Mais conteúdo relacionado
Semelhante a JAWS DAYS 2013 札幌とVPCと私 (20)
Mais de Hiroshi Koyama (6)
JAWS DAYS 2013 札幌とVPCと私
- 1. 【JW-04】 札幌とVPCと私
VPCの真価! 編
2013/03/16
札幌事業所
マネジャー 古山浩司
Copyright © 2013 AGREX INC.
- 2. 自己紹介
こやま ひろし
古山 浩司
(株)アグレックス 札幌事業所 システム部
facebook.com/H.Koyaman
*1972年 静岡県浜松市生まれ
*1997年 某・重工メーカー入社
*2001年 (株)アグレックス 入社
企業向けオープン系システム開発 (主にJava)
2011年~ ECサイト構築&運用ビジネス担当
好きなAWSサービス : VPC、RDS
Copyright © 2013 AGREX INC. 1
- 3. ECサイト構築・運用スキーム
ただ「売る」だけの仕組みではなく、
ショップ側の運用コスト・手間を軽減!
(某メガバンクとの提携サービス)
EC決済&請求・回収プラットフォーム
・銀振 / クレカ / コンビニ / ペイジー
オールインワンECパッケージ ・振込専用口座
・入金消込み
・請求書・払込票発行
(アウトソーシングサービス)
低コスト・柔軟・高可用性・セキュアなインフラ
繁忙・閑散期ギャップや急激な事業成長にも追従
→ 販売チャンスのロスなし!
Copyright © 2013 AGREX INC. 2
- 4. VPCの利用パターン2つ
VPNしたいからVPC VPNしない…でもVPC
Internet
Internet
VPN
「Virtual Private Cloud」で
イメージするのはこちら
Copyright © 2013 AGREX INC. 3
- 5. VPCの利用パターン2つ
VPNしないVPC 素のAWS
Internet Internet
≒
これって意味ある?
Copyright © 2013 AGREX INC. 4
- 6. 3/12 AWS発表! 「default VPC」
素のAWS VPNしないVPC
Internet Internet
EC2-Classic EC2-VPC
デフォルト デフォルト
VPCの真価 ≠ VPN (VPNもできる、程度に思っておけばよし)
VPCの魅力を、分かりやすい事例でご紹介!
Copyright © 2013 AGREX INC. 5
- 8. EC2-ClassicのIPアドレス
内部通信はDNS名で
DNS名 xxx.amazonaws.com
EIP(public IP)
Web DB
Server
再起動すると …
DNS名が変わってしまう
EIPが外れる
yyy.amazonaws.com
つながらない!
Web
Server
xxx? DB
MACアドレスも変わる
DBはどこ?
・EIPの再設定、インスタンス間通信の再設定を自動化する仕掛けが必要。
・ライセンスがMACアドレスで縛られる利用するアプリやサービス…お手上げ!
Copyright © 2013 AGREX INC. 7
- 9. EC2-VPCのIPアドレス
好きなアドレスを付与
Private IP 10.0.0.11
EIP(public IP)
Web DB
Server
再起動しても …
アドレスそのまま
EIPそのまま
Private IP 10.0.0.11
Web DB
Server
MACアドレスそのまま
・全てのEC2に任意のPrivateIPを付与できる。
・PrivateIP、MACアドレスとも再起動を繰り返しても不変。
・EIPも勝手に外されることはない。
Copyright © 2013 AGREX INC. 8
- 10. EC2-VPCのIPアドレス
ENI (Elastic Network Interface)
◆ VPC内のEC2でのみ、利用可能。
◆ NIC(ネットワークカード)を仮想化したもの。
・MACアドレス、PrivateIPはENIが破棄されるまで不変。
・EC2ひとつに対して、2枚挿しもできる。
・EIPの付け外しも自在。
eth0 eth1
・Hwaddr ・HWaddr
・inet addr ・inet addr
attach attach attach
EC2
EIP
(public IP) ENI ENI
Copyright © 2013 AGREX INC. 9
- 11. VPCの真価 ~ 2
Security Group
Copyright © 2013 AGREX INC. 10
- 12. EC2-Classic の Security Group
Security Group Security Group
開発用 A社向けデモ用
Web
開発用
一般利用者 1号機 一般利用者
A社に見せたい…
A社 A社
Web S.G.交換不可!
開発用
2号機
・立ち上げ時のS.G.を、後に別のS.Gと入れ替えることはできない。
・現在のS.G.自体の設定を変えることは可能、
…ただし同じS.G.のインスタンスは一蓮托生。。
Copyright © 2013 AGREX INC. 11
- 13. EC2-VPC の Security Group
Security Group Security Group
開発用 A社向けデモ用
Web Outbound
開発用
一般利用者 1号機 一般利用者
In/Out
制御可能
Inbound
A社 A社
Web
開発用 いつでも
2号機 交換OK!
・いつでも(起動中でも) S.G.の入れ替えができる。
・Inboundだけでなく、Outboundも制御可能。
(非VPCではInboudしかできない)
Copyright © 2013 AGREX INC. 12
- 14. VPCの真価 ~ 3
ネットワーク設計
Copyright © 2013 AGREX INC. 13
- 15. EC2-Classic の ネットワーク
典型的な、「外から入れるWeb」と「外からは入れないDB」
EC2-Classic で構成すると…
Internet
http
MySQL
DB
Web
SSH
65.43.2.1 SSH
Web用 S.G. DB用 S.G.
IN tcp: 80 0.0.0.0/0 IN tcp: 3306 Web用S.G.
IN tcp: 22 65.43.2.1/32 IN Tcp: 22 Web用S.G.
・全てのインスタンスにおいて、ネットワーク的には平等。
・外界と隔てる唯一の壁がSecurity Group (外はいきなりInternet)
Copyright © 2013 AGREX INC. 14
- 16. EC2-VPC の ネットワーク
Internet
10.0.0.0 /16
Public Subnet 10.0.1.0 /24 Internet
Gateway
S.G. Web用 S.G.
Web Route Table
10.0.0.0 /16 → local EC2-VPC
3段階のアクセス制御方法
0.0.0.0 /0 → Internet
Access Control List 1. Route Table
サブネットと外界との通信可否
Private Subnet 10.0.2.0 /24
2. Access Control List
S.G. Web用 S.G.
サブネット同士の通信可否
DB
3. Security Group
インスタンス同士の通信可否
10.0.0.0 /16 → local
・自由なネットワーク設計を実現。 (目的・役割毎にサブネットを分離)
・より高いセキュリティ。(上記3要素の組合せによるきめ細かなアクセス制御)
Copyright © 2013 AGREX INC. 15
- 17. VPCの真価 ~ 4
適用サービスの充実
Copyright © 2013 AGREX INC. 16
- 18. かつてVPCでは出来なかったこと
RDS
ELB
t1.micro
EC2
Elastic Beanstalk
大人気のこれらのサービスが使えないのでは、
せっかくのVPCも魅力半減! …だった。
Copyright © 2013 AGREX INC. 17
- 19. VPC アップデート
2011/08 全リージョン、Multi-AZ、での利用が可能に!
2011/11 ELBが利用可能に!
2012/01 RDSが利用可能に!
2012/05 RDSのリード・レプリカが利用可能に!
EC2
2012/10 EC2 マイクロインスタンスが利用可能に!
2012/11 Elastic Beanstalkが利用可能に!
2012/12 RDS マイクロインスタンスが利用可能に!
2012/12 ElastiCacheが利用可能に!!
:
2013/03 default VPC スタート!!
Copyright © 2013 AGREX INC. 18
- 20. VPCの真価 ~ 5
無料!
(VPN料金は$36/月)
Copyright © 2013 AGREX INC. 19
- 21. まとめ
自在なネットワーク設計と、きめ細かなセ
キュリティ制御こそがVPCの本質。
VPNの利用有無に関係なく、VPCはAWS上
で構築する場合のスタンダード!
使い方は難しくはない。まずはサブネットひ
とつのVPCにEC2-Classicを移行してみるの
がお勧め。
Copyright © 2013 AGREX INC. 20
- 22. Appendix ~ 最速VPC
VPC with a Single Public Subnet Only
通称「タコツボ型」からスタート!
Copyright © 2013 AGREX INC. 21
- 23. Appendix ~ タコツボ型からの発展
Internet
Public Subnet Public Subnet
「Single Public S.G. S.G.
Subnet Only」 Internet
Gateway
EC2 EC2
Private Subnet Private Subnet
S.G. S.G.
Multi-AZ
Deployment
AZ-a AZ-b
Copyright © 2013 AGREX INC. 22