Amazon Web Services ブログ

[AWS Black Belt Online Seminar] Amazon VPC 資料及び QA 公開

先日 (2020/10/21) 開催しました AWS Black Belt Online Seminar「Amazon VPC 」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。

AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます)

Q. オンプレミス設計ではいくつかのネットワークを使い分けていました。1. サービス用NW 2. バッチ用NW 3. 管理用NW。Linux であれば bond0, bond1, bond2 と複数のデバイスを割り当てていました。分けていた理由は NW ACL 設定を分けるため (バッチ用 NW と管理用NWのみ SSH 許可 かつ SSH デーモンが Listen するのも対象I/Fのみ、など) それぞれ N/W 帯域を使い切ってしまったときに影響を局所化するため、でした。Amazon VPC では、どのように設計するのがよいのか教えていただけますか?オンプレミス比較でのドキュメント、ホワイトペーパー、ブログなどあれば紹介いただけると助かります。
A. クラウドコンピューティングのためのアーキテクチャ・ベストプラクティス はいかがでしょうか。オンプレミスの考え方をそのまま踏襲してしまうと余計な手間やコストを生んでしまうので Well-Architectedフレームワークを利用してよりよいアーキテクチャを作ることをおすすめいたします。

Q. VPC ウィザードは、対顧客向けに利用できるものなのでしょうか?それともテスト的な環境作成のみに利用できるイメージでしょうか?
A. はい、本番環境の構築でもご利用いただけます。環境の構築について、再現性が求められる場合は、CloudFormation や Ansible, terraform などのサードパーティのツールを利用して構築することをおすすめします。

Q. IGW を使っているパブリックサブネットで S3 のエンドポイントを使っていない場合、EC2 から CLI の S3 コマンドを実行すると AWS データセンター外に通信は出ますか?
A. インターネットに出るかどうかというご質問ですね。通常時は AWS グローバルネットワーク内に閉じます。閉域でのアクセスを求める場合はエンドポイントをご利用ください。

Q. VPC /16, Subnet /24 推奨など参考になりました。推奨値などはユースケースによるのかもしれませんが、AWS CloudFormation template, AWS CDK, Terraform などでAWS VPC ひな形を提供されていたりするのでしょうか?
A. はい、ドキュメントにひな形をご提供しております。サードパーティのツールにつきましてはサードパーティ様の Web サイトでご提供がありますのでご確認ください。

Q. ネットワークACLとセキュリティグループはどのように使い分ければよいでしょうか?
A. ネットワーク ACLはサブネット全体にかけられるので、特定のアドレスブロック全体をポリシーとして制御することに向いています。セキュリティグループはインスタンスやENI単位で細かく制御できますので、細かくポリシーを定める際に向いています。また、ステートレス(ネットワークACL)とステートフル(セキュリティグループ)で使い分けることもあります。

Q. DXGW と Transit Gateway の違いが分かりませんでした。使い分けのポイントなどありましたら、ご教示お願いいたします。
A. Direct Connect Gateway (DXGW) は Direct Connect の仮想インターフェイスを複数リージョンの VPC と複数の VPC をつなぐものです。Direct Connect Gateway に接続した VPC 同士、Direct Connect 同士の通信はできません。Transit Gateway は VPC、Direct Connect、VPN の間で相互に通信できるルータのようなものです。高機能ですがその分コストがかかりますので、Direct Connect Gateway の機能で十分な場合は Transit Gateway を使わない選択もあると考えます。

Q. Reference Network Architecture としてを紹介いただいていました。より詳しく知りたいのですが、どこを参照したらいいか教えていただけますか?”共有型” DX 接続を利用しているため、AWS Transit Gateway 登場前の Transit Gateway を使わないものもあれば教えていただけるとありがたいです。カスタマイズ例(理由とともに)あれば参考にしたいと考えています。
A. 英語でのプレゼンになりますが AWS re:Invent 2019: (REPEAT 1) The right AWS network architecture for the right reason (NET320-R1) で説明しています。こちらで様々なアーキテクチャをご説明しております。また、共有型でも使える Transit Gateway の接続パターンをこちらでご紹介しております。

Q. オンプレミスから閉域で Amazon S3 などのAWSサービスにアクセスする方法を紹介いただきましたが、AWS Management Console, Amazon QuickSight などにアクセスする方法はあるのでしょうか?
A. PrivateLink での接続ですね。現時点ではご提供しておりません。

Q. オンプレミスから VPC-Provided DNS へアクセスする方法として、Amazon VPC の Black Belt (2019) p.53 ではDNSフォワーダーをマネージドサービスで提供する AWS Directory Service – Simple AD, Amazon Route 53 Resolver for Hybrid CLouds の 2 つ を紹介いただいていました。料金だけ見ると Simple AD がよさそうだと思うのですが、使い分けはどのように考えたらいいのか教えていただけますか?
A. 単純なコスト比較ではおっしゃる通りですが、運用コストや設定の煩雑さを考えると Route53 resolver for Hybrid Clouds をご利用されたほうが良いと考えます。

Q. セキュリティグループ設定の送信先にセキュリティグループIDが指定されていましたが、どのように解釈されるのでしょうか。送信先に IP アドレス範囲は理解できるのですが。
A. セキュリティグループにセキュリティグループIDを指定した場合、そのセキュリティグループIDが適用されているインスタンスや ENI からの通信を許可します。例えばオートスケーリングで設定するセキュリティグループを指定しておくと、増加・リプレースされたインスタンスからの通信を自動で許可するようにすることができます。

Q. 現在あるアカウントの VPC が Direct Connect でつながっていますが、この Direct Connect を複数アカウントで使えるようにしたい場合、Direct Connect Gateway と Transit Gateway どちらを使うのがいいのでしょうか?
A. まず、現在 VPC につながっている Direct Connect をそのまま Direct Connect Gateway を使った接続に切り替えることはできません。作り替える必要があります。次に、Transit Gateway は Direct Connect Gateway を経由して Direct Connect と接続されます。その際、Transit 仮想インターフェイスという専用の仮想インターフェイスが必要になります。最後にマルチアカウント接続ですが、Direct Connect Gateway, Transit Gateway 双方とも可能です。ユースケースに合わせてご選択ください。

Q. PrivateLink 経由で S3 をアクセスする場合と、インターネットゲートウェイを経由して S3 にアクセスすることに、セキュリティ上の差分はありますか?
A. AWS Transfer for SFTP を使って PrivateLinkを経由して S3 にアクセスする場合と、IGW を経由して S3 にアクセスする場合の比較ですね。どちらも AWS が管理するネットワーク内を通過しますので差分はありません。お客様のポリシーでプライベートアドレスを使って閉域でアクセスしたい場合には PrivateLink をお使いください。

Q. NAT ゲートウェイは、プライベートIPをパブリック IP に変換して、外部への通信を許可するために使用するものだと思いますが、プライベートIPを別のプライベート IP に変換したい(かつ両方向の IP 変換をしたい)場合には、使用できませんでしょうか?( AWS と Direct Connect 経由で接続する外部拠点と、プライベート IP 接続したいが、IP 変換したいケースがあるためです)
A. オンプレミスからの通信を NAT Gateway を経由して Source / Destination 両方の NAT 変換をしたいというご要望ですね。まず、Source/Destination 両方の NAT には NAT Gateway は対応していないので、ご要望のケースには対応できません。Source IP のみであれば、NAT Gateway があるサブネットの経路をオンプレミス側に向けてあげれば、NAT Gateway の Private IP アドレスに変換されます。

今後の AWS Webinar | イベントスケジュール

直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。

AWSome Day Online Conference

「AWSome Day Online」は、AWSの主要サービスや基礎知識を約 2.5 時間という短い時間で、ポイントを押さえて紹介いたします。技術的な面だけではなく、AWS クラウドを学ぶために必要となる知識を身に付けたい方、エンジニアのみならず、営業職、プリセールス職、学生まで幅広い方々におすすめします。

※この回ではAWSエキスパートによる技術的な内容についてチャット形式でのQ&Aを実施します。
※AWS サービスの導入に関するご相談も同時にチャット形式にて対応します。
※2020年は毎月第一水曜日に開催します。

日時:2020 年 11 月 4 日(水) 15:00 – 18:00 終了予定 | 詳細・お申込みについてはこちら≫

【オンラインセミナー(ハンズオン)】スケーラブルウェブサイト構築編

$25クーポン付き!
スケーラブルウェブサイト構築編 は、WordPressを使ったブログサイトの構築を通じて、スケーラブルな Web システム構築を学んでいただけるハンズオンセミナーです。主に取り扱う AWS サービスは Amazon EC2、Amazon RDS、ELB の3つです。また、作って終わりではなく、実際にEC2インスタンス1台を停止させ、その状態でもブログサイトにアクセスできることも確認します。前提となる必須知識はありませんので、スケーラブルな Web アーキテクチャについて学ぶ第一歩としてご活用ください。

※ AWSome Day Online Conference とセットでご視聴いただきますと効果敵です。
※当日はサポート講師が待機し、チャットで皆様の操作をサポートします。

日時:2020 年 11 月 5 日(木) 14:00 – 17:00 終了予定 | 詳細・お申込みについてはこちら≫

AWS Black Belt Online Seminar

11 月のアジェンダを公開しました。10 月のアジェンダも併せてご確認ください。またセミナー中は内容に関する疑問点を質問することができます。参加された方だけの特権ですので、ぜひこの機会にご視聴ください。

10 月分の詳細・お申込はこちら≫

  • 10/27(火)12:00-13:00 AWS IoT Core
  • 10/28(水)18:00-19:00 Amazon CloudFront deep dive

11 月分の詳細・お申込はこちら≫

  • 11/11(水)18:00-19:00 AWS CodeStar & AWS CodePipeline
  • 11/17(火)12:00-13:00 Amazon QuickSight のBI機能を独自アプリケーションやSaaSに埋め込む
  • 11/18(水)18:00-19:00 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
  • 11/25(水)18:00-19:00 AWS CodeBuild