jaws days 2013 札幌とvpcと私

Copyright © 2013 AGREX INC.

2013/03/16

札幌事業所

マネジャー古山浩司

【JW-04】札幌とVPCと私

VPCの真価！編

Copyright © 2013 AGREX INC. 1

こやまひろし

古山浩司 (株)アグレックス札幌事業所システム部

facebook.com/H.Koyaman

＊1972年静岡県浜松市生まれ

＊1997年某・重工メーカー入社

＊2001年 (株)アグレックス入社

企業向けオープン系システム開発 (主にJava)

2011年～ ECサイト構築＆運用ビジネス担当

好きなAWSサービス： VPC、RDS

自己紹介


ECサイト構築・運用スキーム

EC決済＆請求・回収プラットフォーム・銀振 / クレカ / コンビニ / ペイジー・振込専用口座・入金消込み・請求書・払込票発行 (アウトソーシングサービス)

低コスト・柔軟・高可用性・セキュアなインフラ

(某メガバンクとの提携サービス)

オールインワンECパッケージ

ただ「売る」だけの仕組みではなく、ショップ側の運用コスト・手間を軽減！

繁忙・閑散期ギャップや急激な事業成長にも追従 → 販売チャンスのロスなし！


VPCの利用パターン２つ

「Virtual Private Cloud」でイメージするのはこちら

Internet

VPN

Internet

VPNしたいからVPC VPNしない…でもVPC


VPCの利用パターン２つ

Internet Internet

これって意味ある？

素のAWS VPNしないVPC

≒


3/12 AWS発表！「default VPC」

Internet Internet

素のAWS VPNしないVPC

デフォルトデフォルト

EC2-Classic EC2-VPC

VPCの真価 ≠ VPN (VPNもできる、程度に思っておけばよし)

VPCの魅力を、分かりやすい事例でご紹介！


VPCの真価～ 1

固定IP


EC2-ClassicのIPアドレス

Web

Server

DB

EIP(public IP)

DNS名 xxx.amazonaws.com

yyy.amazonaws.com

DB

Web

Server xxx？

再起動すると …

内部通信はDNS名で

DNS名が変わってしまう

MACアドレスも変わる

EIPが外れる

つながらない！

DBはどこ？

・EIPの再設定、インスタンス間通信の再設定を自動化する仕掛けが必要。・ライセンスがMACアドレスで縛られる利用するアプリやサービス…お手上げ！


EC2-VPCのIPアドレス

Web

Server

DB

EIP(public IP)

Private IP 10.0.0.11

DB

Web

Server

再起動しても …

好きなアドレスを付与

アドレスそのまま

MACアドレスそのまま

EIPそのまま

・全てのEC2に任意のPrivateIPを付与できる。・PrivateIP、MACアドレスとも再起動を繰り返しても不変。・EIPも勝手に外されることはない。

Private IP 10.0.0.11


ENI (Elastic Network Interface)

◆ VPC内のEC2でのみ、利用可能。

◆ NIC(ネットワークカード)を仮想化したもの。

・MACアドレス、PrivateIPはENIが破棄されるまで不変。・EC2ひとつに対して、2枚挿しもできる。・EIPの付け外しも自在。

EC2

attach

EIP (public IP)

eth0 ・Hwaddr ・inet addr

eth1 ・HWaddr ・inet addr

attach attach

ENI ENI

EC2-VPCのIPアドレス


VPCの真価～ 2

Security Group


Security Group

開発用

Web 開発用 1号機


A社

一般利用者

A社

一般利用者

Security Group

A社向けデモ用

S.G.交換不可！

A社に見せたい…

・立ち上げ時のS.G.を、後に別のS.Gと入れ替えることはできない。・現在のS.G.自体の設定を変えることは可能、 …ただし同じS.G.のインスタンスは一蓮托生。。

EC2-Classic の Security Group


Security Group

開発用



A社

一般利用者

A社

一般利用者

Security Group

A社向けデモ用

いつでも交換OK！

・いつでも(起動中でも) S.G.の入れ替えができる。・Inboundだけでなく、Outboundも制御可能。 (非VPCではInboudしかできない)

EC2-VPC の Security Group

Outbound

Inbound

In/Out 制御可能


VPCの真価～ 3

ネットワーク設計


Web用 S.G.

Web

DB用 S.G.

典型的な、「外から入れるWeb」と「外からは入れないDB」 EC2-Classic で構成すると…

EC2-Classic のネットワーク

DB

IN tcp: 80 0.0.0.0/0 IN tcp: 22 65.43.2.1/32

IN tcp: 3306 Web用S.G. IN Tcp: 22 Web用S.G.

MySQL

SSH

http

SSH

Internet

・全てのインスタンスにおいて、ネットワーク的には平等。・外界と隔てる唯一の壁がSecurity Group (外はいきなりInternet)

65.43.2.1


Public Subnet 10.0.1.0 /24

S.G. Web用 S.G.

EC2-VPC のネットワーク

Web

Private Subnet 10.0.2.0 /24

S.G. Web用 S.G.

Internet

Internet Gateway

Route Table

10.0.0.0 /16 → local

0.0.0.0 /0 → Internet

10.0.0.0 /16 → local

Access Control List

DB

EC2-VPC 3段階のアクセス制御方法

1. Route Table サブネットと外界との通信可否

2. Access Control List サブネット同士の通信可否

3. Security Group インスタンス同士の通信可否

・自由なネットワーク設計を実現。 (目的・役割毎にサブネットを分離) ・より高いセキュリティ。(上記3要素の組合せによるきめ細かなアクセス制御)

10.0.0.0 /16


VPCの真価～ 4

適用サービスの充実


かつてVPCでは出来なかったこと

RDS

t1.micro EC2

Elastic Beanstalk

ELB

大人気のこれらのサービスが使えないのでは、せっかくのVPCも魅力半減！ …だった。


VPC アップデート

2011/08 全リージョン、Multi-AZ、での利用が可能に！

2011/11 ELBが利用可能に！

2012/01 RDSが利用可能に！

2012/05 RDSのリード・レプリカが利用可能に！

2012/10 EC2 マイクロインスタンスが利用可能に！

2012/11 Elastic Beanstalkが利用可能に！

2012/12 RDS マイクロインスタンスが利用可能に！

2012/12 ElastiCacheが利用可能に！！

EC2

2013/03 default VPC スタート！！

：


VPCの真価～ 5

無料！

(VPN料金は$36/月)


まとめ

自在なネットワーク設計と、きめ細かなセキュリティ制御こそがVPCの本質。

VPNの利用有無に関係なく、VPCはAWS上

で構築する場合のスタンダード！使い方は難しくはない。まずはサブネットひ

とつのVPCにEC2-Classicを移行してみるのがお勧め。


Appendix ～最速VPC

VPC with a Single Public Subnet Only 通称「タコツボ型」からスタート！


AZ-a

Appendix ～タコツボ型からの発展

Public Subnet

S.G.

EC2

Private Subnet

S.G.

Internet

Internet Gateway

AZ-b

Public Subnet

S.G.

EC2

Private Subnet

S.G.

Multi-AZ

Deployment

「Single Public Subnet Only」


最後にこちらも…

jaws days 2013 札幌とvpcと私

Technology