可能。


VPCに関するアップデート

2011/08 全リージョン、Multi-AZ、での利用が可能に！
2011/11 ELB (Elastic Load Balancer)の利用が可能に！
2012/01 RDS (Ralational Database Service)が利用可能に！
2012/05 RDSのリード・レプリカが作成可能に！
2012/10 EC2 マイクロインスタンスが起動可能に！
2012/11 Elastic Beanstalkが可能に！
2012/12 RDS マイクロインスタンスが利用可能に！

VPC未対応なサービスは、ほぼ無くなった今・・・
これを使わない理由は無い！
しかも、VPN接続しないなら料金は無料！


作成してみましょう！～step1

まずは「VPC with a Single Public Subnet Only」で。

作成してみましょう！～ step2

Public Subnet Public Subnet
Security Security
Group Internet Group
Gateway
EC2 EC2

Private Subnet Private Subnet
Security Security
Group Group
Multi-AZ
RDS RDS

Datacenter-1 Datacenter-2


まとめ

◆ 「プライベートクラウド」だからと難しく考える
必要はありません。まずは使ってみましょう。

◆ 最初の少しだけの手間は我慢しましょう。
それだけで後々の自由度は格段に違います。

◆ サブネット、ルートテーブル、ゲートウェイ・・・
使いこなせるようになると、(きっと) さらなる
世界が開けます！


最後にこちらも・・・


使い出したらやめられない！知ってお得なVPCの魅力

More Related Content

What's hot

Similar to 使い出したらやめられない！知ってお得なVPCの魅力

More from Hiroshi Koyama

Recently uploaded

使い出したらやめられない！知ってお得なVPCの魅力