使い出したらやめられない！知ってお得なVPCの魅力

Copyright © 2013 AGREX INC.

使い出したらやめられない！

知ってお得なVPCの魅力

【NetCOBOLによるAWS活用事例とAWSを活用した事例セミナー】

札幌事業所マネジャー古山浩司

2013/02/22

Copyright © 2013 AGREX INC. 2

こやまひろし

古山浩司(株)アグレックス札幌事業所システム部

自己紹介

＊1972年静岡県浜松市生まれ

＊1997年某・重工メーカー入社

＊2001年 (株)アグレックス入社：

企業向けオープン系システム開発 (主にJava) ：

2011年～ ECサイト構築＆運用ビジネス担当

2010.11 第0回勉強会： 2013.01 第9回勉強会


EC決済＆請求・回収プラットフォーム

ただ「売る」だけの仕組みではなく、ショップ側の運用コスト・手間を軽減！

ECサイト構築＆運用スキーム

低コスト・柔軟・高可用性・セキュアなインフラ

(某メガバンクとの提携サービス)

繁忙・閑散期ギャップや急激な事業成長にも追従、販売チャンスのロスなし！

オールインワンECパッケージ・銀振 / クレカ / コンビニ / ペイジー

・振込専用口座・入金消込み・請求書・払込票発行 (アウトソーシングサービス)


VPCとは何・・・？

(AWSオフィシャルサイトより)

Amazon VPCでは、AWS Cloud のプライベートで孤立したセクションをプロビジョンすることができます。：既存のデータセンターと自分の VPC 間にハードウェア VPN接続を作成することができるので、AWS クラウドを既存のデータセンターを拡張するかのように活用することができます。

VPC - Virtual Private Cloud

VPNでつないで社内ネットワーク　　の延長として使う、てこと？・・・とりあえず無理。。

ひとまずVPNは忘れるべし！


使わない場合～ EC2 再起動

WebServer

ElasticIP(Public IP)

DB

DNS名 xxx.amazonaws.com

WebServer

DB

yyy.amazonaws.com

xxx?

再起動すると・・・DNS名が

変わってしまうPublic IPが外れてしまう

つながらない！

DBはどこへ？

◆EC2自身がAPIを使って自動でElasticIPを再設定したり、サーバ間の通信設定を書き換えたりする仕掛けが必要になる！◆使っているアプリやサービスにMACアドレス縛りがあると・・・もうお手上げ！

内部の通信はDNS名で

MACアドレスも変わる


使った場合～ EC2 再起動

WebServer

ElasticIP(Public IP)

DB

Private IP 10.0.0.11

WebServer

DB

再起動しても・・・

アドレスそのままPublic IPそのまま

◆全てのEC2に任意のPrivate IPを付与でき、それは再起動を繰り返しても不変。◆MACアドレスも変わらないので、◆Elastic IPも一度つけたら勝手に外されることはない。

10.0.0.11

好きなアドレスをつけられる

MACアドレスもそのまま


使った場合～ ENI (=仮想 NIC)

ENI (Elastic Network Interface)◆NIC(ネットワークカード)を仮想化したもの。◆VPC内のEC2でのみ利用可。・紐付いたMACアドレス、Private IPはENIが破棄されるまで不変・ひとつのEC2に対して、2枚挿しもOK ・使用中のENIを抜くのもOK (eth0はEC2を破棄したら抜ける) ・Elastic IPの付け外しもOK

EC2

Elastic IP(Public IP) EC2

Instance

attach attach

eth0・MAC address・Private IP

eth1・MAC address・Private IP

attach


使わない場合～セキュリティ・グループ

Web開発用1号機

Web開発用2号機

◆起動時に決めたSecurity Groupを、後になって別のS.G.に変えることはできない。◆Security Group自体の allow/deny 設定を変えることは可能だが、同じS.G.下にある全てのEC2に影響がおよぶ。

一般利用者

A社

Security Group開発用

2号機だけA社に見せたい・・・

Security GroupA社デモ用

A社

一般利用者

S.G.の交換はできない！

＊Security Group ≒ファイアウォール


使った場合～セキュリティ・グループ

Web開発用1号機

Web開発用2号機

◆好きなときにSecurity Groupの付け替えができる。◆Inboundだけでなく、Outboundについても allow/deny の制御が可能。 (通常のEC2 S.G.では、Inboundだけ)

一般利用者

A社

Security Group開発用

Security GroupA社デモ用

A社

一般利用者

S.G.の入替えいつでもOK！

Out

In

Out方向も制御可能


使わない場合～ネットワーク・モデル

WebEC2

DBEC2

IN tcp:80 0.0.0.0/0IN tcp:443 0.0.0.0/0IN tcp:22 65.43.2.1/32

Web用 Security Group

IN tcp:3306 Web用 S.G.IN tcp:22 Web用 S.G.

DB用 Security Group

http(s)

MySQL

◆ 全てのEC2に共通して、ネットワーク階層という概念はない。(全てがpublic)◆ 外界との遮蔽は、セキュリティ・グループが唯一の手段。 (S.G.の外側はいきなり外界)

SSHSSH65.43.2.1


使った場合～ネットワーク・モデル

◆ 各インスタンスの役割ごとに、所属するネットワーク階層を分離することができる。◆ S.G.のみだった通常のEC2と比べて、よりセキュアな構成が可能。

Public Subnet10.0.1.0/24

Private Subnet10.0.2.0/24

InternetGateway

0.0.0.0/0 → I.GW

10.0.0.0/16 → local

10.0.0.0/16 → local

10.0.0.0/16

Route TableWebEC2

DBEC2

SecurityGroup

SecurityGroup

Access Control List

3段階のアクセス制御方法

◆ Route Table サブネット毎の、外界との通信可否

◆ Access Control List サブネット同士の通信可否

◆ Security Group インスタンス同士の通信可否


2011/08 全リージョン、Multi-AZ、での利用が可能に！

2011/11 ELB (Elastic Load Balancer)の利用が可能に！

2012/01 RDS (Ralational Database Service)が利用可能に！

2012/05 RDSのリード・レプリカが作成可能に！

2012/10 EC2 マイクロインスタンスが起動可能に！

2012/11 Elastic Beanstalkが可能に！

2012/12 RDS マイクロインスタンスが利用可能に！

VPCに関するアップデート

VPC未対応なサービスは、ほぼ無くなった今・・・これを使わない理由は無い！

しかも、VPN接続しないなら料金は無料！


まずは「VPC with a Single Public Subnet Only」で。

作成してみましょう！～step1


作成してみましょう！～ step2

Public Subnet

Private Subnet

InternetGateway

SecurityGroup

SecurityGroup

Public Subnet

SecurityGroup

Private Subnet

SecurityGroup

EC2

RDS

EC2

RDSMulti-AZ

Datacenter-1 Datacenter-2


◆ 「プライベートクラウド」だからと難しく考える必要はありません。まずは使ってみましょう。

◆ 最初の少しだけの手間は我慢しましょう。それだけで後々の自由度は格段に違います。

◆ サブネット、ルートテーブル、ゲートウェイ・・・使いこなせるようになると、(きっと) さらなる世界が開けます！

まとめ


最後にこちらも・・・

使い出したらやめられない！知ってお得なVPCの魅力

Technology

Transcript of 使い出したらやめられない！知ってお得なVPCの魅力