NW-JAWS x Tech-on勉強会:AWS Transit Gateway で広がる ネットワークアーキテクチャ
?
0 likes?1,151 views
NW-JAWS x Tech-on勉強会の登壇資料 AWS Transit Gatewayを利用することで広がるアーキテクチャについて
NW-JAWS x Tech-on勉強会:AWS Transit Gateway で広がる ネットワークアーキテクチャ
- 1. NW-JAWS x Tech-on勉強会 AWS Transit Gateway で広がる ネットワークアーキテクチャ Kikuchi Shuji
- 3. 3??紹介 菊池 修治 クラスメソッド 株式会社 AWS事業本部コンサルティング部 Senior Solutions Architect AWS認定全11種取得 Japan APN Ambassador 2019 SIer → ?動?メーカー → クラスメソッド
- 6. 6本?のテーマ ? Transit Gateway(TGW) 従来のゲートウェイのサービス ? Virtual Private Gateway(VGW) ? Internet Gateway(IGW) ? VPC Peering(PCX) ? VPC Endpoint(GW型?S3, DyanamoDB Gateway)
- 7. 7従来のGWサービスとの違い Transit Gatewayの特徴 ? ハブ型のトポロジーが組める ? ルーティングが設定可能 ? ENIでVPCに接続する
- 8. 8従来のGWサービスとの違い Transit Gatewayの特徴 ? ハブ型のトポロジーが組める ? ルーティングが設定可能 ? ENIでVPCに接続する
- 9. 設定可能な宛先は限定的 Inboundは宛先がVPC CIDRの範囲しかルーティングできない 9従来のGWサービスのルーティング サービス Inboundの宛先 Outboundの宛先 VIrtual Private Gateway (VGW) アタッチしたVPC CIDR (?部編集可能) スタティックルート(VPN) BGPで学習したルート (VPN/DX) Internet Gateway (IGW) アタッチしたVPC CIDR (?部編集可能) 0.0.0.0/0 (デフォルトルート) VPC Peering (PCX) アタッチしたVPC CIDR ピア接続先VPC CIDR VPC Endpoint (GW型) アタッチしたVPC CIDR 対象サービス (S3/DynamoDB)
- 10. re:Invent 2019 でのアップデート VGW/IGWにルートテーブルをアタッチ可能に ただし、設定可能な宛先はVPC CIDRの範囲内 あくまで限定的な?途 ? IPS/IDSなどによるInboundパケットの検査など ? https://dev.classmethod.jp/cloud/aws/reinvent2019-vpc-ingress-routing/ 10参考?VPC Ingress Routing
- 11. 11従来のGWサービスとの違い Transit Gatewayの特徴 ? ハブ型のトポロジーが組める ? ルーティングが設定可能 ? ENIでVPCに接続する
- 13. 13よくあるやつ 「S3をクローズドネットワーク経由で使いたい」 前提?制約 ? できればマネージドサービスだけで ? DirectConnect パブリック接続は敷居?い ? S3のCIDRはわかる https://ip-ranges.amazonaws.com/ip-ranges.json
- 16. 16Before Transit Gateway 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 VPC 10.10.10.0/16 Customer Router 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Customer Router S3のCIDR VPC Endpoint 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC
- 17. 17Before Transit Gateway 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 VPC 10.10.10.0/16 Customer Router 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Customer Router S3のCIDR VPC Endpoint 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先としてS3のCIDR を知らないので ルーティング不可能
- 18. 18Before Transit Gateway 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 VPC 10.10.10.0/16 Customer Router 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Customer Router S3のCIDR VPC Endpoint 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先としてS3のCIDR を知らないので ルーティング不可能 宛先としてDCのCIDR を知らないので ルーティング不可能
- 22. After Transit Gateway 22 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint
- 23. After Transit Gateway 23 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint VPC内へルーティング可能 NAT GWへルーティング
- 24. After Transit Gateway 24 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint VPC内へルーティング可能 NAT GWへルーティング SourceIPをNAT GWの PrivateIPにNAT
- 25. After Transit Gateway 25 宛先 Target S3のCIDR VPN Tunnel 10.255.0.0/16 VPN Tunnel 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR NAT Gateway 宛先 Target S3のCIDR S3 10.255.0.0/16 VPC 宛先 Target 10.255.0.0/16 Local 10.10.10.0/16 Transit Gateway S3のCIDR VPC Endpoint VPC内へルーティング可能 NAT GWへルーティング SourceIPをNAT GWの PrivateIPにNAT
- 26. 26Transit Gatewayなら ルーティングが書ける ? VPC以外の任意の宛先をルーティングできる ENIでVPCに接続する ? VPCに?ったトラフィックがENIのあるサブネット のルートテーブルを参照する
- 27. 27 注意事項
- 28. 28注意事項 ? VPC Endpoint経由でアクセスできるのはVPC と同?リージョンに作成されたS3バケットのみ (他はIGWにルーティングされる) ? 厂3の滨笔レンジは変更される可能性あり
- 29. 29