1日1%成長する ~Amazon VPC Advanced~

AWSの学習メモ

Amazon VPC Advanced

VPC(Virtual Private Cloud)

【VPC Sharing = Shared VPC】

現状、マルチアカウントでの管理が多い?
    - 複数アカウントで最高レベルのリソースとセキュリティ分離を提供するため
        ※ほとんどの企業は複数のアカウントを構成したいと考えている

今まで、
    dev,stage,productionなどで管理する際にdevとstageをつなぎたい場合などは
    vpc peeringを使うなどで対応していた。
    - VPCの管理やVPC Peeringの管理も大変
    - VPCの制限:Peering数が125
    - VPC間のトラフィックコストが大きい

VPC Sharingで解決する:
    複数のVPCをまたいで設定が可能(グルーピングみたいな感じ)
    このグループ単位でNat Gatewayをくっつけられる

    ユースケース
    1. VPC統合
        より少なく、大きく、集中管理できる少ないVPC構成を実現。
        相互接続を考慮しているアプリケーションに多くの利益
    2. 既存ネットワークの置き換え
        - 大きくフラットなネットワークは小中規模の顧客で多く利用されている
        - 同一なフラットなネットワークをAWSで利用
        - 複数アカウント利用時にも全てのメリットをAWSVPC Shareingの利点
    - IPアドレス資源の保護
    - インターコネクティブ提供
        - VPC peeringやTransit VPC不要
    - ビリングとセキュリティ
        - 複数のアカウントを使用して分離のメリットを享受
    - 職務分掌
        - 集中管理するチームがVPCを作成管理
実際の動作
    別々のアカウントで例えばAccountAでEC2、AccountBでRDSといったことが可能
    共有Subnet内でそれぞれのアカウント権限によりインスタンスを起動できる

VPC Sharingに向かない例
    - 高い隔離が必要なケース(VPC分離で影響範囲を絞りたい場合)
    - 巨大で分散した組織
        - 個々のチームで自分の環境の作成と管理を担当する組織
    - VPC Sharingの制約
        - VPCオーナーは別のアカウントで実行しているリソースを消せない
        - デフォルトVPC、サブネット、セキュリティグループのシェアは出来ない

【Transit GateWary】

従来の課題
    - 従来の複雑なポイントtoポイントのVPCピアリングではスケールしない
    - VPN帯域の制約
    - ルーティング構成の管理と設定時間の浪費

Transit Gateway(大きなルータみたいなもの)
    1000以上のVPCとオンプレミス間の相互接続を簡単にする
        オンプレ or 他VPC => Transit Gatewary => AWS VPC

主要機能
    - VPCとオンプレ間のルーティングポリシーを集中管理
    - マルチアカウント間で1000を超えるVPC間接続をサポート
    - マルチVPNコネクションのスループット向上
    - 柔軟なルーティングテーブルの分割とルーティングルール
    - スケーラブル
    - 運用の単純化

長所
    - ネットワーク構成の単純化
        - アカウント間、VPNやDirectConnectを集中管理
    - Global Connectivity
        - リージョン間のピアリングが可能
    - 管理を簡単にする

ユースケース1:地理的に分散されたオンプレとVPCの相互接続
    - 複数のVPCを使用している
    - 多数のVPCにまたがるアプリケーションを構築
    - ネットワークの共有が可能
    - 管理のオーバーヘッドを削減

ユースケース2:エッジの集約
    - 全てのVPCで共通のVPNまたはDirectConnectGatewayを共有
    - 複数のVPCにオンプレ接続時間を短縮