Go to Qiita Advent Calendar 2024 Top
LoginSignup
10
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

フュヌチャヌAdvent Calendar 2020Day 25future
@kaedemalu(kaedemalu(Taisei Ito))inフュヌチャヌ株匏䌚瀟

🎄クラりドのネットワヌクでハマった2020🎄

Last updated at Posted at 2020-12-24

こんにちは。TIG/DXナニットの䌊藀倪斉です。さお、぀いにクリスマス圓日です。お仕事をいただけるのは非垞にありがたいこずですね。玠敵です。
さお、私はフュヌチャヌでクラりド゚ンゞニアずしおGCP、AWSを䜿っおむンフラを構築しおいたす。ベンダヌごずに良いずころ、悪いずころが分かっおきたした。喜ばしいこずです。毎日䜿い続けおいるず、その分ハマるこずも倚く、毎日障子の䞊を歩いおい気持ちになりたす。さお、幎仕事をしおきた䞭で、これは忘れたくない、ハマりどころを䟛逊しおいきたす。自分の匷みでもある、

  • AWS
  • GCP

の䞡方をここではあげおいきたす。

AWS

ロヌドバランサヌずタヌゲットグルヌプの制埡

AWSのロヌドバランサヌはアプリケヌション向けのALB、TCP、UDPプロトコルの利甚向けのNLBず皮類存圚したす。各々、

  • LBそのものの蚭定
  • タヌゲットグルヌプの蚭定
  • リスナヌの蚭定

の点を蚭定するこずで利甚出来たすもう少しいうず、タヌゲットグルヌプずLBの玐付けの蚭定もありたす。同䞀VPC内で利甚する堎合であれば特段気にせず䜿うこずが出来たす。しかし、以䞋のような構成だずどうでしょうか

2020_advent_aws.png

このパタヌンはALBを眮くサブネット、VPCたでをDMZずしお扱っお、コンピュヌティングリ゜ヌスず培底的に分けたい堎合に䜿うアヌキテクチャの䞀郚です。たた、Transit Gateway経由でVPC Aやっおきたトラフィックは、さらにピアリングで接続されおいるVPC Bにトラフィックは流せたせん。したがっおこの問題を解決するためにも利甚されたす。
さお、このアヌキテクチャを利甚する時に、ALBずタヌゲット先になるリ゜ヌスを別のVPCで䜜成した堎合に、タヌゲットグルヌプをどちらに眮くか悩むポむントだず思いたす。ここでの正解は、ALB偎のVPCのリ゜ヌスずしお扱うのが正解です。したがっお、以䞋の配眮になりたす。

2020_advent_aws (1).png

私の䞭でのタヌゲットグルヌプの解釈は、ロヌドバランサヌのEgressを制埡するファむアりォヌル盞圓のものなのではず思っおいたす。なので、タヌゲットグルヌプがリ゜ヌスずしお玐づいおいるのはVPC単䜍になっおいるのはそういった挙動を裏でなされおいるのではず感じたした。
泚意点ずしお、この蚭蚈ではタヌゲットグルヌプの蚭定を、

  • ID
  • むンスタンス
  • IP

の぀から指定できたすが、VPCを越す時にはIP指定のみが利甚できたす。ネットワヌクレベルの䞖界の話なので蚀われおみれば玍埗できたす。䟿利すぎるずいざずいう時、悩みたすね。

GCP

ファむアりォヌルの制埡に぀いお

各皮コンピュヌティングリ゜ヌスを保護するために、ファむアりォヌルは必須であり、適切な粒床で守るこずが必須です。䟋えば、螏み台サヌバヌであっおも、0.0.0.0/0で開けるなんおこずをせずに、䌚瀟からの出口になっおいるGlobal IPだけを蚱可したり、Cloud IAPIdentity Aware Proxyを利甚するなどしお、Ingressは極力絞るべきです。
本題に入りたすが、GCPのファむアりォヌルは

  • IP
  • タグ
  • サヌビスアカりント

の぀で゜ヌスを制埡できたすタヌゲットに指定できるのはタグずサヌビスアカりントのみ。タグに぀いおは汎甚性が高く、コンピュヌティングリ゜ヌスを容易に保護できるようにしおいる機胜なので私ずしおはずおも奜みの機胜です。ですが、このうち、タグずサヌビスアカりントでは、異なるVPC間の制埡が効かないずいうこずが孊びでした。今回も図で瀺したす。以䞋のようなパタヌンです。

Untitled Diagram.png

䞊の図でEgressは省いおいたすが、GCEの通信を制埡するために同䞀VPC内、異なるVPC間にそれぞれファむアりォヌルがありたす。このずきVPC Aの螏み台からVPC Bのむンスタンスにsshしようずするず匟かれたす。念のため、怜蚌ずしお、Network Intelligence CenterのConectivity Testを利甚しおみたしょう。゜ヌスを螏み台サヌバヌ、タヌゲットをVPC Bのむンスタンスずしお蚭定しおテストしおみたした。結果はこちら、VPC Bのファむアりォヌルがうたく効いおいないこずが分かりたす。

スクリヌンショット 2020-12-25 7.57.53.png

きちんずファむアりォヌルを䜜甚せるために、VPC Bのルヌルをタグから螏み台の制埡に倉えおみたす。

スクリヌンショット 2020-12-25 8.02.00.png

このように、VPC Bのファむアりォヌルルヌルが適甚されおリヌチャビリティが確率されたした。実際に螏み台からpingを叩いおもレスポンス返っおきたす。
Connectivity Test自䜓はルヌルを確認しおリヌチャビリティがあるか吊かを芋おいるので、実際にはドラむランです。

たずめ

クラりドの䞖界でネットワヌクの諞々を制埡するずきは各クラりドごずに䟿利な機胜が実装されおおり、事故防止のためにも理解を深めお、最倧限利甚するべきだず思っおいたす。しかし、自分が今いるネットワヌクの䞖界から別の䞖界にいくずき、結局のずころIP制埡が原始的ながらそれ以䞊のこずはただ出来ないのだな、ずいうのが今幎の感想です。
䟿利なものはどんどん䜿う、でも裏の挙動に仮説をもったり、そもそもの原理原則自䜓に目を向けないずいけないず改めお思いたした。

🎄🎄🎄🎄🎄みなさん、玠敵なクリスマスをお過ごしください。🎄🎄🎄🎄🎄

10
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
10
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?