【初者向け webinar aws上でのネットワーク構築€¦ · aws上で社内業務 ......
TRANSCRIPT
-
【初⼼心者向けWebinar】AWS上でのネットワーク構築
2015/01/08
アマゾン データ サービス ジャパン株式会社ソリューションアーキテクト ⾈舟崎健治
-
アジェンダ
• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ
-
アジェンダ
• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ
-
Introduction
AWS上でインターネットからアクセス可能なアプリケーションを動作させたい。
AWS上で社内業務アプリケーションを動作させたい。
インターネットからアクセスできる領領域を制限したい。
社内とセキュアに接続させたい。
-
オンプレミス環境でのネットワークのイメージ
• AWS上でネットワークを構築する場合は、ユーザーが物理理的なハードウェアの導⼊入・管理理を⾏行行う必要はありません。
-
オンプレミス環境で構築したシステムの例例
データセンター オフィス
管理理者
管理理者
踏み台
インターネットからアクセス可能なパブリック領領域
インターネットから直接アクセスできないプライベート領領域
エンドユーザ
LB
Web Web VPNルータ
VPNルータ
オフィスからのVPN接続
踏み台サーバ経由で各サーバへのリモートログイン
-
AWS上でもオンプレミス環境に類似した⾃自社専⽤用の仮想ネットワークを構築可能
データセンター オフィス
管理理者
管理理者
踏み台
インターネットからアクセス可能なPublic Subnet
インターネットから直接アクセスできないPrivate Subnet
エンドユーザ
LB
Web Web VPNルータ
VPNルータ
オフィスからのVPN接続
踏み台サーバを経由で各サーバへのリモートログイン
-
AWS上の仮想ネットワークを利利⽤用するメリット
• AWSアカウント登録をしたらすぐに利利⽤用可能• 簡単に⾃自社専⽤用の仮想ネットワークを構築可能• 物理理的なデータセンターの利利⽤用契約やネットワーク機器の配備は不不要
• インターネットからアクセスできない、社内ユーザのみアクセス可能な仮想ネットワークの構築が可能
• 仮想ネットワークの構築⾃自体は無料料
-
本Webinarでは、AWS上で仮想ネットワークの活⽤用・構築⽅方法や、オンプレミスとのVPN接続⽅方法について、構成例例を交えて紹介いたします。
-
AWSシンプルアイコンを使って構成図を作成しましょう
• プレゼンテーションや技術資料料に使⽤用可能なAWSサービスやリソースのアイコンを⾃自由に利利⽤用可能
• AWSシンプルアイコンのダウンロード– http://aws.amazon.com/jp/architecture/icons/
http://aws.amazon.com/jp/architecture/icons/
-
アジェンダ
• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ
-
AWSのグローバルインフラUS West(Northern California)
US East(Northern Virginia)
EU(Ireland)
Asia Pacific
(Singapore)
Asia Pacific(Tokyo)
GovCloud(US ITAR Region)
US West(Oregon)
South America(Sao Paulo)
AWS RegionsAWS Edge Locations
EU(Frankfurt)
※2015/01/08時点詳細http://aws.amazon.com/jp/about-aws/global-infrastructure/
Asia Pacific(Sydney)
China(Beijing)
http://aws.amazon.com/jp/about-aws/global-infrastructure/
-
アベイラビリティゾーン(AZ)EU (Ireland)
AvailabilityZone A
AvailabilityZone C
AvailabilityZone B
Asia Pacific (Tokyo)
AvailabilityZone A
AvailabilityZone B
US West (Oregon)
AvailabilityZone A
AvailabilityZone B
US West(Northern California)
AvailabilityZone A
AvailabilityZone B
Asia Pacific (Singapore)
AvailabilityZone A
AvailabilityZone B
AWS GovCloud (US)
AvailabilityZone A
AvailabilityZone B
South America (Sao Paulo)
AvailabilityZone A
AvailabilityZone B
US East (Northern Virginia)
AvailabilityZone D
AvailabilityZone C
AvailabilityZone B
AvailabilityZone A
EU (Frankfurt)
AvailabilityZone A
AvailabilityZone B
-
Amazon VPC(Virtual Private Cloud)• クラウド内にPrivateネットワークを構築可能• 企業イントラの延⻑⾧長/1拠点としてAWSを利利⽤用• リージョン内でAZをまたがって構築可能
リージョン
VPC
イントラPrivate
SubnetPublic
Subnetインターネット
分離離したNW領領域を作成
ゲートウェイ
VPN接続専⽤用線
-
VPC CIDRとSubnetについて
Subnet: 10.0.1.0/24VPC 10.0.0.0/16
WebServer
WebServer
Subnet: 10.0.2.0/24
CIDR IP Address数xxx.xxx.xxx.xxx/16 65,534xxx.xxx.xxx.xxx/20 4,094xxx.xxx.xxx.xxx/24 254xxx.xxx.xxx.xxx/28 14
作成後は、VPCのサイズやアドレスブロックは変更更できないので注意!!
-
Elastic Network Interfaces
• EC2インスタンスごとに仮想ネットワークインタフェースを複数持てる機能– VPC内でのみ利利⽤用可能
• 以下をENIに紐紐づけて維持可能– Private IP– Elastic IP– MACアドレス– セキュリティグループ
• インスタンスによって割り当て可能な数が異異なる。詳細は以下。– http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html
http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html
-
Route Tableについて
• 各SubnetはRoute Tableを持っている。設定を変更更することでデータの流流れを制御可能。
Public SubnetのRoute Table
Private SubnetのRoute Table
IGW(Internet Gateway)へのルーティングがあるので、インターネットへのアクセス
が可能
-
VPC Peering
• 複数のVPCをPeeringする機能。• これにより⼿手軽にVPC間を繋げて、Private IPで通信することが可能になった。
• 同⼀一AWSアカウントのVPC間はもちろん、異異なるAWSアカウントのVPC間をPeeringすることも可能。
VPC-A -> VPC-B -> VPC-C といった2ホップ以上のRoutingはできないので要注意
→AとC間でRoutingするには、AとCでPeering接続する
-
Amazon EC2(Elastic Compute Cloud)
1任意のゾーンに分散配置可能
リージョンアベイラビリティゾーン A
EC2アベイラビリティ
ゾーン BEC2
EC2
• 数分で起動可能な仮想サーバ• 1時間ごとの従量量課⾦金金で利利⽤用可能• スケールアップ/ダウン、アウト/イ
ンが即座に可能
• Windows, Linuxなどx86アーキテクチャのOS利利⽤用可能– Windowsライセンスも従量量課⾦金金
• OS以上はお客様の⾃自由– お⼿手持ちのソフトをそのまま利利⽤用※EC2で起動した仮想サーバのことをEC2インス
タンスと⾔言います。
-
VPC Security Group
Security Group
EC2Instance Port 22
(SSH)
Port 80(HTTP)
• VPC環境ではトラフィック(Inbound)をブロックするだけでなく、EC2からのトラフィック(Outbound)を制限する事も可能– ネットワークポートやアクセス元のIPで制限可能
-
AWS SDK/CLI
EC2起動、停⽌止
ManagementConsole (Web)
ユーザ名・パスワード
AWS管理理者・オペレータ
各⾔言語ごとのSDK アクセスキー・
シークレットキー
AWS CLI
>
REST APIVPC作成、削除、変更更
-
AWSアカウント登録について
• Webフォーム上で数分程度度の登録作業をするだけで、すぐさまAWSを利利⽤用可能
• AWSアカウント作成の流流れhttp://aws.amazon.com/jp/register-flow/
• AWSアカウント作成⽅方法についての動画(⽇日本語字幕付き)http://aws.amazon.com/jp/getting-started/
http://aws.amazon.com/jp/register-flow/http://aws.amazon.com/jp/getting-started/
-
AWSアカウント登録にあたってのTips
• 無料料利利⽤用枠をご利利⽤用可能• クレジットカードは個⼈人⽤用・法⼈人⽤用いずれも利利⽤用可能• 登録したメールアドレスやクレジットカードは、後からでも変更更が可能– 利利⽤用開始当初は個⼈人のクレジットカードで登録、毎⽉月経費精算を⾏行行い、利利⽤用増加に伴い法⼈人⽤用のクレジットカードに切切り替える、等
-
AWSマネージメントコンソールにログイン
• アカウント登録後にAWSのTopページへアクセスhttp://aws.amazon.com/jp/
• 登録したメールアドレス、パスワードでログインする
http://aws.amazon.com/jp/
-
ログインが成功すると以下のサービスの⼀一覧画⾯面が表⽰示される
-
VPCのマネージメントコンソール画⾯面へアクセス
• 既に1つVPC(Default VPC)が作成されている。
-
Default VPCとは?
• 2013年年12⽉月4⽇日より後に作成されたAWSアカウントで⾃自動的に作成されているVPC
• VPCを別途作成しなくとも、EC2インスタンスをDefault VPC内に起動可能
• 各AZに1つずつDefaultSubnetが作成されている。• SubnetのプライベートIPアドレスは
172.31.0.0/20, 172.31.16.0/20で、Subnetごとに最⼤大4096個のIPアドレスを提供する • Default VPCのCIDRブロックは
172.31.0.0/16で、最⼤大65,556個のIPアドレスを提供する
-
EC2インスタンスをDefault VPC内に起動する
Default VPC内に起動する場合は、明⽰示的にSubnetを指定しなくても、Default Subnetいずれかに起動させることが可能
明⽰示的にSubnet指定も可能
Default VPCが選択されている。
⾃自動的にPublic IPが割り当たる設定
Step 1: AMI(Amazon Machine Image)の選択
Step 2: インスタンスタイプの選択
Step 3: 起動台数、ネットワークの選択(重要)
Step 4: ストレージの選択
Step 5: インスタンスへのタグ付け
Step 6: セキュリティグループの設定
Step 7: 起動設定の確認
Step 8: 使⽤用するキーペアを作成または選択して起動
EC2インスタンス起動⼿手順
-
Default VPCを本番環境⽤用に使うべきか?
• Default VPCで他のVPC同様に設定変更更が可能• ただし、以下の制限がある
– Default VPCを削除すると、ユーザー側で復復元は不不可。復復元する場合はAWSサポートにお問い合わせ頂く必要あり。
– CIDRブロックは172.31.0.0/16で固定のため、任意のCIDRブロックはDefault VPCでは利利⽤用不不可
• 上記制限を回避するため、別途⾃自⾝身で作成したVPCを使⽤用すると良良い。
-
アジェンダ
• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ
-
VPCを作成する
Availability Zone
Availability Zone
PublicSubnet
PrivateSubnet
Internet gateway
PublicSubnet
PrivateSubnet
複数のAZをまたがる構成にすることで⾼高可⽤用性を維持できるようにする。
PublicおよびPrivateのSubnetを1つずつ作成
-
VPCおよびSubnetを作成・設定する⼿手順の流流れについて
Step 1:VPCを作成する
Step 2: Subnetを作成する
Step 3:Internet Gatewayを作成、VPCにアタッチする
Step 4: Route Tableの作成、Internet GatewayへのRouteを追加する
Step 5: SubnetのRoute Tableを変更更する
-
VPCを作成する
-
VPCを作成する
-
Subnetの作成
• 同様にPrivate⽤用のSubnetや、別のAZにもPublicおよびPrivateのSubnetを追加する。
-
Internet Gatewayの作成
-
Internet GatewayをVPCにアタッチする
-
Route Tableの作成
-
作成したRoute TableにInternet GatewayへのRouteを追加する
-
作成したRoute TableにInternet GatewayへのRouteを追加する
-
SubnetのRoute Tableを変更更する
-
SubnetとRoute Tableの関係について
• Subnetに対してRoute Tableを割り当てる形
VPC subnet1
VPC subnet2
VPC subnet3
Destination Target
10.0.0.0/16 local0.0.0.0 Internet
Gateway
Destination Target
10.0.0.0/16 local
Route Table A
Route Table B
-
作成したVPCのPublic SubnetにEC2インスタンスを起動
作成したPublic Subnetを選択
作成したVPCを選択。
⾃自動的にPublic IPが割り当たる設定を有効にする。
Step 1: AMI(Amazon Machine Image)の選択
Step 2: インスタンスタイプの選択
Step 3: 起動台数、ネットワークの選択(重要)
Step 4: ストレージの選択
Step 5: インスタンスへのタグ付け
Step 6: セキュリティグループの設定
Step 7: 起動設定の確認
Step 8: 使⽤用するキーペアを作成または選択して起動
-
作成したVPCのPublic SubnetにEC2インスタンスを起動
新しいセキュリティグループを作成
Linuxの場合はSSH⽤用(22番)ポート、Windowsの場合はRDP⽤用(3389番)ポートを許可する。
Step 1: AMI(Amazon Machine Image)の選択
Step 2: インスタンスタイプの選択
Step 3: 起動台数、ネットワークの選択(重要)
Step 4: ストレージの選択
Step 5: インスタンスへのタグ付け
Step 6: セキュリティグループの設定
Step 7: 起動設定の確認
Step 8: 使⽤用するキーペアを作成または選択して起動
Sourceに0.0.0.0/0を指定することで、どのIPからの接続も許可。EC2インスタンスとネットワークが導通していれば接続可能
-
起動したEC2インスタンスにインターネット経由でSSHログインできることを確認する
Availability Zone
Availability Zone
Public subnet
Internet gateway
管理理者Private subnet
Public subnet Private subnet
-
アジェンダ
• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ
-
EC2インスタンスのPublic IPアドレスの固定
• ⾃自動でPublic IPアドレスが割り当たる設定の場合、新規EC2インスタンスを起動、あるいは既存の停⽌止状態のEC2インスタンスを起動するたびにPublic IPアドレスは変わる。
• Public IPアドレスを固定するには、Elastic IPを取得してEC2インスタンスに割り当てる
ネットワークアドレス変換
InternetPublic IPアドレス→ Elastic IP
PrivateIPアドレス
-
Elastic IPの利利⽤用について• Elastic IPを効率率率よくご使⽤用頂くために、以下の場合に少額の時間単位
課⾦金金が発⽣生する– 起動中のEC2インスタンスに割り当てられていないElastic IPがある– 停⽌止しているEC2インスタンスにElastic IPが割り当てられている– アタッチされていないネットワークインタフェースにElastic IPが割り当てられている– 1か⽉月間でElastic IPのリマップ(EC2インスタンスへの割り当てまたは取り外し)が100回を
超えた場合
• コストを最⼩小限に抑えるには、Elastic IPの利利⽤用を最⼩小限にすると良良い。– 外部サイトとEC2インスタンスが接続するときに、外部サイト側でIPアドレスによるアクセス
制限がある場合、など– (ご参考)ELB経由でEC2インスタンスにアクセスさせる場合は、Elastic IPの割り当ては不不要
Elastic IPは不不要ELBにアタッチするときには、EC2のインスタンスIDを利利⽤用
-
EC2インスタンスのPrivate IPアドレスの固定
• EC2インスタンス起動時にプライマリのネットワークインタフェース⽤用にPrivate IPアドレスを指定可能
• セカンダリのネットワークインタフェース⽤用のENIは、起動後に動的に追加・取り外しが可能
ENI
VPC subnet
ENI
VPC subnet
• Private IP: 10.0.0.10• Public IP: x.x.x.x
(OS上ではeth0として⾒見見える。)
• Private IP: 10.0.1.10• Public IP: x.x.x.x
(OS上ではeth1として⾒見見える。)
10.0.0.0/24 10.0.1.0/24
-
ENIの利利⽤用について• 1つのEC2インスタンスに複数個のENIを割り当て可能• EC2のインスタンスタイプによって、割り当て可能な
ENIの数が異異なる。– http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-
eni.html#AvailableIpPerENI• 主な利利⽤用例例
HA構成時のフェイルオーバー メール送信サーバ(SMTPリレー⽤用)
ENI
VPC subnet
VPC subnet
ENI
ENI
ENIの付け替え
ENI
VPC subnet
ENI
ENI
ENI
異異なるIPからメール送信
※ENIはAZをまたぐことはできないので要注意
http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI
-
Subnet間の通信について
• デフォルトでは、同じVPC内のすべてのSubnetは相互に通信可能
• SubnetごとのNetwork Access Control(NACL)を使うことで、相互の通信の制限が可能
Availability Zone
Availability Zone
Public subnet
Internet gateway
Private subnet
router
Public subnet Private subnet
NACLの例例
-
VPC Security GroupとNACL(Network Access Control List)
InstanceレベルでIn/Outのアクセス制御
SubnetレベルでIn/Outのアクセス制御
-
踏み台⽤用サーバを経由して、Private Subnetへアクセスする構成
Virutal Private Cloud
管理理者
踏み台
Private Subnet
Public Subnet
Internet gateway
Windowsの場合は、Remote Desktop Gatewayを踏み台⽤用EC2インスタンス上で⽴立立てる構成が可能。踏み台経由でPrivate SubnetのEC2 WindowsインスタンスにRemote Desktop接続が可能
-
Private SubnetにあるEC2インスタンスが外部へアウトバウンド通信するには• NATインスタンスを追加・経由させることでアウトバウント通信が可能
• 主な⽤用途– DBインスタンスのパッチ適⽤用– ログファイル等の外部保存– 外部のAWS APIエンドポイントを利利⽤用する
Public subnetInternet gateway
Private subnet
Destination Target
10.0.0.0/16 local0.0.0.0 Internet
Gateway
Destination Target
10.0.0.0/16 local0.0.0.0 i-xxxxx
(NATインスタンスID)
別の拠点とVPNや専⽤用線で接続して、その拠点先のInternet Gateway経由でアウトバウンド通信することもRoutingの設定次第で可能
-
NATインスタンスの追加・設定⽅方法
1. NAT⽤用のEC2インスタンスをPublic Subnetに起動
2. 起動したNAT⽤用のEC2インスタンスのSrcDestCheck(送信元・送信先チェック)を無効にする– デフォルトでは有効になっており、トラ
フィックの送信元・送信先がそのEC2インスタンスであるかどうかのチェックが⾏行行われている。
3. Private SubnetのRoute Tableに以下の⾏行行を追加する
EC2起動画⾯面にて、「amzn-ami-vpc-nat」で該当するAMIを選択して起動
Destination Target
0.0.0.0 i-xxxxx(NATインスタンスID)
-
アジェンダ
• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ
-
オンプレミスとVPCのサイト間接続
• VPCでは以下の2通りのサイト間接続が提供されている。– IPSec VPN接続– AWS Direct Connectを使った専⽤用線接続
• 別途EC2インスタンス上にVPNサーバソフトウェアを動作させることで、VPN接続させる⽅方法も可能(後述)
-
オンプレミスとVPCのサイト間VPN接続について
• 右図は1台のCustomer GatewayからVPCに接続する構成の例例
• 2本のVPN接続で冗⻑⾧長化する。• Customer Gateway装置は動的ルーティングに対応したものの利利⽤用を推奨(BGPを利利⽤用)– BGPを使うことで、プライマリのVPN接続が万が
⼀一切切断された場合に、セカンダリのVPN接続側にRoutingされるように⾃自動切切り替えが可能なため
-
オンプレミスとVPCのサイト間VPN接続⽅方法
Step 1: オンプレミス側にCustomer Gateway装置を⽤用意する
Step 2: VPCマネージメントコンソールにてVirtual Private Gateway (VGW)を作成して、VPCにアタッチする
Step 3: VPCマネージメントコンソールにてCustomer Gatewayを登録
Step 4: VPC Connectionの作成
Step 7: SubnetのRoute Tableで、VGWへのRoutingを設定する
※VPCは作成済みとする
Step 5: Customer Gateway⽤用のConfigファイルをダウンロードしてロードする。
Step 6: VPN ConnectionのステータスがUPになることを確認する
-
Step 1: VPCとのVPN接続が可能なCustomer Gatewayをオンプレミス側に⽤用意する• 以下VPCとサイト間VPN接続が可能なCustomer Gateway装置(動的ルー
ティング対応)の例例– Astaro Security Gateway バージョン8.3以降降– Astaro Security Gateway Essential Firewall Edition バージョン8.3以降降– Cisco ISR(IOS 12.4 以降降のソフトウェアを実⾏行行)– Dell Sonicwall– Fortinet Fortigate 40+ シリーズ(FortiOS 4.0 以降降のソフトウェアを実⾏行行)– Juniper J シリーズサービスルーター(JunOS 9.5 以降降のソフトウェアを実⾏行行)– Juniper SRX シリーズサービスゲートウェイ(JunOS 9.5 以降降のソフトウェアを実⾏行行)– ScreenOS 6.1 もしくは 6.2(またはそれ以降降)を実⾏行行する Juniper SSG– ScreenOS 6.1 もしくは 6.2(またはそれ以降降)を実⾏行行する Juniper ISG– Palo Alto Networks PA シリーズ(PANOS 4.1.2 以降降のソフトウェアを実⾏行行)– Vyatta Network OS 6.5 以降降のソフトウェア– ヤマハ RTX1200 ルーター
• 詳細– http://aws.amazon.com/jp/vpc/faqs/
http://aws.amazon.com/jp/vpc/faqs/
-
Step 2: Virtual Private Gateway(VGW)を作成、VPCにアタッチする
-
Step 3: Customer Gatewayの登録
-
Step 4: VPN Connectionの作成
-
Step 5: Customer Gateway⽤用のConfigファイルをダウンロードして、Customer Gatewayにその設定をロードする
-
Step 6:VPN ConnectionのステータスがUPになることを確認する
-
Step 7: VPCSubnetのRoute Tableにて、VGWへのRoutingを設定する
• サイト間VPN接続の詳細な⼿手順は以下をご参照ください。– http://adsj-contents.s3.amazonaws.com/misc/VPNConnectionInstruction-
20141225.pdf
http://adsj-contents.s3.amazonaws.com/misc/VPNConnectionInstruction-20141225.pdf
-
オンプレミスとのサイト間VPN接続構成の例例
• 社内業務アプリケーションをAWS上で配置
virtual private cloud
VPC private subnet
業務Appサーバ
社内LAN
virtual private gateway
customer gateway
VPN connection
users
Internet GatewayにRoutingされない
-
VPN接続の注意事項
• 動的ルーティングに対応していないCustomer Gatewayを利利⽤用する場合には、プライマリのVPN接続が切切れると⼿手動でセカンダリのVPN接続でルーティングするように切切り替える必要がある。– 動的ルーティングに対応したCustomer Gatewayの利利⽤用を推奨(再掲)
• 1つのVPCあたり、最⼤大10拠点までサイト間VPN接続が可能– 10拠点を超える場合は、以下の2パターンを検討
• AWSとVPN接続した先のデータセンターで複数拠点と接続• EC2インスタンス上でVPNサーバソフトウェアを稼働させる
-
AWSとVPN接続した先のデータセンターで複数拠点と接続例例(10拠点以上必要な場合の例例)
virtual private cloud corporate data center
virtual private gateway
customer gateway
VPN connection
拠点1
拠点2
拠点3
拠点N
customer gateway
・・・
-
EC2インスタンス上でVPNサーバソフトウェアを稼働させて、多数のVPNクライアントから接続する
virtual private cloud
VPC public subnet
VPNクライアント1
VPNクライアント2
VPNクライアント3
VPNクライアントN
VPNサーバ
・・・
拠点1
拠点2
拠点3
拠点NVyattaを活⽤用するなど
-
VPCとオンプレミス間を専⽤用線で接続するには?
• AWS Direct Connectを活⽤用する– 帯域スループット向上– インターネットベースの接続よりも
⼀一貫性がある
• AWS Direct Connectの詳細– http://adsj-contents.s3.amazonaws.com/meister-
re%3AGenerate/20130904_AWS-Meister-reGenerate-VPC-DXVPN.pdf
http://adsj-contents.s3.amazonaws.com/meister-re:Generate/20130904_AWS-Meister-reGenerate-VPC-DXVPN.pdf
-
アジェンダ
• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ
-
PublicまたはPrivate、どちらのSubnetにEC2インスタンスを配置すべきか?• Public Subnet、Private Subnetのメリット・デメリットを考慮して選定する。
• 外部からの脅威のみではなく、必要に応じて外部のサービスとの通信の可⽤用性についても考慮する。
-
Public SubnetにEC2インスタンスを配置する場合について• メリット
– インターネットと直接通信が可能– Public Subnet内に起動するEC2インスタンスのセキュリティグループやNACLでイン
ターネットからのアクセスを許可しない設定をすることで、外部からの直接のインバウンドアクセスを制限可能(NATインスタンスを経由させる必要はなし)
• デメリット– セキュリティグループやNACLで外部からのアクセスを許可する場合は、必要に応じて外
部からの脅威に対するセキュリティ対策を検討する• 主な利利⽤用例例
– AWSのAPIエンドポイントとの通信。以下その例例• S3へのログファイル保存• DynamoDBとの通信
– その他外部のサービスとの連携
-
他のAWSのサービスとの連携• AWSのAPI利利⽤用にはインターネット接続が必須。NATインスタンスを
経由したインターネット接続の場合には、NATの⾼高可⽤用性を検討する。– EC2、ELB、RDS等はVPC内部で起動して、相互に通信が可能(下記はその⼀一例例)
virtual private cloud
VPC subnet
RDS DB instance
RDS DB instance standby
(Multi-AZ)
EC2instances
Elastic LoadBalancing
ElastiCachenode
Amazon S3
AmazonDynamoDB
AmazonSimple Queue
Service
Internet gateway
-
Private SubnetにEC2インスタンスを配置する場合について• メリット
– インターネットから直接インバウンド通信ができないため、外部からの脅威のリスクを軽減可能
• デメリット– 外部へ直接アウトバウンド通信ができないため、NATインスタンスを経由させるか、
VPN/専⽤用線接続した先のサイトのInternet Gatewayを経由させる必要がある。
• 主な利利⽤用例例– Webサーバの配置
• LBのみPublic Subnetに配置する– DBサーバの配置
-
複数のお客様またはプロジェクト向けにネットワークを構成するには?• 以下の2パターンのメリット・デメリットを考慮の上でお客様の
環境に合う⽅方を選定する。– お客様ごとにVPCを別途作成する場合
• VPC間はVPC Peering機能により接続は可能– ただし、VPC-A -> VPC-B -> VPC-Cといった2ホップ以上のルーティングは不不可
• お客様ごとにAWSアカウントを分けることで、アクセス権限の管理理、使⽤用料料⾦金金の切切り分けが容易易に実現可能
– ⼀一⽅方で、AWSサポートをご利利⽤用の場合は、AWSアカウントごとにAWSサポートの費⽤用がかかる。
– 1つのVPC内で混在させる場合• Subnet間の通信はNACLおよびセキュリティグループで制限可能• AWSリソースにタグ付けをすることで、タグごとに利利⽤用料料⾦金金を可視化可能
– ⼀一⽅方で、すべてのAWSリソースがタグ付けに対応していないため、すべての料料⾦金金の切切り分けには未対応
-
アジェンダ
• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ
-
まとめ
• VPCを活⽤用することで、簡単にすぐにAWS上に⾃自社専⽤用の仮想ネットワークを構築可能
• 複数のAZにまたがったネットワークを構築することで⾼高い可⽤用性を維持可能
• IPアドレスの固定やRoutingの変更更など、細かくネットワークの設定が可能
• オンプレミスとVPNまたは専⽤用線接続・Routingすることで、社内のプライベートIPを使って通信が可能
-
Q&A
-
参照リンク• AWSアカウント作成の流流れ
– http://aws.amazon.com/jp/register-flow/
• AWS Blackbelt Amazon VPC– http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-amazon-vpc
• Amazon VPC VPN接続設定 参考資料料– http://adsj-contents.s3.amazonaws.com/misc/VPNConnectionInstruction-20141225.pdf
• Amazon Virtual Private Cloudユーザーガイド– http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Introduction.html
• AWSクラウド活⽤用資料料集– http://aws.amazon.com/jp/aws-jp-introduction/
• 国内のお客様のAWS活⽤用事例例– http://aws.amazon.com/jp/solutions/case-studies-jp/
http://aws.amazon.com/jp/register-flow/http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-amazon-vpchttp://adsj-contents.s3.amazonaws.com/misc/VPNConnectionInstruction-20141225.pdfhttp://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Introduction.htmlhttp://aws.amazon.com/jp/aws-jp-introduction/http://aws.amazon.com/jp/solutions/case-studies-jp/
-
AWSをより深く理理解したい⽅方向けにクラスルームトレーニングを提供しています。
詳細: aws.amazon.com/training 認定資格試験
http://aws.amazon.com/training
-
公式Twitter/FacebookAWSの最新情報をお届けします
@awscloud_jp検索索
最新技術情報、イベント情報、お役⽴立立ち情報、お得なキャンペーン情報などを⽇日々更更新しています!
もしくはhttp://on.fb.me/1vR8yWm
-
AWSの導⼊入、お問い合わせのご相談• AWSクラウド導⼊入に関するご質問、お⾒見見積り、資料料請求をご希望のお客様は、以下のリンクよりお気軽にご相談ください。https://aws.amazon.com/jp/contact-us/aws-sales/