本記事は Advent Calendar 2020 の2020/12/13分です。
※Advent Calendar 2020 へはHTCのチームメンバー5人で
毎日日替わりで投稿させていただいていますので、暇なときに覗いてください。
※HTCの紹介は本イベント1日目の投稿をご参照ください。
文系学部卒SIer新人のかいとです。
今回は、AWS re invent 2020にて、VPC Reachability Analyzerが発表され、
前回投稿した記事にて、書かせていただいたネットワーク周りの悩みを
早速解決してくれそうなので、確認してみました!
今までの悩み
今までの悩みはセキュリティグループ(SG)の付け方です。
具体的にはインスタンス1つにつき、1つのSGをアタッチするのか、
役割ごと(例えばリモートアクセス用など)のSGを複数アタッチするのかという点でした。。。。
(下記は1つのSGによる通信許可設定(out)ですが、これが1つの中に大量に書かれるか、
役割ごとにこれを作成するのかという問題ですね。)
個人的にそれぞれにはメリットデメリットがあると思っているので、下記にまとめます。
SGのアタッチ方法に沿ったメリット/デメリット
-
インスタンス1つ-SG1つ
- メリット:通信許可設定の理解がすぐ可能。
- デメリット:冗長な設定になるので、管理しにくい。複数インスタンスにアタッチしてると変更の際に、影響を受ける範囲が広い。
-
インスタンス1つ-SG複数(役割ごと)
- メリット:役割ごとの通信許可で概要は理解しやすい。変更の際に、一か所のSG変更で済む。
- デメリット:インスタンスにアタッチできるSG数に制限がある。通信許可設定の理解に時間を要する。
そして、おそらく少しはプログラミングなどをかじっているIT脳の方には、
役割ごとに分けてSGを作成&アタッチする法を選びたくなるはず。
そんな私も完全に複数SG派なのですが、デメリット部分が割とめんどくさい。。。
そう感じてるときに、新サービスVPC Reachability Analyzerがこの問題を解決してくれるようなので、それを確認してみます!!!
※インスタンスが数個程度であれば1つのSGで十分だと思います。
VPC Reachability Analyzer
VPC Reachability Analyzer:VPC内のリソース間の接続性をテスト・可視化できるVPCの新機能です。
要は、通信のルーティングを可視化・テストしてくれるというもので、
私が悩んでいた、通信許可設定の理解に時間を要するという複数SGによるデメリットを解決してくれるサービスなのです!!!
実際の動きを確認
写真左下にできてますね。東京リージョンでも使えるのがうれしい。GAされても使えないときが時々あるから。。
早速作成しに行くっ!
名前 送信元タイプどこからどこに通信が到達するか) プロトコル ポートを指定します。
また、送信元タイプは、写真のように下記6つが選択できました。
Transit Gateways | VPN Gateways | Instances | Network Interfaces | Internet Gateways | VPC Endpoints | VPC Connections
※ここからは、お金がかかりそうなので、他の方の記事を参考にしました。
1分もたたず、通信到達を確認し、ページ下部の「分析エクスプローラー」で通信のルーティングを可視化することができるそうです!
これにて、通信の可視化を行えるようになったので、
SGは迷わず役割ごとに作成するのがベストプラクティスですね!!
(※勿論インスタンスの数による)
また、費用に関しては
Price per analysis processed by VPC Reachability Analyzer: $0.10とのことなので、有料です!
お気を付けください!(1回調べるのに10円なので、ハンズオン続けてもよかったですねw)
まとめ
・VPC Reachability Analyzerいいですね。。。
どのAWSサービスを通っているのか図で分かりやすいですし、可読性が上がりました。
・aws re invent は今年(2020)から見るようになったのですが、個人的には開発者用サービスに関心があるので、
今後はCodeGuru, DevOpsGuruなどのサービスをピックアップできればと思っています!お楽しみに!
・参考資料
https://dev.classmethod.jp/articles/breaking-vpc-reachability-analyzer/