スケーラブルで安全なマルチ VPC AWS ネットワークインフラストラクチャの構築 - スケーラブルで安全なマルチVPC AWS ネットワークインフラストラクチャの構築
序章IP アドレスの計画と管理Well-Architected の実現状況の確認

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

スケーラブルで安全なマルチ VPC AWS ネットワークインフラストラクチャの構築

公開日: 2024 年 4 月 17 日 (ドキュメント履歴

アマゾン ウェブ サービス (AWS) のお客様は、ワークロードをセグメント化してフットプリントを拡大するために、何百もの アカウントと仮想プライベートクラウド (VPCsに頼ることがよくあります。このレベルのスケールでは、リソース共有、VPC 間接続、VPC 接続へのオンプレミス施設に関する課題が頻繁に生じます。

このホワイトペーパーでは、Amazon Virtual Private Cloud (Amazon VPC)、AWS Transit Gateway、、AWS PrivateLinkGateway Load BalancerAWS Direct Connect、、Amazon Route 53 などの AWS サービスを使用してAWS Network Firewall、大規模ネットワークでスケーラブルで安全なネットワークアーキテクチャを作成するためのベストプラクティスについて説明します。増大するインフラストラクチャを管理するためのソリューションを示し、オーバーヘッドコストを抑えながら、スケーラビリティ、高可用性、セキュリティを確保します。

序章

AWS のお客様は、アクセス許可、コスト、サービスを分割する管理境界を表すリソースを 1 つの AWS アカウントで構築することから始めます。ただし、顧客の組織が成長するにつれて、コストのモニタリング、アクセスの制御、環境管理の簡素化のために、サービスのセグメント化を強化する必要があります。マルチアカウントソリューションでは、IT サービスと組織内のユーザーに特定のアカウントを提供することで、これらの問題を解決します。 には、 など、このインフラストラクチャを管理および設定するためのツールがいくつか AWS 用意されていますAWS Control Tower。 

AWS Control Tower 初期デプロイを示す図

AWS Control Tower の初期デプロイ

を使用してマルチアカウント環境を設定すると AWS Control Tower、2 つの組織単位 (OUsが作成されます。

  • セキュリティ OU – この OU 内には、次の 2 つのアカウント AWS Control Tower を作成します。

  • ログアーカイブ

  • 監査 (このアカウントは、ガイダンスで前述したセキュリティツールアカウントに対応します)。

  • サンドボックス OU – この OU は、 内で作成されたアカウントのデフォルトの送信先です AWS Control Tower。これには、チームの許容可能な使用ポリシーに従って、ビルダーが AWS のサービス、およびその他のツールやサービスを試すことができるアカウントが含まれています。

AWS Control Tower では、追加の OUs を作成、登録、管理して初期環境を拡張し、ガイダンスを実装できます。

次の図は、 によって最初にデプロイされた OUs を示しています AWS Control Tower。 AWS 環境を拡張して、 図に含まれている推奨 OUs のいずれかを実装して、要件を満たすことができます。

AWS 組織の OUs を示す図。

AWS 組織 OUs

を使用したマルチアカウント環境の詳細については AWS Control Tower、「複数アカウントを使用した AWS 環境の整理」ホワイトペーパーの「付録 E」を参照してください。

注記

このホワイトペーパーでは、「Control Tower」は、ワークロードをデプロイするスケーラブルで安全でパフォーマンスの高いマルチアカウント/マルチ VPC セットアップの広義の用語です。この設定は、さまざまなツールを使用して構築できます。マルチアカウントクラウド基盤のベストプラクティス、設計原則、利点の詳細については、「複数アカウントを使用した AWS 環境の整理」ホワイトペーパーを参照してください。

ほとんどのお客様は、インフラストラクチャをデプロイするためにいくつかの VPCsから始めます。お客様が作成する VPCs の数は、通常、アカウント、ユーザー、ステージング環境 (本番稼働、開発、テストなど) の数に関連しています。クラウドの使用が増えるにつれて、顧客がやり取りするユーザー、ビジネスユニット、アプリケーション、リージョンの数も増加し、新しい VPCsが作成されます。

VPCs の数が増えるにつれて、クロス VPC 管理はお客様のクラウドネットワークの運用に不可欠です。このホワイトペーパーでは、VPC 間およびハイブリッド接続における 3 つの特定の分野のベストプラクティスについて説明します。

IP アドレスの計画と管理

スケーラブルなマルチアカウントマルチ VPC ネットワーク設計を構築するには、IP アドレスの計画と管理が不可欠です。適切な IP アドレス指定スキームでは、現在および将来のネットワークニーズを考慮する必要があります。IP アドレススキーム IP は、オンプレミスのワークロード、クラウドワークロードをカバーする必要があり、将来の拡張 (新しい AWS リージョン、ビジネスユニット、合併や買収の追加など) も可能にする必要があります。また、チームが誤って重複する IP CIDRs。分離されたワークロードや切断されたワークロードなど、重複する IP CIDR が必要な場合は、この決定を意識し、ルーティング、セキュリティ、コストへの影響を考慮する必要があります。また、このような例外に対して必要な承認プロセスの作成を検討する必要がある場合もあります。適切な IP アドレス指定スキームは、ネットワーク設計とルーティング設定の簡素化にも役立ちます。

主な考慮事項:

  • IP アドレス指定スキーム (パブリック IP とプライベート IPsを事前に計画し、IP アドレス管理ツールを選択して、すべてのワークロードで IP アドレスの使用状況を割り当て、管理、追跡します。

  • 階層型および要約型の IP アドレス指定スキームを使用します。

  • 環境、組織、またはビジネスユニットに基づいて AWS リージョン、一貫した IP 割り当てを計画します。

  • オンプレミスネットワークとクラウドネットワーク用に個別の IP CIDRs (IPv4 と IPv6 の両方) を指定します。

  • 重複する IP CIDRs。

  • IP CIDRsを適切に設定して、スケーリングと将来の成長を可能にします。

  • IPv6 またはデュアルスタックの互換性のためにワークロードを有効にして、IP の競合を減らし、IPv4 スペースの枯渇に対処します。

Amazon VPC IP Address Manager (IPAM) を使用すると、 AWS ワークロードのパブリック IP アドレスとプライベート IP アドレスの両方の計画、追跡、モニタリングを簡素化できます。IPAM を使用すると、複数の および 間で IP アドレス空間を整理、割り当て、モニタリング AWS リージョン 、共有できます AWS アカウント。また、特定のビジネスルールを使用して CIDRsを VPCsに自動的に割り当てるのにも役立ちます。

ブログ投稿の「Amazon VPC IP Address Manager のベストプラクティス」、「Amazon VPC IP Address Manager を使用した VPC とリージョン間の IP プールの管理」、および「IP アドレス管理 AWS Control Tower」を参照して、IP アドレスのベストプラクティスと、IPAM を使用して VPCs間の IP プールを管理する方法を確認してください AWS リージョン AWS Control Tower。 VPCs

Well-Architected の実現状況の確認

AWS Well-Architected フレームワークは、クラウド内でのシステム構築に伴う意思決定の長所と短所を理解するのに役立ちます。このフレームワークの 6 つの柱により、信頼性、安全性、効率、費用対効果、持続可能性の高いシステムを設計および運用するための、アーキテクチャのベストプラクティスを確認できます。AWS Management Console で無料で提供されている AWS Well-Architected Tool を使用すると、柱ごとに一連の質問に答えることで、これらのベストプラクティスに照らしてワークロードを評価できます。

クラウドアーキテクチャに関する専門的なガイダンスやベストプラクティス (リファレンスアーキテクチャのデプロイ、図、ホワイトペーパー) については、AWS アーキテクチャセンターを参照してください。