NW-JAWS x Tech-on勉強会:AWS Transit Gateway で広がる ネットワークアーキテクチャ
0 likes1,167 views
NW-JAWS x Tech-on勉強会の登壇資料 AWS Transit Gatewayを利用することで広がるアーキテクチャについて
NW-JAWS x Tech-on勉強会:AWS Transit Gateway で広がる ネットワークアーキテクチャ
- 1. NW-JAWS x Tech-on勉強会 AWS Transit Gateway で広がる ネットワークアーキテクチャ Kikuchi Shuji
- 3. 3⾃⼰紹介 菊池 修治 クラスメソッド 株式会社 AWS事業本部コンサルティング部 Senior Solutions Architect AWS認定全11種取得 Japan APN Ambassador 2019 SIer → ⾃動⾞メーカー → クラスメソッド
- 6. 6本⽇のテーマ • Transit Gateway(TGW) 従来のゲートウェイのサービス • Virtual Private Gateway(VGW) • Internet Gateway(IGW) • VPC Peering(PCX) • VPC Endpoint(GW型︓S3, DyanamoDB Gateway)
- 7. 7従来のGWサービスとの違い Transit Gatewayの特徴 • ハブ型のトポロジーが組める • ルーティングが設定可能 • ENIでVPCに接続する
- 8. 8従来のGWサービスとの違い Transit Gatewayの特徴 • ハブ型のトポロジーが組める • ルーティングが設定可能 • ENIでVPCに接続する
- 9. 設定可能な宛先は限定的 Inboundは宛先がVPC CIDRの範囲しかルーティングできない 9従来のGWサービスのルーティング サービス Inboundの宛先 Outboundの宛先 VIrtual Private Gateway (VGW) アタッチしたVPC CIDR (⼀部編集可能) スタティックルート(VPN) BGPで学習したルート (VPN/DX) Internet Gateway (IGW) アタッチしたVPC CIDR (⼀部編集可能) 0.0.0.0/0 (デフォルトルート) VPC Peering (PCX) アタッチしたVPC CIDR ピア接続先VPC CIDR VPC Endpoint (GW型) アタッチしたVPC CIDR 対象サービス (S3/DynamoDB)
- 10. re:Invent 2019 でのアップデート VGW/IGWにルートテーブルをアタッチ可能に ただし、設定可能な宛先はVPC CIDRの範囲内 あくまで限定的な⽤途 • IPS/IDSなどによるInboundパケットの検査など • https://dev.classmethod.jp/cloud/aws/reinvent2019-vpc-ingress-routing/ 10参考︓VPC Ingress Routing
- 11. 11従来のGWサービスとの違い Transit Gatewayの特徴 • ハブ型のトポロジーが組める • ルーティングが設定可能 • ENIでVPCに接続する
- 13. 13よくあるやつ 「S3をクローズドネットワーク経由で使いたい」 前提・制約 • できればマネージドサービスだけで • DirectConnect パブリック接続は敷居⾼い • S3のCIDRはわかる https://ip-ranges.amazonaws.com/ip-ranges.json
- 16. 16Before Transit Gateway 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 VPC 10.10.10.0/16 Customer Router 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Customer Router S3のCIDR VPC Endpoint 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC
- 17. 17Before Transit Gateway 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 VPC 10.10.10.0/16 Customer Router 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Customer Router S3のCIDR VPC Endpoint 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先としてS3のCIDR を知らないので ルーティング不可能
- 18. 18Before Transit Gateway 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 VPC 10.10.10.0/16 Customer Router 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Customer Router S3のCIDR VPC Endpoint 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先としてS3のCIDR を知らないので ルーティング不可能 宛先としてDCのCIDR を知らないので ルーティング不可能
- 22. After Transit Gateway 22 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint
- 23. After Transit Gateway 23 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint VPC内へルーティング可能 NAT GWへルーティング
- 24. After Transit Gateway 24 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint VPC内へルーティング可能 NAT GWへルーティング SourceIPをNAT GWの PrivateIPにNAT
- 25. After Transit Gateway 25 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint VPC内へルーティング可能 NAT GWへルーティング SourceIPをNAT GWの PrivateIPにNAT
- 26. 26Transit Gatewayなら ルーティングが書ける • VPC以外の任意の宛先をルーティングできる ENIでVPCに接続する • VPCに⼊ったトラフィックがENIのあるサブネット のルートテーブルを参照する
- 27. 27 注意事項
- 28. 28注意事項 • VPC Endpoint経由でアクセスできるのはVPC と同⼀リージョンに作成されたS3バケットのみ (他はIGWにルーティングされる) • S3のIPレンジは変更される可能性あり
- 29. 29