AWS Summit 2015 - Day2 - ネットワークDeep Dive
- AWS 吉田さん
VPCベストプラクティス
Marketplaceを活用する
- ファイアウォールやロードバランサ、WAF、ルータ、ネットワーク高速化などの製品が利用可能
- EC2のMarketplaceから検索
VPC Peeringを利用する
- 2つのVPCの間でネットワークをpeeringする
VPCのルーティングとセキュリティ
- VPCのルーティングはすべてサブネット単位のルートテーブルに基づく
IPレベルでの接続性確保が目的
主なルーティングのエントリ
ACLとセキュリティグループ
ベストプラクティス例
- ルーティングですべての到達性を確保
- 全体ポリシーで不必要な通信をACLで構築時に禁止
- 個別に必要な通信をセキュリティグループで許可
VPCエンドポイント
S3へのアクセスは、以前はNATインスタンスなどを通す必要があった
- シングルポイントだった
- それを解決
private subnetに設定することで、中から直接外にアクセスできるようになる
エンドポイントポリシー
- VPCエンドポイントに直接IAMポリシーを設定可能
既存からの移行
注意点
Direct connect ベストプラクティス
- BGPの動作
回線フェイルオーバーの高速化
BGPでは、障害検知が遅くてフェイルオーバーが遅いことが問題になりやすい
- デフォルトでは90~180秒
- タイムアウト待ち
BFD
- ミリ秒レベルで対向ルーター同士でBFDパケットを送受信
- なくなった場合に障害検知
- 非常に高速なフェイルオーバー
- リアルタイム性の高いアプリケーションの場合は設定を
- 推奨
KeepaliveとHoldtime
- BGPの機能の一部
- keepaliveを指定した間隔で送受信
- 単純にこのHoldtimeのデフォルト値を短くする
- 自分のるーたの設定値を低い値にすれば、AWS側のるーたもその低い方を採用する仕組み
経路の冗長化
Active/Standby
- 片方だけVPNという接続をしてる人もいる
- BGPの属性値によってどのPathを選択するかを設定
- のぼりとくだりは違う属性値で管理されている
- AS Path Prepend
- オンプレからの送信はLocal Pre...を優先
注意点
- どちらの回線がActiveなのかをきちんと管理
- 上りと下りのトラフィックを意識
Active/Active
注意点
- 回線の切断時、正常な回線のトラフィック・帯域溢れに注意
- マルチパスのペアをもう一つ用意したり
- Active/Standbyにしたり
- 回線の切断時、正常な回線のトラフィック・帯域溢れに注意
占有型と共有型
DirectConnectの構成
- 物理線(Connection)の中にVLAN(Virtual interface)を構成してる
占有型と共有型
キャリア閉域網の共有型の例