JAWS DAYS 2013 札幌とVPCと私
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

JAWS DAYS 2013 札幌とVPCと私

  • 4,151 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
Post
    Be the first to comment

Views

Total Views
4,151
On Slideshare
2,890
From Embeds
1,261
Number of Embeds
6

Actions

Shares
Downloads
25
Comments
0
Likes
10

Embeds 1,261

http://blog.cloudpack.jp 679
http://d.hatena.ne.jp 457
http://yoshidashingo.hatenablog.com 70
https://twitter.com 45
http://3449707904234438373_ebb5d0aa9dae40f61c46202be459da9b0f197f5a.blogspot.com 9
http://webcache.googleusercontent.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 【JW-04】 札幌とVPCと私 VPCの真価! 編 2013/03/16 札幌事業所 マネジャー 古山浩司Copyright © 2013 AGREX INC.
  • 2. 自己紹介 こやま ひろし 古山 浩司 (株)アグレックス 札幌事業所 システム部 facebook.com/H.Koyaman *1972年 静岡県浜松市生まれ *1997年 某・重工メーカー入社 *2001年 (株)アグレックス 入社 企業向けオープン系システム開発 (主にJava) 2011年~ ECサイト構築&運用ビジネス担当 好きなAWSサービス : VPC、RDSCopyright © 2013 AGREX INC. 1
  • 3. ECサイト構築・運用スキーム ただ「売る」だけの仕組みではなく、 ショップ側の運用コスト・手間を軽減! (某メガバンクとの提携サービス) EC決済&請求・回収プラットフォーム ・銀振 / クレカ / コンビニ / ペイジー オールインワンECパッケージ ・振込専用口座 ・入金消込み ・請求書・払込票発行 (アウトソーシングサービス) 低コスト・柔軟・高可用性・セキュアなインフラ 繁忙・閑散期ギャップや急激な事業成長にも追従 → 販売チャンスのロスなし!Copyright © 2013 AGREX INC. 2
  • 4. VPCの利用パターン2つ VPNしたいからVPC VPNしない…でもVPC Internet Internet VPN 「Virtual Private Cloud」で イメージするのはこちらCopyright © 2013 AGREX INC. 3
  • 5. VPCの利用パターン2つ VPNしないVPC 素のAWS Internet Internet ≒ これって意味ある?Copyright © 2013 AGREX INC. 4
  • 6. 3/12 AWS発表! 「default VPC」 素のAWS VPNしないVPC Internet InternetEC2-Classic EC2-VPC デフォルト デフォルト VPCの真価 ≠ VPN (VPNもできる、程度に思っておけばよし) VPCの魅力を、分かりやすい事例でご紹介! Copyright © 2013 AGREX INC. 5
  • 7. VPCの真価 ~ 1 固定IPCopyright © 2013 AGREX INC. 6
  • 8. EC2-ClassicのIPアドレス 内部通信はDNS名で DNS名 xxx.amazonaws.com EIP(public IP) Web DB Server 再起動すると … DNS名が変わってしまう EIPが外れる yyy.amazonaws.com つながらない! Web Server xxx? DB MACアドレスも変わる DBはどこ? ・EIPの再設定、インスタンス間通信の再設定を自動化する仕掛けが必要。 ・ライセンスがMACアドレスで縛られる利用するアプリやサービス…お手上げ!Copyright © 2013 AGREX INC. 7
  • 9. EC2-VPCのIPアドレス 好きなアドレスを付与 Private IP 10.0.0.11 EIP(public IP) Web DB Server 再起動しても … アドレスそのまま EIPそのまま Private IP 10.0.0.11 Web DB Server MACアドレスそのまま ・全てのEC2に任意のPrivateIPを付与できる。 ・PrivateIP、MACアドレスとも再起動を繰り返しても不変。 ・EIPも勝手に外されることはない。Copyright © 2013 AGREX INC. 8
  • 10. EC2-VPCのIPアドレス ENI (Elastic Network Interface) ◆ VPC内のEC2でのみ、利用可能。 ◆ NIC(ネットワークカード)を仮想化したもの。 ・MACアドレス、PrivateIPはENIが破棄されるまで不変。 ・EC2ひとつに対して、2枚挿しもできる。 ・EIPの付け外しも自在。 eth0 eth1 ・Hwaddr ・HWaddr ・inet addr ・inet addr attach attach attach EC2 EIP (public IP) ENI ENICopyright © 2013 AGREX INC. 9
  • 11. VPCの真価 ~ 2 Security GroupCopyright © 2013 AGREX INC. 10
  • 12. EC2-Classic の Security Group Security Group Security Group 開発用 A社向けデモ用 Web 開発用一般利用者 1号機 一般利用者 A社に見せたい… A社 A社 Web S.G.交換不可! 開発用 2号機 ・立ち上げ時のS.G.を、後に別のS.Gと入れ替えることはできない。 ・現在のS.G.自体の設定を変えることは可能、 …ただし同じS.G.のインスタンスは一蓮托生。。Copyright © 2013 AGREX INC. 11
  • 13. EC2-VPC の Security Group Security Group Security Group 開発用 A社向けデモ用 Web Outbound 開発用一般利用者 1号機 一般利用者 In/Out 制御可能 Inbound A社 A社 Web 開発用 いつでも 2号機 交換OK! ・いつでも(起動中でも) S.G.の入れ替えができる。 ・Inboundだけでなく、Outboundも制御可能。 (非VPCではInboudしかできない)Copyright © 2013 AGREX INC. 12
  • 14. VPCの真価 ~ 3 ネットワーク設計Copyright © 2013 AGREX INC. 13
  • 15. EC2-Classic の ネットワーク 典型的な、「外から入れるWeb」と「外からは入れないDB」 EC2-Classic で構成すると… Internet http MySQL DB Web SSH65.43.2.1 SSH Web用 S.G. DB用 S.G. IN tcp: 80 0.0.0.0/0 IN tcp: 3306 Web用S.G. IN tcp: 22 65.43.2.1/32 IN Tcp: 22 Web用S.G. ・全てのインスタンスにおいて、ネットワーク的には平等。 ・外界と隔てる唯一の壁がSecurity Group (外はいきなりInternet)Copyright © 2013 AGREX INC. 14
  • 16. EC2-VPC の ネットワーク Internet 10.0.0.0 /16 Public Subnet 10.0.1.0 /24 Internet Gateway S.G. Web用 S.G. Web Route Table 10.0.0.0 /16 → local EC2-VPC 3段階のアクセス制御方法 0.0.0.0 /0 → Internet Access Control List 1. Route Table サブネットと外界との通信可否 Private Subnet 10.0.2.0 /24 2. Access Control List S.G. Web用 S.G. サブネット同士の通信可否 DB 3. Security Group インスタンス同士の通信可否 10.0.0.0 /16 → local・自由なネットワーク設計を実現。 (目的・役割毎にサブネットを分離)・より高いセキュリティ。(上記3要素の組合せによるきめ細かなアクセス制御)Copyright © 2013 AGREX INC. 15
  • 17. VPCの真価 ~ 4 適用サービスの充実Copyright © 2013 AGREX INC. 16
  • 18. かつてVPCでは出来なかったこと RDS ELB t1.micro EC2 Elastic Beanstalk 大人気のこれらのサービスが使えないのでは、 せっかくのVPCも魅力半減! …だった。Copyright © 2013 AGREX INC. 17
  • 19. VPC アップデート 2011/08 全リージョン、Multi-AZ、での利用が可能に! 2011/11 ELBが利用可能に! 2012/01 RDSが利用可能に! 2012/05 RDSのリード・レプリカが利用可能に! EC2 2012/10 EC2 マイクロインスタンスが利用可能に! 2012/11 Elastic Beanstalkが利用可能に! 2012/12 RDS マイクロインスタンスが利用可能に! 2012/12 ElastiCacheが利用可能に!! : 2013/03 default VPC スタート!!Copyright © 2013 AGREX INC. 18
  • 20. VPCの真価 ~ 5 無料! (VPN料金は$36/月)Copyright © 2013 AGREX INC. 19
  • 21. まとめ  自在なネットワーク設計と、きめ細かなセ キュリティ制御こそがVPCの本質。  VPNの利用有無に関係なく、VPCはAWS上 で構築する場合のスタンダード!  使い方は難しくはない。まずはサブネットひ とつのVPCにEC2-Classicを移行してみるの がお勧め。Copyright © 2013 AGREX INC. 20
  • 22. Appendix ~ 最速VPC VPC with a Single Public Subnet Only 通称「タコツボ型」からスタート!Copyright © 2013 AGREX INC. 21
  • 23. Appendix ~ タコツボ型からの発展 Internet Public Subnet Public Subnet「Single Public S.G. S.G. Subnet Only」 Internet Gateway EC2 EC2 Private Subnet Private Subnet S.G. S.G. Multi-AZ Deployment AZ-a AZ-b Copyright © 2013 AGREX INC. 22
  • 24. 最後にこちらも…Copyright © 2013 AGREX INC. 23
  • 25. 【公開資料はこちら】Copyright © 2013 AGREX INC.