🐕
「ネットワーク構成図」というものを作ってみた
はじめに
今回は客先から以下の要望を満たすネットワーク設計図の作成を求められていると仮定して、AWSサービスを使用して設計してみました。
求められていること
・VPCは本番環境用に2つ、共通データ連携用に1つ必要
・3つのVPCはそれぞれ相互にデータを送受信するルートが必要
・共通データ連携用VPCは自社データセンターのデータを送受信する
・データセンターで取り扱うデータは重要情報のため、専用線で費用対効果の高い設計が望ましい
・今後数年はVPCが増加する可能性は無い
何をしなくてはいけないか整理をします
表にしてみました。
| 要件 | 実施する為に必要なサービス | 理由 |
|---|---|---|
| VPCは本番環境用に2つ、共通データ連携用に1つ必要 | VPC3つ | |
| 3つのVPCはそれぞれ相互にデータを送受信するルートが必要+今後数年はVPCが増加する可能性は無い為 | VPCピアリング | Transit Gatewayと比較されるところですが、「今後VPCが増える予定がない」と要件にある為、「1つのVPCあたりの最大125接続」までサポートしているVPCピアリングで問題ないです |
| 共通データ連携用VPCは自社データセンターのデータを送受信する+データセンターで取り扱うデータは重要情報のため、専用線で費用対効果の高い設計が望ましいです | Direct Connect | AWS VPNと比較されるところですが、①データセンターで取り扱うデータは重要情報のため、②専用線で費用対効果の高い設計が望ましい。その為、Direct Connectが適しています |
構成図
図に表すと以下のような構成になりました。
最後に
今回指定された要件以外で考慮すべき点はまだまだあると感じました。
例えば、VPCピアリングとTransit Gatewayのコスト面で、VPCピアリングは接続に対して課金は発生せず、異なるAZ間のトラフィック量に対して課金されます。一方、Transit Gatewayは時間単位の「アタッチメント数」、「トラフィック量」に対して課金されます。
また、セキュリティグループの参照において、VPCピアリングを使用すると、VPC間が同一リージョンの場合、ピアリング先の異なるVPCで作成されたセキュリティグループも対象に拡張できます。
ですが、Transit Gatewayでは対象に拡張できないため設計時に注意が必要であったりもします。
参考資料
Discussion