まとめノート。詳しくはAWS のネットワークで知っておくべき10のことの動画を参照してください。
ec2インスタンスだけからみえる専用ネットワークを使用してメタデータを取得
手順①
- sshで起動したインスタンスに接続
- インスタンスの中で
'http://169.254.169.254/latest/meta-data/'下にある様々なメタデータを取得する
手順② - sshで起動したインスタンスに接続
- インスタンスの中でamzn-linuxなら
ec2-metadataコマンドで取得。
実行中インスタンスのみから取得できクレデンシャル不要
- 公開鍵を取得
[ec2-user@ip-172-......-13 ~]$ curl 'http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key'
> ssh-rsa AA......mM4KJ hoge
- パブリックipv4アドレスを取得
[ec2-user@ip-172-......-13 ~]$ curl 'http://169.254.169.254/latest/meta-data/public-ipv4'
54.199.119.48
- 例えばec2インスタンスに公開鍵がなぜ存在するかというと、ec2インスタンスブート(起動)時に
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
から公開鍵を取得し/home/ec2-user/.ssh/authorized_keyに配置しているかららしい。
通信経路
インターネット-トランジットセンター-AZ-blackfoot-VPC内のEC2インスタンス
awsネットワークを使用した通信の話
AZ
意味のある距離
-
レイテンシ
-
地質的条件
などを考慮し複数のデータセンターからなる -
インターネットはISPの集合体なので全体として可用性の保証がない
-
オリジン エンドユーザに対してサービスを提供するもの
-
AWS GLOBAL ACCELERATORでは低いレイテンシと高いアベイラビリティが実現できる
- エンドユーザ-AWS間の距離をなるべく短くし、AWS-WEBサーバ間の距離を長くとることで安定したAWSネットワーク内で通信できる
-
aws edge services
- route53 dnsはインターネットコミュニケーションにおける起点
- cloud front ユーザを一番近いエッジロケーションに誘導して配信を高速化/キャッシュを活用しオリジンの負荷をオフロード/aws global networkによる非キャッシュコンテンツ高速化
VPC接続
-
VPCだけで通信したいというニーズが強く多くのユースケースを提供。
-
vpc peering 1vs1 例:東京-オレゴン
-
trainsit vpc スポークを起点に接続を構成
スケールする構成 -
aws privatelink 1 vs Nでスケールさせたい時 アプリの共用に。
-
aws transit gateway 1 vs 1,1 vs N ネットワークの共用に。
VPC-オンプレの接続手段
- client vpn
- site-to-site
- ipsec vpnを使用 例:拠点-awsの通信
- virtual private gatewayもしくはtransit gatewayと接続
- 少数トラフィック/低価格/
- 構成
- VGW-冗長化された2つトンネル-CGW
- direct-connect 専用線を使用して拠点-awsへ接続
- パフォ/大量のトラフィック/安定性
Q.awsはインターネット攻撃にいかに対処しているのか
-
A. pop(point of presence)=エッジロケーションにaws shield ddos scrubbingを併存させてセキュリティを高めている。
-
aws waf
- 防御全般
-
aws shield
- managed ddos protection
- ddos緩和サービス
-
aws firewall manager
- ファイアウォールの複数アカウント単位での一元管理を提供
所感
webサービスからエンドユーザまでの流れやvpcができた理由など、黒本にない経緯や視点の話が面白く記憶に残った。