Mais conteúdo relacionado
Semelhante a cloudpack night #2 実践VPC (20)
Mais de Kazuhiko ISOBE (7)
cloudpack night #2 実践VPC
- 1. 実践VPC
実践VPC
ISOBE Kazuhiko (cloudpack)
cloudpack night #2 2012-03-23
- 2. 提供
この発表はcloudpackの提供で
お送りいたします
01 26
- 3. 自己紹介
Twitter: muramasa64
cloudpackでAWSで提案・設計・運用
最近VPCを使う案件が多いです
好きなAWSサービス: API
02 26
- 4. VPCはパラダイムシフト
従来のAWSのシステム設計とは方法論を変
えなければならない
もちろんオンプレミスとも違う
03 26
- 6. サブネット
サブネットをどう分割するか
05 26
- 8. サブネットの分け方
ルーティング単位で分ける
Internetと通信する
VPNの接続拠点に直接アクセスする
NATインスタンスを使ってる
07 26
- 9. サブネットの分け方
ELB専用サブネットを作る(推奨)
RDSは専用でなくてもよさそう?
08 26
- 10. セキュリティグループ
セキュリティグループはEC2稼働中に付け
替えられて便利
この機能を前提とすると、従来とは違った
使い方のほうがすっきるする
09 26
- 11. 従来のやりかた
defaultセキュリティグループはすべてに
つける
サーバ間の通信をすべて許可する設定
全てに共通な設定(管理サーバからのアクセスな
ど)を設定
10 26
- 12. 従来のやりかた
サーバのカテゴリごとにつける
Webサーバなら、web、DBサーバならDBという
グループを作ってつける
同じカテゴリなら、同じルールの設定が必要にな
るため
11 26
- 13. 従来のやりかたの課題
同じIPアドレスからの許可を、複数のグ
ループに設定が必要だったりして面倒
このIPアドレスって、どこのIPアドレス
だっけ?
12 26
- 14. VPCでの考え方
下記のようなグループ分けをする
領域別グループ
機能別グループ
利用者別グループ
13 26
- 15. 領域別グループ
通信を許可する領域別につくる
internetからのアクセス、VPC内部のアク
セス
14 26
- 16. 機能別グループ
サーバのもつ機能ごとに設定する
Webサーバ、DBサーバ、NATインスタン
ス
15 26
- 17. 利用者別グループ
cloudpack、お客さま、開発会社など
グループ単位で追加・変更・削除すると管
理しやすい
16 26
- 18. ネットワークACL
サブネット単位
複数AZはまたげない
Denyルールが使える
ステートレス
設定がやや面倒
サブネット内の通信は影響なし
17 26
- 19. ネットワークACLの使い所
通常のFW的使い方は、セキュリティグ
ループでやる
Denyルールを活用する
サブネット間で通信させたくないとき
特定のIPアドレスから攻撃があった時にブロック
する
18 26
- 20. VPCの設計での事例
とりあえずVPCを使うのは決まっていた
VPCのCIDRは、192.168.0.0/24という顧
客の要望
/24だと、AZを複数作るとカツカツ
192.168.0.0/25, 192.168.0.128/25の2つ
ここまでは良かった…
19 26
- 21. あっ、サブネットが足りない
えっ、ELB使うの?
ELBは、IPアドレスが123個以上無いと作れ
ない
もうサブネットは追加できないし…
VPN接続の設定はしちゃったのでCIDRを
増やして作り直しもNG
20 26
- 22. とりあえずの解決策
/25ならELBをひとつ作ることはできる
まず、/25のサブネットを作る
そこにELBを入れる
その後にEC2を立ち上げる
21 26
- 23. 問題点
ELBを複数作ることができない
消して作りなおしもできない
Amazonの推奨ではない
ELBは専用のサブネットが望ましい
でも、123個必要って、ちょっと制限がきついので
は…
22 26
- 24. 今後の対策
最初にしっかりとシステム構成を定義しま
しょう
ELBを後から追加したいとかは厳しい
最初に定義できない場合は、VPCは広く確
保しておく
23 26
- 25. ちなみに
Virtual Private Gatewayは別のVPCにア
タッチし直せる
別のVPCを作ってアタッチし直すという技
が使える
今回も検討したけど事情があり使えなかった
システムのリプレースに便利かも
24 26
- 26. まとめ
VPCは便利だけど使い方が難しい
ちゃんと設計してから構築しましょう
ご意見募集!
25 26