AWS ソリューションアーキテクト プロフェッショナル対策本 2章
2-1 組織のネットワーク設計
この章では、VPCから
VPCエンドポイント
- VPCエンドポイント:VPC内のリソース(EC2など)と、他のAWSサービスやオンプレミス環境と接続するために用いられるもの
- VPCエンドポイントには2種類ある
- ゲートウェイエンドポイント
- インターフェイスエンドポイント
- エンドポイントポリシーを利用してリクエストのアクションやリソースを制限することができる
ゲートウェイエンドポイント
- VPCサービス専用のゲートウェイ
- S3,DynamoDBと接続可能
- オンプレミスや別リージョンのゲートウェイエンドポイントから直接接続はできない
- オンプレミスの場合、プロキシサーバを経由する必要あり
- =構成が複雑になる
- 利用料金なし
インターフェイスエンドポイント
- VPCのサブネットにENI(Elastic Network Interface)を作成し、ENIに割り当てられたプライベートIPアドレスを利用して接続を行う
- ENIとサービス間の通信にはAWS PrivateLinkという技術を用いて行われる
- 様々なサービスと接続可能
- オンプレミスとも(直接)接続可能
- 利用料金あり
- VPCエンドポイントとAWS PrivateLinkの違い:https://dev.classmethod.jp/articles/aws-vpcendpoint-privatelink-beginner/
ユースケース別の使い分け
ゲートウェイエンドポイント
- エンドポイントと同一VPC内のリソースと接続する場合
インターフェイスエンドポイント
- エンドポイントとオンプレミスを接続する場合
- エンドポイントと別リージョンのVPCを接続する場合
AWS クライアントVPN
- OpenVPNベースのクライアントを利用して、AWSサービスに安全にアクセスすることができるサービス
- 利用例:
- クライアントからVPCへの接続
- VPCを介した、オンプレミスやインターネット、他のVPCへの接続
認証タイプ
- Active Directory認証(ユーザーベース)
- AWS Managed Microsoft AD
- AD Connector
- シングルサインオン(SAMLベースのフェデレーション、ユーザーベース)
- IAM SAML IDプロバイダーを作成して、クライアントVPNエンドポイントでの認証を行う
- 相互認証(証明書ベース)
- AWS Certificate Managerにアップロードしたサーバー証明書とクライアント証明書を利用
基本設定
- クライアントが使用するIPアドレス範囲をCIDRで指定
- 関連付けるサブネットのVPCと重複しないように設定すること
- AWSクライアントVPNにサブネットを関連づける
- 関連付けたサブネットにはENIが作成され、ENIにはセキュリティグループがアタッチされる
接続ログ
- オプションでCloud Watch Logsに接続ログを記録することができる
接続ハンドラ
- 接続時にLambda関数で任意のプログラムを実行して、接続の許可・拒否判定ロジックを実装できる
AWS Site-to-Site VPN
- VPCに仮想プライベートゲートウェイをアタッチして、オンプレミスのルーターとIPsecVPN接続ができるサービス
仮想プライベートゲートウェイ
- AWS側に置かれる
- ASN(自立システム番号)を指定することができる
- 指定しない場合はデフォルトの番号(64512)が振られる
カスタマーゲートウェイ
- オンプレミス側のルータなどが該当
- 動的ルーティングではBGP(ボーダーゲートウェイプロトコル)ASNの指定が可能
- カスタマーデバイスがBGPをサポートしている場合のみ利用可能
- サポートしていない場合は静的ルーティングを利用する
- パブリックなASNがない場合は、プライベートASN(64512~65534)を指定可能
VPN接続
- 仮想プライベートゲートウェイとカスタマーゲートウェイの接続を作成できる
- 次の機能がある
- Internet Key Exchange v2(IKEv2)
- NATトラバーサル(NAT-T)
- デッドピア検出(DPD)
- VPN接続を作成すると、仮想プライベートゲートウェイは2つのAZに対して、それぞれトンネルを作成する
- トンネルにはパブリックIPアドレスが付与される
- カスタマーゲートウェイで2つのトンネルを使用することで冗長性を確保することができる
- 片方のトンネルが使えない場合、自動でもう片方のトンネルにルーティングしてくれる
- トンネルエンドポイントの置換が発生する場合はAWS Personal Health Dashboardに通知される
- 障害やAWSによるメンテナンスによって、トンネルが使えなくなる場合がある
- 認証に使われる事前認証キーは自動生成されるが、任意の文字列を指定することもできる
- 漏洩などで変更する場合は、後からトンネルオプションの変更から再設定できる
- IKEネゴシエーションの開始はトンネルオプションから設定可能
- デフォルトはカスタマーゲートウェイから開始
- AWSから開始することも可能
- カスタマーゲートウェイにIPアドレスが必要
- IKEv2のみ利用可能
- 作成済みのVPN接続に対してもトンネルオプションの変更が可能
- ただし、数分間の接続停止は必要
複数のSite-to-Site VPN接続
- 1つの仮想プライベートゲートウェイから複数のカスタマーゲートウェイにVPN接続を作成できる
- VPN CloudHubと呼ばれる設計手法
- VPCを、複数のオンプレミスネットワークのハブとして利用している
- 各カスタマーゲートウェイには個別のASNを設定する必要がある
ソフトウェアVPN
- EC2インスタンスにソフトウェアVPNをセットアップしてインターネットゲートウェイ経由でVPN接続することができる
- 利用例:
- コンプライアンス要件により、接続両端を完全にコントロールする必要がある場合
- IPsec以外のVPNプロトコルが必要な場合
AWS Direct Connect(DX)
- ユーザーまたはパートナーのルーター(Customer Router)からDirect Connectのルータに専用線接続するサービス
接続
- 専用接続
- 単一のアカウントに関連付けられた物理イーサネット接続
- リクエスト時には、ロケーション、ポートスピード(1Gbps,10Gbps,100Gbps)を指定
- 72時間以内にAWSからLOA-CFAがダウンロード可能になる
- Direct Connectロケーション事業者へのクロスコネクトリクエストにはLOA-CFAが必要
- ホスト接続
- AWS Direct Connectパートナーが運用している物理イーサネット接続
- アカウントユーザーはパートナーにホスト接続をリクエストする
- ロケーション、ポートスピード(50Mbps,100Mbps,200Mbps,300Mbps,400Mbps,500Mbps)を指定
- パートナーが接続設定をしたらコンソールのConnectionsから確認できる
VPNバックアップのDirect Connect
- 冗長性の確保で用いる手法の1つ
- コストを優先する場合に用いる
- 帯域幅は最大1.25Gbps
- Direct Connectで1Gbpsを超えるアーキテクチャでは非推奨
- Direct ConnectとVPNは同じ仮想プライベートゲートウェイを使用する
- Direct Connectサービス自体への障害対策としても有効
回復性レベル
- Direct Connectのみで冗長性を担保する場合
- 接続作成時に接続ウィザードを使用して、SLAのレベルに合わせた回復力を持つ設計を作れる
- 「クラシック」を選択すると1つずつ接続を作成することもできる
- 回復性は「AWS Direct Connectフェイルオーバーテスト」を実施することで確認できる
- 最大回復性
- デバイス・接続・ロケーションの障害も回復可能
- 片方のロケーションでデバイスの冗長化が継続できる
- 重大でクリティカルなワークロードで利用
- 高い回復性
- デバイス・接続・ロケーションの障害も回復可能
- ロケーションの障害が発生すると冗長性が失われる
- 開発とテスト
- デバイス・接続の障害が回復可能
- ロケーションの障害には対応していない
- 開発およびテスト環境向け
- 最大回復性
仮想インターフェイス(VIF)
- AWS Direct Connect接続を利用するのに必要
- 3種類ある
- プライベート仮想インターフェイス
- VPCにアタッチされた仮想プライベートゲートウェイ、またはDirect Connect Gatewayに接続する仮想インターフェイス
- プライベートIPアドレスを使って接続する
- Direct Connectと同じリージョンの仮想プライベートゲートウェイト接続できる
- 異なるリージョンの仮想プライベートゲートウェイに接続する場合は、Direct Connect Gatewayに接続
- パブリック仮想インターフェイス
- トランジット仮想インターフェイス
- プライベート仮想インターフェイス
- VIFを作成してVLANを生成する
- 他のアカウントの仮想インターフェイスで利用するためにはホスト型仮想インターフェイスを作成する
単語集
単語 | 説明 |
---|---|
エンドポイントポリシー | |
ENI | |
IPsec | |
ASN | |
BGP | |
IKEv2 | Internet Key Exchangeのバージョン2のこと。暗号化のための共通鍵を交換する仕組み。 |
NAT-T | NATトラバーサル。オンプレミス側でNATルーターを介した接続が可能。オンプレミス側でVPN機器を保護できる。 |
DPD | デッドピア検出。接続先のデバイスが有効かどうかを確認する。トンネルオプションでデッドピアタイムアウトが発生した時に接続を「クリア」「再起動」「何もしない」のアクション設定が可能。デフォルトは「クリア」。 |
IKEネゴシエーション | |
LOA-CFA | |
SLA |