使い出したらやめられない!知ってお得なVPCの魅力
-
Upload
hiroshi-koyama -
Category
Technology
-
view
2.892 -
download
2
Transcript of 使い出したらやめられない!知ってお得なVPCの魅力
Copyright © 2013 AGREX INC.
使い出したらやめられない!
知ってお得なVPCの魅力
【NetCOBOLによるAWS活用事例とAWSを活用した事例セミナー】
札幌事業所 マネジャー 古山浩司
2013/02/22
Copyright © 2013 AGREX INC. 2
こやま ひろし
古山 浩司(株)アグレックス 札幌事業所 システム部
自己紹介
*1972年 静岡県浜松市生まれ
*1997年 某・重工メーカー入社
*2001年 (株)アグレックス 入社 :
企業向けオープン系システム開発 (主にJava) :
2011年~ ECサイト構築&運用ビジネス担当
2010.11 第0回勉強会 : 2013.01 第9回勉強会
Copyright © 2013 AGREX INC. 3
EC決済&請求・回収プラットフォーム
ただ「売る」だけの仕組みではなく、ショップ側の運用コスト・手間を軽減!
ECサイト構築&運用スキーム
低コスト・柔軟・高可用性・セキュアなインフラ
(某メガバンクとの提携サービス)
繁忙・閑散期ギャップや急激な事業成長にも追従、販売チャンスのロスなし!
オールインワンECパッケージ ・ 銀振 / クレカ / コンビニ / ペイジー
・ 振込専用口座 ・ 入金消込み ・ 請求書・払込票発行 (アウトソーシングサービス)
Copyright © 2013 AGREX INC. 4
VPCとは何・・・?
(AWSオフィシャルサイトより)
Amazon VPCでは、AWS Cloud のプライベートで孤立したセクションをプロビジョンすることができます。 :既存のデータセンターと自分の VPC 間にハードウェア VPN接続を作成することができるので、AWS クラウドを既存のデータセンターを拡張するかのように活用することができます。
VPC - Virtual Private Cloud
VPNでつないで社内ネットワーク の延長として使う、てこと? ・・・とりあえず無理。。
ひとまずVPNは忘れるべし!
Copyright © 2013 AGREX INC. 5
使わない場合 ~ EC2 再起動
WebServer
ElasticIP(Public IP)
DB
DNS名 xxx.amazonaws.com
WebServer
DB
yyy.amazonaws.com
xxx?
再起動すると・・・DNS名が
変わってしまうPublic IPが外れてしまう
つながらない!
DBはどこへ?
◆EC2自身がAPIを使って自動でElasticIPを再設定したり、サーバ間の通信設定を 書き換えたりする仕掛けが必要になる!◆使っているアプリやサービスにMACアドレス縛りがあると・・・もうお手上げ!
内部の通信はDNS名で
MACアドレスも変わる
Copyright © 2013 AGREX INC. 6
使った場合 ~ EC2 再起動
WebServer
ElasticIP(Public IP)
DB
Private IP 10.0.0.11
WebServer
DB
再起動しても・・・
アドレスそのままPublic IPそのまま
◆全てのEC2に任意のPrivate IPを付与でき、それは再起動を繰り返しても不変。◆MACアドレスも変わらないので、◆Elastic IPも一度つけたら勝手に外されることはない。
10.0.0.11
好きなアドレスをつけられる
MACアドレスもそのまま
Copyright © 2013 AGREX INC. 7
使った場合 ~ ENI (=仮想 NIC)
ENI (Elastic Network Interface)◆NIC(ネットワークカード)を仮想化したもの。◆VPC内のEC2でのみ利用可。 ・紐付いたMACアドレス、Private IPはENIが破棄されるまで不変 ・ひとつのEC2に対して、2枚挿しもOK ・使用中のENIを抜くのもOK (eth0はEC2を破棄したら抜ける) ・Elastic IPの付け外しもOK
EC2
Elastic IP(Public IP) EC2
Instance
attach attach
eth0・MAC address・Private IP
eth1・MAC address・Private IP
attach
Copyright © 2013 AGREX INC. 8
使わない場合 ~セキュリティ・グループ
Web開発用1号機
Web開発用2号機
◆起動時に決めたSecurity Groupを、後になって別のS.G.に変えることはできない。◆Security Group自体の allow/deny 設定を変えることは可能だが、同じS.G.下にある 全てのEC2に影響がおよぶ。
一般利用者
A社
Security Group開発用
2号機だけA社に見せたい・・・
Security GroupA社デモ用
A社
一般利用者
S.G.の交換はできない!
*Security Group ≒ファイアウォール
Copyright © 2013 AGREX INC. 9
使った場合 ~ セキュリティ・グループ
Web開発用1号機
Web開発用2号機
◆好きなときにSecurity Groupの付け替えができる。◆Inboundだけでなく、Outboundについても allow/deny の制御が可能。 (通常のEC2 S.G.では、Inboundだけ)
一般利用者
A社
Security Group開発用
Security GroupA社デモ用
A社
一般利用者
S.G.の入替えいつでもOK!
Out
In
Out方向も制御可能
Copyright © 2013 AGREX INC. 10
使わない場合 ~ ネットワーク・モデル
WebEC2
DBEC2
IN tcp:80 0.0.0.0/0IN tcp:443 0.0.0.0/0IN tcp:22 65.43.2.1/32
Web用 Security Group
IN tcp:3306 Web用 S.G.IN tcp:22 Web用 S.G.
DB用 Security Group
http(s)
MySQL
◆ 全てのEC2に共通して、ネットワーク階層という概念はない。(全てがpublic)◆ 外界との遮蔽は、セキュリティ・グループが唯一の手段。 (S.G.の外側はいきなり外界)
SSHSSH65.43.2.1
Copyright © 2013 AGREX INC. 11
使った場合 ~ ネットワーク・モデル
◆ 各インスタンスの役割ごとに、所属するネットワーク階層を分離することができる。◆ S.G.のみだった通常のEC2と比べて、よりセキュアな構成が可能。
Public Subnet10.0.1.0/24
Private Subnet10.0.2.0/24
InternetGateway
0.0.0.0/0 → I.GW
10.0.0.0/16 → local
10.0.0.0/16 → local
10.0.0.0/16
Route TableWebEC2
DBEC2
SecurityGroup
SecurityGroup
Access Control List
3段階のアクセス制御方法
◆ Route Table サブネット毎の、外界との通信可否
◆ Access Control List サブネット同士の通信可否
◆ Security Group インスタンス同士の通信可否
Copyright © 2013 AGREX INC. 12
2011/08 全リージョン、Multi-AZ、での利用が可能に!
2011/11 ELB (Elastic Load Balancer)の利用が可能に!
2012/01 RDS (Ralational Database Service)が利用可能に!
2012/05 RDSのリード・レプリカが作成可能に!
2012/10 EC2 マイクロインスタンスが起動可能に!
2012/11 Elastic Beanstalkが可能に!
2012/12 RDS マイクロインスタンスが利用可能に!
VPCに関するアップデート
VPC未対応なサービスは、ほぼ無くなった今・・・これを使わない理由は無い!
しかも、VPN接続しないなら料金は無料!
Copyright © 2013 AGREX INC. 13
まずは 「VPC with a Single Public Subnet Only」 で。
作成してみましょう! ~step1
Copyright © 2013 AGREX INC. 14
作成してみましょう! ~ step2
Public Subnet
Private Subnet
InternetGateway
SecurityGroup
SecurityGroup
Public Subnet
SecurityGroup
Private Subnet
SecurityGroup
EC2
RDS
EC2
RDSMulti-AZ
Datacenter-1 Datacenter-2
Copyright © 2013 AGREX INC. 15
◆ 「プライベートクラウド」 だからと難しく考える 必要はありません。まずは使ってみましょう。
◆ 最初の少しだけの手間は我慢しましょう。 それだけで後々の自由度は格段に違います。
◆ サブネット、ルートテーブル、ゲートウェイ ・・・ 使いこなせるようになると、(きっと) さらなる 世界が開けます!
まとめ
Copyright © 2013 AGREX INC. 16
◆ 「プライベートクラウド」 だからと難しく考える 必要はありません。まずは使ってみましょう。
◆ 最初の少しだけの手間は我慢しましょう。 それだけで後々の自由度は格段に違います。
◆ サブネット、ルートテーブル、ゲートウェイ ・・・ 使いこなせるようになると、(きっと) さらなる 世界が開けます!
まとめ
Copyright © 2013 AGREX INC. 17
最後にこちらも・・・
Copyright © 2013 AGREX INC.
公開資料はこちら