AWS Black Belt Online Seminar「Amazon VPC」の資料およびQA公開
こんにちは。テクニカルトレーナーの鬼形です。
8/3(水)に開催した、BlackBeltオンラインセミナー「Amazon VPC」の資料が公開されております。AWSのネットワークの基本から新機能までカバーされ、AWSに関わるみなさまに役立つ資料となっております! 当日はたくさんの質問もいただきましてありがとうございました。その一部を後半に掲載しておりますので是非ご覧ください。
【Q&A】
Q1: CIDRのアドレスブロックの変更ができないのであれば、とりあえず最大値を設定する要望が多くなると思うのですが、料金が異なっていたりするのでしょうか?
A1: VPCのご利用に課金は発生しません。CIDRのアドレスブロックの大きさによって課金に影響することはございません。
Q2: AZとは日本国内にあるAWSの持っている物理HWのロケーションのことを意味しているという理解で正しいでしょうか?(東京DC、大阪DC)
A2: 1つのAZはデータセンター群からなり、東京近郊に存在します。
Q3: また、1つのシステムで2つのアカウントを跨いで利用する場合、同一の物理的な場所にリソースを置きたいのですが、1bや1cで揃えることはできないのでしょうか?東京リージョンで物理的な場所を揃えたい場合はそれぞれのAwSアカウントで1aに揃えなければいけないのでしょうか?
A3: アベイラビリティーゾーンは、リージョンコードとそれに続く文字識別子によって表されます (us-east-1a など)。リソースがリージョンの複数のアベイラビリティーゾーンに分散されるようにするため、アベイラビリティーゾーンは各アカウントの識別子に個別にマップされます。たとえば、あるアカウントのアベイラビリティーゾーンは別のアカウントのus-east-1aアベイラビリティーゾーンと同じ場所にはない可能性がありますus-east-1a。ユーザーがアカウント間でアベイラビリティーゾーンを調整する手段はありません。
Q4: DNSの169.254.169.253は、どのciderからも参照可能なアドレスでしょうか?
A4: はい、どのVPCからも参照可能です。
Q5: イメージですがACLはNW機器のいわゆるACLで、セキュリティグループはF/Wのようなイメージですか?
A5: ふるまいとしましてはネットワークACLはステートレスなルータ機器のアクセスリスト、セキュリティグループはステートフルなファイアウォールと同じと捉えていただいて問題ございません。
Q6: EIPを割り当てたインスタンスを夜間・休日等にstoppedの状態で置いておくと、EIPは費用がかかるのでしょうか?
A6: Elastic IP アドレスを効率的に使用するため、Elastic IP アドレスが実行中のインスタンスに関連付けられていない場合や、停止しているインスタンスやアタッチされていないネットワークインターフェイスに関連付けられている場合は、時間毎に小額の料金が請求されます。
Q7: ルートテーブルを更新した場合、それに紐付けられたサブネット内で稼働中のEC2インスタンスに即時に反映されるのでしょうか。
A7: ルートテーブルの更新情報はすぐにサブネット内のルーティングに反映されますので、サブネット上のEC2インスタンスのトラフィックにも影響があります。
Q8: NATゲートウェイのメトリクスで帯域の変化状況を監視することは可能でしょうか?
A8: 下記のブログ記事のように、VPC Flow Logsからネットワーク帯域のメトリクスを取得することが可能です。
http://aws.typepad.com/aws_japan/2015/12/managednat.html
Q9: パブリックサブネットのEC2インスタンスにEIPを割り当てない場合、インターネットへの通信は可能ですか?可能な場合、接続元IPは固定ですか?
A9: サブネット上で"自動割当てパブリックIP”を有効にしていただくことでインターネットへの疎通が可能となります。また、この場合接続元IPはサブネット内のDHCPにより動的に割当てられますので固定ではありません。
Q10: 2つのAZにNATインスタンスを置いて冗長構成にしたい場合、ルーティングはどのように書けばいいのでしょうか?
A10: 一般的には冗長構成にした場合、以下のように構成します。
Q1: CIDRのアドレスブロックの変更ができないのであれば、とりあえず最大値を設定する要望が多くなると思うのですが、料金が異なっていたりするのでしょうか?
A1: VPCのご利用に課金は発生しません。CIDRのアドレスブロックの大きさによって課金に影響することはございません。
Q2: AZとは日本国内にあるAWSの持っている物理HWのロケーションのことを意味しているという理解で正しいでしょうか?(東京DC、大阪DC)
A2: 1つのAZはデータセンター群からなり、東京近郊に存在します。
Q3: また、1つのシステムで2つのアカウントを跨いで利用する場合、同一の物理的な場所にリソースを置きたいのですが、1bや1cで揃えることはできないのでしょうか?東京リージョンで物理的な場所を揃えたい場合はそれぞれのAwSアカウントで1aに揃えなければいけないのでしょうか?
A3: アベイラビリティーゾーンは、リージョンコードとそれに続く文字識別子によって表されます (us-east-1a など)。リソースがリージョンの複数のアベイラビリティーゾーンに分散されるようにするため、アベイラビリティーゾーンは各アカウントの識別子に個別にマップされます。たとえば、あるアカウントのアベイラビリティーゾーンは別のアカウントのus-east-1aアベイラビリティーゾーンと同じ場所にはない可能性がありますus-east-1a。ユーザーがアカウント間でアベイラビリティーゾーンを調整する手段はありません。
Q4: DNSの169.254.169.253は、どのciderからも参照可能なアドレスでしょうか?
A4: はい、どのVPCからも参照可能です。
Q5: イメージですがACLはNW機器のいわゆるACLで、セキュリティグループはF/Wのようなイメージですか?
A5: ふるまいとしましてはネットワークACLはステートレスなルータ機器のアクセスリスト、セキュリティグループはステートフルなファイアウォールと同じと捉えていただいて問題ございません。
Q6: EIPを割り当てたインスタンスを夜間・休日等にstoppedの状態で置いておくと、EIPは費用がかかるのでしょうか?
A6: Elastic IP アドレスを効率的に使用するため、Elastic IP アドレスが実行中のインスタンスに関連付けられていない場合や、停止しているインスタンスやアタッチされていないネットワークインターフェイスに関連付けられている場合は、時間毎に小額の料金が請求されます。
Q7: ルートテーブルを更新した場合、それに紐付けられたサブネット内で稼働中のEC2インスタンスに即時に反映されるのでしょうか。
A7: ルートテーブルの更新情報はすぐにサブネット内のルーティングに反映されますので、サブネット上のEC2インスタンスのトラフィックにも影響があります。
Q8: NATゲートウェイのメトリクスで帯域の変化状況を監視することは可能でしょうか?
A8: 下記のブログ記事のように、VPC Flow Logsからネットワーク帯域のメトリクスを取得することが可能です。
http://aws.typepad.com/aws_japan/2015/12/managednat.html
Q9: パブリックサブネットのEC2インスタンスにEIPを割り当てない場合、インターネットへの通信は可能ですか?可能な場合、接続元IPは固定ですか?
A9: サブネット上で"自動割当てパブリックIP”を有効にしていただくことでインターネットへの疎通が可能となります。また、この場合接続元IPはサブネット内のDHCPにより動的に割当てられますので固定ではありません。
Q10: 2つのAZにNATインスタンスを置いて冗長構成にしたい場合、ルーティングはどのように書けばいいのでしょうか?
A10: 一般的には冗長構成にした場合、以下のように構成します。
NATGWを使用した場合:それぞれのAZで各NATGWを宛先に指定します
NATインスタンスを使用した場合:両方のAZから共通のNATインスタンスを宛先に指定し、NATインスタンスのモニタリングを別途行い、障害時にルートテーブルの宛先(NATインスタンス)を切り替えるなどが考えられます
Q11: s3のエンドポイントは、VPCを初期構成した場合は、ウイザードの中で作成されるのでしょうか?
A11: ウィザードでは作成されませんので、ウィザードをご利用の場合はVPC作成後に追加してください。
Q12: ネットワークACLとセキュリティグループはどういう使い分けをしたらよいでしょうか。今までセキュリティグループしか使った事がありません。
A12: ネットワークACLはサブネット全体で共通のフィルタを適用したい場合、セキュリティグループは単一または複数のインスタンスに対して共通のフィルタを適用したい場合にご利用ください。セッションでもご紹介しましたが、ネットワークACLはブラックリスト型として通信の拒否、セキュリティグループはホワイトリスト側として通信の許可としてお使いいただくことをお勧めしております。
Q13: 聞き漏れかもしれませんが、サブネットの設定が「Auto-assign Public IP:yes」の場合パブリックサブネット、「Auto-assign Public IP:no」の場合プライベートサブネットの認識で正しいですか?よろしくお願いいたします
A13: パブリックサブネットはAuto-assign Public IPがyesの状態でかつインターネットゲートウェイにルーティングを持つサブネットとなります。
Q14: VPCのVPNは帯域制限はありますか。
A14: VPN のスループットについて、Amazon はいかなる制限も実施していません。ただし、その他の要因、例えばカスタマーゲートウェイの暗号化能力や、お客様側のインターネット接続速度、平均パケットサイズ、使用されているプロトコル(TCP か UDP か)、カスタマーゲートウェイと仮想プライベートゲートウェイの間のネットワークレイテンシーなどが、スループットに影響を与える可能性があります。
Q15: オンプレ側で 1 IP の場合、複数の AWS アカウントに VPN 接続は可能でしょうか?
A15: 可能です。各アカウントでカスタマゲートウェイとしてご登録ください。
Q16: EC2の役割ごとに、WEBサーバー・Batchサーバー・APサーバーごとにサブネットを作成したほうが望ましいでしょうか?
A16: 必ずしも役割ごとにサブネットを作成する必要はございません。インターネットやオンプレミスとのルーティング制約、サブネット間での通信制限を適用したい場合にサブネットを分割いただければと思います。
Q17: VPC上限5は、どこまで緩和可能ですか?
A17: 必要な数をAWSサポートまでお問い合わせください。
Q18: Amazon DNSサーバーのドキュメントはありますでしょうか。検索したけれどROUTE53ばかりがヒットしてたどり着けませんでした。・料金の計算方法は?・オープンリゾルバとして外部の名前解決に使う?・内部DNSとしてEC2サーバーの名前登録ができる?
A18: Amazon DNSサーバのドキュメントはこちらになります。
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpc-dns.html
Q19: S3エンドポイントを使用した場合にS3とEC2間の転送量に対する課金は発生しますか。
A19: S3エンドポイントを使用した場合、課金は発生しません。
Q20: WAFに該当するコンポーネントはありますか?
A20: AWSではAWS WAFといわれる製品をご提供しております。詳しい説明はこちらのドキュメントをご覧ください。
https://aws.amazon.com/jp/waf/
Q21: ELBは自動スケールし、IPが増減するかと思います。サブネットのプレフィックス長はどの程度考えればよいでしょうか。
A21: ロードバランサーが正しくスケーリングできるように、ロードバランサーの各サブネットの CIDR ブロックを、最低でも /27 ビットマスク(例: 10.0.0.0/27)にし、少なくとも 8 個の空き IP アドレスを用意してください。ロードバランサーはこれらの IP アドレスを使用して、バックエンドインスタンスとの接続を確立します。
http://docs.aws.amazon.com/ja_jp/ElasticLoadBalancing/latest/DeveloperGuide/setting-up-elb.html#set-up-ec2
Q22: 一つのアカウント内でCIDRが違うVPCが干渉することはありますか?また、一つのアカウント内でCIDRが同じのVPCが干渉することはありますか?
A22: VPCは論理的に分離されており、他のVPCと干渉することはありません。VPC間をVPCピアリング等でルーティングする場合、CIDRが被らないように設計する必要があります。
NATインスタンスを使用した場合:両方のAZから共通のNATインスタンスを宛先に指定し、NATインスタンスのモニタリングを別途行い、障害時にルートテーブルの宛先(NATインスタンス)を切り替えるなどが考えられます
Q11: s3のエンドポイントは、VPCを初期構成した場合は、ウイザードの中で作成されるのでしょうか?
A11: ウィザードでは作成されませんので、ウィザードをご利用の場合はVPC作成後に追加してください。
Q12: ネットワークACLとセキュリティグループはどういう使い分けをしたらよいでしょうか。今までセキュリティグループしか使った事がありません。
A12: ネットワークACLはサブネット全体で共通のフィルタを適用したい場合、セキュリティグループは単一または複数のインスタンスに対して共通のフィルタを適用したい場合にご利用ください。セッションでもご紹介しましたが、ネットワークACLはブラックリスト型として通信の拒否、セキュリティグループはホワイトリスト側として通信の許可としてお使いいただくことをお勧めしております。
Q13: 聞き漏れかもしれませんが、サブネットの設定が「Auto-assign Public IP:yes」の場合パブリックサブネット、「Auto-assign Public IP:no」の場合プライベートサブネットの認識で正しいですか?よろしくお願いいたします
A13: パブリックサブネットはAuto-assign Public IPがyesの状態でかつインターネットゲートウェイにルーティングを持つサブネットとなります。
Q14: VPCのVPNは帯域制限はありますか。
A14: VPN のスループットについて、Amazon はいかなる制限も実施していません。ただし、その他の要因、例えばカスタマーゲートウェイの暗号化能力や、お客様側のインターネット接続速度、平均パケットサイズ、使用されているプロトコル(TCP か UDP か)、カスタマーゲートウェイと仮想プライベートゲートウェイの間のネットワークレイテンシーなどが、スループットに影響を与える可能性があります。
Q15: オンプレ側で 1 IP の場合、複数の AWS アカウントに VPN 接続は可能でしょうか?
A15: 可能です。各アカウントでカスタマゲートウェイとしてご登録ください。
Q16: EC2の役割ごとに、WEBサーバー・Batchサーバー・APサーバーごとにサブネットを作成したほうが望ましいでしょうか?
A16: 必ずしも役割ごとにサブネットを作成する必要はございません。インターネットやオンプレミスとのルーティング制約、サブネット間での通信制限を適用したい場合にサブネットを分割いただければと思います。
Q17: VPC上限5は、どこまで緩和可能ですか?
A17: 必要な数をAWSサポートまでお問い合わせください。
Q18: Amazon DNSサーバーのドキュメントはありますでしょうか。検索したけれどROUTE53ばかりがヒットしてたどり着けませんでした。・料金の計算方法は?・オープンリゾルバとして外部の名前解決に使う?・内部DNSとしてEC2サーバーの名前登録ができる?
A18: Amazon DNSサーバのドキュメントはこちらになります。
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpc-dns.html
Q19: S3エンドポイントを使用した場合にS3とEC2間の転送量に対する課金は発生しますか。
A19: S3エンドポイントを使用した場合、課金は発生しません。
Q20: WAFに該当するコンポーネントはありますか?
A20: AWSではAWS WAFといわれる製品をご提供しております。詳しい説明はこちらのドキュメントをご覧ください。
https://aws.amazon.com/jp/waf/
Q21: ELBは自動スケールし、IPが増減するかと思います。サブネットのプレフィックス長はどの程度考えればよいでしょうか。
A21: ロードバランサーが正しくスケーリングできるように、ロードバランサーの各サブネットの CIDR ブロックを、最低でも /27 ビットマスク(例: 10.0.0.0/27)にし、少なくとも 8 個の空き IP アドレスを用意してください。ロードバランサーはこれらの IP アドレスを使用して、バックエンドインスタンスとの接続を確立します。
http://docs.aws.amazon.com/ja_jp/ElasticLoadBalancing/latest/DeveloperGuide/setting-up-elb.html#set-up-ec2
Q22: 一つのアカウント内でCIDRが違うVPCが干渉することはありますか?また、一つのアカウント内でCIDRが同じのVPCが干渉することはありますか?
A22: VPCは論理的に分離されており、他のVPCと干渉することはありません。VPC間をVPCピアリング等でルーティングする場合、CIDRが被らないように設計する必要があります。
以上です。8月のBlackBeltの配信予定はこちらに掲載されております。今月もサーバーレスアーキテクチャなど内容が盛りだくさんとなっております。是非チェックしていただければと思います!
コメント