翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
スケーラブルで安全なマルチ VPC AWS ネットワークインフラストラクチャの構築
公開日: 2024 年 4 月 17 日 (ドキュメント履歴)
アマゾン ウェブ サービス (AWS) のお客様は、ワークロードをセグメント化してフットプリントを拡大するために、何百もの アカウントと仮想プライベートクラウド (VPCsに頼ることがよくあります。このレベルのスケールでは、リソース共有、VPC 間接続、VPC 接続へのオンプレミス施設に関する課題が頻繁に生じます。
このホワイトペーパーでは、Amazon Virtual Private Cloud
序章
AWS のお客様は、アクセス許可、コスト、サービスを分割する管理境界を表すリソースを 1 つの AWS アカウントで構築することから始めます。ただし、顧客の組織が成長するにつれて、コストのモニタリング、アクセスの制御、環境管理の簡素化のために、サービスのセグメント化を強化する必要があります。マルチアカウントソリューションでは、IT サービスと組織内のユーザーに特定のアカウントを提供することで、これらの問題を解決します。 には、 など、このインフラストラクチャを管理および設定するためのツールがいくつか AWS 用意されていますAWS Control Tower
を使用してマルチアカウント環境を設定すると AWS Control Tower、2 つの組織単位 (OUsが作成されます。
-
セキュリティ OU – この OU 内には、次の 2 つのアカウント AWS Control Tower を作成します。
-
ログアーカイブ
-
監査 (このアカウントは、ガイダンスで前述したセキュリティツールアカウントに対応します)。
-
サンドボックス OU – この OU は、 内で作成されたアカウントのデフォルトの送信先です AWS Control Tower。これには、チームの許容可能な使用ポリシーに従って、ビルダーが AWS のサービス、およびその他のツールやサービスを試すことができるアカウントが含まれています。
AWS Control Tower では、追加の OUs を作成、登録、管理して初期環境を拡張し、ガイダンスを実装できます。
次の図は、 によって最初にデプロイされた OUs を示しています AWS Control Tower。 AWS 環境を拡張して、 図に含まれている推奨 OUs のいずれかを実装して、要件を満たすことができます。
を使用したマルチアカウント環境の詳細については AWS Control Tower、「複数アカウントを使用した AWS 環境の整理」ホワイトペーパーの「付録 E」を参照してください。
注記
このホワイトペーパーでは、「Control Tower」は、ワークロードをデプロイするスケーラブルで安全でパフォーマンスの高いマルチアカウント/マルチ VPC セットアップの広義の用語です。この設定は、さまざまなツールを使用して構築できます。マルチアカウントクラウド基盤のベストプラクティス、設計原則、利点の詳細については、「複数アカウントを使用した AWS 環境の整理」ホワイトペーパーを参照してください。
ほとんどのお客様は、インフラストラクチャをデプロイするためにいくつかの VPCsから始めます。お客様が作成する VPCs の数は、通常、アカウント、ユーザー、ステージング環境 (本番稼働、開発、テストなど) の数に関連しています。クラウドの使用が増えるにつれて、顧客がやり取りするユーザー、ビジネスユニット、アプリケーション、リージョンの数も増加し、新しい VPCsが作成されます。
VPCs の数が増えるにつれて、クロス VPC 管理はお客様のクラウドネットワークの運用に不可欠です。このホワイトペーパーでは、VPC 間およびハイブリッド接続における 3 つの特定の分野のベストプラクティスについて説明します。
-
ネットワーク接続 — VPCsとオンプレミスネットワークを大規模に相互接続します。
-
ネットワークセキュリティ — ネットワークアドレス変換 (NAT) ゲートウェイ 、VPC エンドポイント 、、、Gateway Load Balancer https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/
などのインターネットAWS PrivateLink AWS Network Firewall とエンドポイントにアクセスするための一元的な出力ポイントを構築します。 -
DNS 管理 — Control Tower およびハイブリッド DNS 内の DNS を解決します。
IP アドレスの計画と管理
スケーラブルなマルチアカウントマルチ VPC ネットワーク設計を構築するには、IP アドレスの計画と管理が不可欠です。適切な IP アドレス指定スキームでは、現在および将来のネットワークニーズを考慮する必要があります。IP アドレススキーム IP は、オンプレミスのワークロード、クラウドワークロードをカバーする必要があり、将来の拡張 (新しい AWS リージョン、ビジネスユニット、合併や買収の追加など) も可能にする必要があります。また、チームが誤って重複する IP CIDRs。分離されたワークロードや切断されたワークロードなど、重複する IP CIDR が必要な場合は、この決定を意識し、ルーティング、セキュリティ、コストへの影響を考慮する必要があります。また、このような例外に対して必要な承認プロセスの作成を検討する必要がある場合もあります。適切な IP アドレス指定スキームは、ネットワーク設計とルーティング設定の簡素化にも役立ちます。
主な考慮事項:
-
IP アドレス指定スキーム (パブリック IP とプライベート IPsを事前に計画し、IP アドレス管理ツールを選択して、すべてのワークロードで IP アドレスの使用状況を割り当て、管理、追跡します。
-
階層型および要約型の IP アドレス指定スキームを使用します。
-
環境、組織、またはビジネスユニットに基づいて AWS リージョン、一貫した IP 割り当てを計画します。
-
オンプレミスネットワークとクラウドネットワーク用に個別の IP CIDRs (IPv4 と IPv6 の両方) を指定します。
-
重複する IP CIDRs。
-
IP CIDRsを適切に設定して、スケーリングと将来の成長を可能にします。
-
IPv6 またはデュアルスタックの互換性のためにワークロードを有効にして、IP の競合を減らし、IPv4 スペースの枯渇に対処します。
Amazon VPC IP Address Manager (IPAM) を使用すると、 AWS ワークロードのパブリック IP アドレスとプライベート IP アドレスの両方の計画、追跡、モニタリングを簡素化できます。IPAM を使用すると、複数の および 間で IP アドレス空間を整理、割り当て、モニタリング AWS リージョン 、共有できます AWS アカウント。また、特定のビジネスルールを使用して CIDRsを VPCsに自動的に割り当てるのにも役立ちます。
ブログ投稿の「Amazon VPC IP Address Manager のベストプラクティス
Well-Architected の実現状況の確認
AWS
Well-Architected フレームワーク
クラウドアーキテクチャに関する専門的なガイダンスやベストプラクティス (リファレンスアーキテクチャのデプロイ、図、ホワイトペーパー) については、AWS アーキテクチャセンター