1日1%成長する ~Amazon VPC Advanced~
AWSの学習メモ
- AWSのblackbaltの動画を15分以上毎日見る
- 動画を簡単にまとめる
Amazon VPC Advanced VPC(Virtual Private Cloud) 【VPC Sharing = Shared VPC】 現状、マルチアカウントでの管理が多い? - 複数アカウントで最高レベルのリソースとセキュリティ分離を提供するため ※ほとんどの企業は複数のアカウントを構成したいと考えている 今まで、 dev,stage,productionなどで管理する際にdevとstageをつなぎたい場合などは vpc peeringを使うなどで対応していた。 - VPCの管理やVPC Peeringの管理も大変 - VPCの制限:Peering数が125 - VPC間のトラフィックコストが大きい VPC Sharingで解決する: 複数のVPCをまたいで設定が可能(グルーピングみたいな感じ) このグループ単位でNat Gatewayをくっつけられる ユースケース 1. VPC統合 より少なく、大きく、集中管理できる少ないVPC構成を実現。 相互接続を考慮しているアプリケーションに多くの利益 2. 既存ネットワークの置き換え - 大きくフラットなネットワークは小中規模の顧客で多く利用されている - 同一なフラットなネットワークをAWSで利用 - 複数アカウント利用時にも全てのメリットをAWSで VPC Shareingの利点 - IPアドレス資源の保護 - インターコネクティブ提供 - VPC peeringやTransit VPC不要 - ビリングとセキュリティ - 複数のアカウントを使用して分離のメリットを享受 - 職務分掌 - 集中管理するチームがVPCを作成管理 実際の動作 別々のアカウントで例えばAccountAでEC2、AccountBでRDSといったことが可能 共有Subnet内でそれぞれのアカウント権限によりインスタンスを起動できる VPC Sharingに向かない例 - 高い隔離が必要なケース(VPC分離で影響範囲を絞りたい場合) - 巨大で分散した組織 - 個々のチームで自分の環境の作成と管理を担当する組織 - VPC Sharingの制約 - VPCオーナーは別のアカウントで実行しているリソースを消せない - デフォルトVPC、サブネット、セキュリティグループのシェアは出来ない 【Transit GateWary】 従来の課題 - 従来の複雑なポイントtoポイントのVPCピアリングではスケールしない - VPN帯域の制約 - ルーティング構成の管理と設定時間の浪費 Transit Gateway(大きなルータみたいなもの) 1000以上のVPCとオンプレミス間の相互接続を簡単にする オンプレ or 他VPC => Transit Gatewary => AWS VPC 主要機能 - VPCとオンプレ間のルーティングポリシーを集中管理 - マルチアカウント間で1000を超えるVPC間接続をサポート - マルチVPNコネクションのスループット向上 - 柔軟なルーティングテーブルの分割とルーティングルール - スケーラブル - 運用の単純化 長所 - ネットワーク構成の単純化 - アカウント間、VPNやDirectConnectを集中管理 - Global Connectivity - リージョン間のピアリングが可能 - 管理を簡単にする ユースケース1:地理的に分散されたオンプレとVPCの相互接続 - 複数のVPCを使用している - 多数のVPCにまたがるアプリケーションを構築 - ネットワークの共有が可能 - 管理のオーバーヘッドを削減 ユースケース2:エッジの集約 - 全てのVPCで共通のVPNまたはDirectConnectGatewayを共有 - 複数のVPCにオンプレ接続時間を短縮