読者です 読者をやめる 読者になる 読者になる

AWS Black Belt Online Seminar「Amazon VPC」に参加した

8/3 に開催された AWS Black Belt Online Seminar「Amazon VPC」に参加した!今まで知らなかったことも多くて VPC の奥深さを感じることができた.特に Direct Connect や CGW などオンプレミス関連の話は業務で運用する機会がなく,知識が全く無いことに気付いた.

aws.typepad.com

資料

www.slideshare.net

メモ φ(..)

  • Amazon VPC とは?
    • 仮想的なネットワーク環境
    • VPN or 専用線を使ってオンプレと接続できる
  • VPC のコンポーネント
    • ネットマスクは /28 - /16 の範囲で利用できる(最小は /28 で計 14 IP となる)
    • 同一リージョン内の AZ は高速専用線で繋がっている
    • リージョン間はインターネット経由での通信となる
    • サブネットで利用できない IP アドレス
      • ネットワークアドレスとブロードキャストアドレス以外にある
      • .1 : VPC ルータ
      • .2 : Amazon が提供する DNS
      • .3 : AWS で予約されている
    • Floating IP
      • ENI をスタンバイの EC2 に付けてフェイルオーバーを実現できる(アクティブスタンバイ)
    • VPC 内で使える Amazon が提供する DNS
      • 169.254.169.253
    • IGW に単一障害点や帯域幅のボトルネックは存在しない
    • NAT Gateway は AZ ごとに設置する(ベストプラクティス)
      • 課金形態は利用時間 + NAT を経由したデータ量
    • VPC エンドポイント for S3
      • プライベートサブネットから S3 にアクセスするときに NAT Gateway を使わずに通せる
      • ルートテーブルに VPC エンドポイントのエントリを追加すると NAT Gateway で使ってる 0.0.0.0/0 はそのままでルーティングが変わる
    • VPC Peering
      • MTU に注意する
        • VPC Peering は 1500
      • リージョン間だと VPC peering は使えない
  • VPC のセキュリティ
    • ネットワーク ACL
      • サブネットごとに設定する
      • ステートレス
    • セキュリティグループ
      • 仮想ファイアーウォール
      • ステートフル
    • ネットワーク ALC はサブネットの手前で制限される
      • 制限するタイミングを意識してネットワーク ACL とセキュリティグループを理解する
  • オンプレミスとのハイブリッド構成
    • VPN
      • Direct Connect
  • VPC 設計
    • アプリケーションによる分割
    • 監査のスコープによる分割
    • 本番 / 検証 / 開発フェーズによる分割
    • 部署による分割
  • AWS アカウントと VPC 分割パターンはお客様の運用に沿って考える
  • VPC の実装
    • マネジメントコンソール
    • AWS API
    • Terraform
    • Ansible
    • CloudFormation(CloudFormation デザイナーも使える)
  • VPC の運用
    • VPC Flow Logs
    • ENI トラフィックをロギングできる

過去に参加した Black Belt

kakakakakku.hatenablog.com