20130719 cdp night lightningtalk "internal port concentrator"
DESCRIPTION
2013.07.19 CDP Night Tokyo Lightning Talk "Internal Port Concentrator" PatternTRANSCRIPT
Internal Port Concentrator Pattern
CDP Night 2013 Tokyo
classmethod.jp 1
2013/07/19 Kazuki Ueki
本日ご紹介するパターン
Internal Port Concentrator
“ネットワーク”のパターンVPCプライベートサブネットへのアクセス
classmethod.jp 2
自己紹介名前:植木和樹(うえき かずき)年齢:36歳出身:新潟県妙高市(単身赴任中)元製造業情報システムG常駐主にUnixサーバエンジニア(監視、保守)資格:IPAITサービスマネージャIPA システムアーキテクトJAWS北陸コアメンバー(JAWS DAYS 2013〜)AWS歴:約5か月(2013年5月Classmethod入社)好きなAWSサービス:SQS
classmethod.jp 3
@czkuk
クラスメソッド AWSのお仕事• AWSコンサルティング• AWS環境構築• スパイクアクセス対策• 保守、運用、監視サポート• 障害調査
classmethod.jp 4
保守・運用・監視・障害調査
インターネットからAWSへアクセスが必要
どうやって用意するか、が今日のお話
classmethod.jp 5
EC2-Classicの保守・監視• 自動で PublicDNS が割り当てられる• 経路とか正直あまり気にしなくて良い
classmethod.jp 6
VPCの登場
2011年8月4日
classmethod.jp 7
EC2-VPCの保守・監視• EIPやELBが外からのアクセスに必要• グローバルIPアドレスを持たないサーバ
→ 直接アクセスできない• 踏み台サーバを用意する(sshはOK)• RDSへ開発PCからアクセスしたい• PHPのリモートデバッガ使いたいclassmethod.jp 8
どうやってプライベートネットワークにアクセスする?
classmethod.jp 9
Backnet Pattern?プライベートネットとVPNをはる
初期のVPCの用途はそもそもこういうもの王道パターン
classmethod.jp 10
classmethod.jp 11
コストとデリバリの問題• EC2インスタンスはなるべく減らしたい• VPNの機器代、構築コスト• スケジュールの都合(構築優先)
【解決したい課題】お⾦をかけずにプライベートネットワークへ⾃在にアクセスしたい
classmethod.jp 12
INTERNAL PORT CONCENTRATOR
PATTERN
本日のご提案
classmethod.jp 13
Internal Port Concentrator〜概要〜
• VPC内ポートの集中管理• NATを使用したポートマッピング• ntpやyumのためNATサーバは必要• S3やCloudWatchへアクセスするにもNAT• NATをプライベート→VPC外だけでなく、
VPC外→プライベートアクセスにも使用classmethod.jp 14
classmethod.jp 15
Internal Port Concentrator〜課題の解決〜
• プライベートネットワークには元々NATサーバが必要
⇒ 追加EC2不要!
• 時間をかけたくない⇒ 設定は簡単!
• アクセスしたい要件はいろいろ⇒ 理論上6万以上のマッピングが可能!
classmethod.jp 16
Internal Port Concentrator〜実装⽅法〜
時間がないので続きはウェブで!
classmethod.jp 17
クラスメソッド ブログ 検索
代替案1:デフォルトVPC• 2013年3月11日発表• Tokyoリージョンでは5月1日より提供開始• 個人的にお気に入り• ※新規利⽤リージョンのみ
classmethod.jp 18
代替案2:EC2-Classic
EC2-VPCが機能豊富固定IP不要で
セキュリティグループが簡易なELB+EC2+RDS構成なら・・・
classmethod.jp 19
代替案3:AWS標準NAT待ち
Internet GatewayがあるならNAT Gatewayサービスがあったって
いいじゃない
classmethod.jp 20
Internal Port Concentrator〜可⽤性を⾼めるために〜
Floating IP パターン(CDP認定済)
High Availability NAT パターン(CDP2.0候補)
classmethod.jp 21
Internal Port Concentrator〜問題点1:セキュリティ〜
接続元は限定しようNATサーバセキュリティグループの
InboudへアクセスできるIPアドレスを限定
classmethod.jp 22
Internal Port Concentrator〜問題点2:マッピングの⼿間〜
IPアドレスが変わったら再マッピングAutoScaling使用時など
EC2インスタンスが入れ替わるたびにマッピング情報をメンテナンス
classmethod.jp 23
Internal Port Concentrator〜問題点3:ポート管理〜
NATサーバの50001番ポート→ Webサーバの80番ポート50002番ポートは・・・?
ドキュメントにちゃんと記述!
classmethod.jp 24
いんたーなるぽーと
こんせんとれーた
ご紹介でした
classmethod.jp 25
ご清聴ありがとうございました
classmethod.jp 26