31 May 2017, 19:25

AWS Summit2017 Day2のぞいてきた。 ネットワーク設計入門メモ

弊社はプレミアムフライデー導入企業なのだが、最終金曜日に早く帰る必要はなく、月内でどこか1日15時に帰りましょうという制度になっている。
金曜日が仕事の都合上取れなかったので、今月は5/31にプレミアムフライデー(プレミアムウェンズデー)を使った。
ちょうどAWS Summit開催中だったのでのぞきにいった。

雰囲気

想像していた雰囲気とはだいぶ異なっていたというのが第一印象。
想像以上にスーツの年齢層の高い人が多かった。それだけ、AWSもエンタープライズでも注目されるようになったということだろう。
以前に、JAWS2015に参加したことある。もちろんJAWSとAWS Summitでは参加者の層が違う。
が、あれから2年たちAWSに興味を持つ層も大きく変わってきたのを感じた。

セッションも非IT企業への導入事例や、思ったより入門セッションも多かった。
登壇者の話しぶりも「オンプレからの移行」を意識したように感じた。

ブース

セッションだけではなく、AWSに関連するサービスを提供している企業がたくさんブースをだしている。
ここでのコミュニケーションが案外一番楽しい。お酒も用意されていて楽しくおしゃべりできた。

Heroku+AWSの組み合わせで利用するケースの話を聞いて、あーなるほどねって感じだった。
HerokuはAWS上で動作しているし、インターネット経由してもそこまで遅くはならない。
そんな利点を使って組み合わせて使う事例なんかきいた。

そのほかは、やっぱりどこもかしこもコンテナ。
コンテナをどう扱うか、どう監視するか、そんなところの話が多かった。

セッション「ネットワーク設計入門」

セッションは1つだけ「ネットワーク設計入門」を聞いた。
普段ならネットワーク設計入門のセッションは聞かないと思っているのだが、
どんなことを話すのか興味あって聞いてみた。

(1)クラウド上のNWの特徴

  1. 物理設計はいらない
  2. 可用性はすでにセット(VRRPなど気にしなくてよい)
  3. プロフラマブルに操作可能

(2)NWサービス

NWサービスは意外とすくない。VPCがほぼすべて。
VPCが本質であり、ここが理解できればほぼ問題ない。

  1. VPC
  2. Direct Connect
  3. Route53

(3)前提知識

VPC

物理設計はいらないんだけど、
やっぱり物理知っていることがアドバンテージになる。 VPCはリージョンの中のみ。ゾーンはまたぐことができる。

専用線

当たり前だがDCの場所は公開していない。
じゃどうやって接続するか?
相互接続接続ポイントを用意しているからそこにつなぎに来てね、という考え方。

エッジロケーション

CDNノードやRoute53が動作しているところ。
リージョンとはまた別にある。

(4)設計をはじめよう

AWSのどのサービスを使いたいかでNWの設計方針はかわる。
まずはVPCの中で利用するサービスとVPCの外で使うものがあるのでその区別。

  • VPCの中で使うもの
    • EC2とかRDSとかRedshift、EMR
  • VPCの外で使うもの
    • S3、LamdaとかDynamoDB、CloudWatch

次に、外部通信の設計

  • VPCと外部を接続する場合
    • 専用線orインターネットVPNorパブリック(ssh/https)
  • VPCがないけど外部から利用したい場合
    • httpsでまかなう場合が多い。
    • 実は、VPCがなくてもDicrectConnectは使えるよ。
      • DirectConnectのパブリック接続

(5)プライベートNW設計のステップ

  1. VPCの作成
    1. VPCのCIDRレンジは変えられないから大きくとっておこう
    2. オンプレミスとのレンジも被らないように
    3. /16がおすすめ
  2. サブネット作成
    1. インターネットに接続するものとしないもの。ここでサブネット分けよう
    2. AZが落ちてもいいように設計しよう。サブネットは2つずつ
    3. サブネットサイズは24がおすすめ
  3. VPCコンポーネントの作成
    1. カスタマーGW
    2. インターネットGW
    3. VPC単位、サブネット単位、インスタンス単位で配置できるコンポーネントがあるよ
  4. インスタンスの配置
    1. セキュリティポリシーを考えよう
    2. セキュリティグループとネットワークACLがあるよ
    3. セキュリティグループのほうが柔軟
  5. 名前解決の検討

(6)ユースケースごとのNW設計

公開サービスの場合

  • インターネットから接続でいるのはロードバランサーだけにしよう
    • あるいはあとはメンテナンス用の踏み台サーバだけ
  • S3を活用するときは、VPCエンドポイントつかえばVPC内部から接続できるよ
  • 管理拠点とはVPNでつなぐことをおすすめするよ
  • 管理拠点とのルーティングはルートテーブル
  • DNSはRoute53使うと便利だよ
    • ALIASレコードという独自機能
    • DNSのフェイルオーバー機能
      • ソーリーページへの転送が可能

社内システム基盤の場合

  • DirectConnectを使おう
    • パートナーがたくさんいるので連絡してみよう
  • Route53はプライベートゾーン、オンプレからVPC内の名前解決にも使えるよ
  • DirectConnect体験ラボあるからつかってみて

(7)VPC間のピア接続

  • 異なるVPC間をピア接続することもできるよ
  • VPC間でルーティングの設定が必要
  • マルチホップルーティングはできないので注意
  • サブネットは重複しないように注意
このエントリーをはてなブックマークに追加