MEGAZONE

MEGAZONEブログ

インフラストラクチャー・アズ・コードを使ってネットワークを管理する方法
Cloud Operations re:Invent 2023

インフラストラクチャー・アズ・コードを使ってネットワークを管理する方法

How to manage your network using infrastructure as code

Pulisher : Enterprise Managed Service Group ミン・ジホ
Description : IaCを使ったネットワーク管理方法の紹介セッション

はじめに

私はTGWベースのネットワーク内のインフラを経験したことがありますが、ルーティングテーブルのルールなど、多くの複雑な作業が必要ですが、毎回繰り返される作業は変わりません。

繰り返される作業をパターン化し、IaCに適用させれば、問題が少なく、運用管理の面で楽になると思いました。 そのため、今回の機会を通じて、IaCを使ってネットワーク管理方法を聞いて経験してみたいと思いました。

セッションの概要紹介

AWSのワークロードが増加し、さまざまなAWSリージョンに拡張するにつれて、ネットワーク要素の作成と管理が難しくなります。 このビルダーセッションでは、AWS Transit GatewayベースのネットワークからAWS Cloud WANに移行する際に、IaC(Infrastructure as Code)を使用する推奨アプローチについて説明します。

さまざまなAWSリージョンに拡張するにつれて、ネットワーク要素の作成と管理が難しくなります。IaCを活用し、AWS Transit Gateway基盤のネットワークからAWS Cloud Wanへの移行を進める際、運用を簡素化することができます。

ネットワークとセキュリティに関する一般的な知識、AWSネットワークに関する200レベルの知識が必要です。

コードとしてのインフラに関する基本的な知識は、ラボの全体的な実装に役立ちます。

本日のワークショップでは、ネットワークポリシーを使用して大規模なグローバルネットワークリソースを作成しました。グローバルネットワークでセグメンテーションを作成し、異なるAWSリージョンにあるリソース間の動的ルーティングを簡素化します。

VPC、ファイアウォールコンピューティングワークロードなどのCloud WAN外部リソースを作成する際に、IaCとモジュラー戦略を使用します。

最初に行う実習は、ファイアウォールソリューションをCloud WANに移行することで、様々なリソースとモジュールがどのように動作するかを確認することができます。

次のステップでは、Transit GatewayからCloud WANにスポークVPCを移行します。

新しいネットワークが予想通りに動作することを確認した後、Transit Gatewayベースのネットワークを削除します。

目標は以下の通りです。

・AWS Cloud WANを使用してグローバルネットワークを管理する
・コード化されたインフラストラクチャでグローバル展開を簡素化
・ダウンタイムを最小限に抑えながらネットワーク移行を行う

Inspection VPCとAWSネットワークファイアウォールモジュールを作成します。

ネットワークファイアウォールリソースを作成し、ファイアウォールエンドポイントを送信するために必要な追加VPCルーティングを簡素化します。

EgressポリシーがあるVPCをAWS Cloud WANに接続し、Network Firewallを接続するコードです。

Inspection VPCモジュール定義では、接続にCloud WANのコアネットワークIDとARNを渡し、サブネット定義にdomain = “shared”タグを追加します。このタグはVPCモジュールによってコアネットワーク接続に追加されます。

上記のようにNetwork Firewall接続とAWS VPCをCloudWANで管理することで、簡単にリソースを再作成することができ、運営管理者の立場でははるかに少なくなります。

Network Managerに作成されたCore Networkと接続されたAttachmentです。

デフォルトのパス(0.0.0.0.0/0)は、検査VPC接続(両方のAWSリージョン)を指します。

検査VPCパスは共有セグメントで伝播されます。

Cloud WAN接続のタグは、新しいVPCを作成する際の設定を簡素化します。

何かが予想通りに動作しない場合、以前のネットワークに簡単にロールバックできる可能性を持つために、リソースを再作成するアプローチを採用しました。

リソースを再作成するアプローチを採用しました。

また、IaCを使用することで、新しいリソースの定義を簡素化することができます。

Transit Gateway接続の代わりに、Cloud WANに移行する方法は以下の通りです。

1.スポークVPCをCloud WANに接続します。
2.Transit Gateway接続の代わりに、Cloud WANのコアネットワーク接続を指すようにVPCルーティングを切り替えます。

セッションを終えて

AWS Cloud WANをIACに移行または運営をする時のメリットは何よりも自動化だと思います。

CloudWANを通じてセグメントを素早く生成し、基本添付ファイルにタグを指定することで行います。

このような自動化によってヒューマンエラーを防ぐことができる方法だと思います。

ブログ一覧

この記事の読者はこんな記事も読んでいます