【初⼼心者向けWebinar】AWS上でのネットワーク構築

2015/01/08

アマゾン データ サービス ジャパン株式会社ソリューションアーキテクト ⾈舟崎健治

アジェンダ

• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ

アジェンダ

• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ

Introduction

AWS上でインターネットからアクセス可能なアプリケーションを動作させたい。

AWS上で社内業務アプリケーションを動作させたい。

インターネットからアクセスできる領領域を制限したい。

社内とセキュアに接続させたい。

オンプレミス環境でのネットワークのイメージ

• AWS上でネットワークを構築する場合は、ユーザーが物理理的なハードウェアの導⼊入・管理理を⾏行行う必要はありません。

オンプレミス環境で構築したシステムの例例

データセンター オフィス

管理理者

管理理者

踏み台

インターネットからアクセス可能なパブリック領領域

インターネットから直接アクセスできないプライベート領領域

エンドユーザ

LB

Web Web VPNルータ

VPNルータ

オフィスからのVPN接続

踏み台サーバ経由で各サーバへのリモートログイン

AWS上でもオンプレミス環境に類似した⾃自社専⽤用の仮想ネットワークを構築可能

データセンター オフィス

管理理者

管理理者

踏み台

インターネットからアクセス可能なPublic Subnet

インターネットから直接アクセスできないPrivate Subnet

エンドユーザ

LB

Web Web VPNルータ

VPNルータ

オフィスからのVPN接続

踏み台サーバを経由で各サーバへのリモートログイン

AWS上の仮想ネットワークを利利⽤用するメリット

• AWSアカウント登録をしたらすぐに利利⽤用可能• 簡単に⾃自社専⽤用の仮想ネットワークを構築可能• 物理理的なデータセンターの利利⽤用契約やネットワーク機器の配備は不不要

• インターネットからアクセスできない、社内ユーザのみアクセス可能な仮想ネットワークの構築が可能

• 仮想ネットワークの構築⾃自体は無料料

本Webinarでは、AWS上で仮想ネットワークの活⽤用・構築⽅方法や、オンプレミスとのVPN接続⽅方法について、構成例例を交えて紹介いたします。

AWSシンプルアイコンを使って構成図を作成しましょう

• プレゼンテーションや技術資料料に使⽤用可能なAWSサービスやリソースのアイコンを⾃自由に利利⽤用可能

• AWSシンプルアイコンのダウンロード– http://aws.amazon.com/jp/architecture/icons/

http://aws.amazon.com/jp/architecture/icons/

アジェンダ

• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ

AWSのグローバルインフラUS West(Northern California)

US East(Northern Virginia)

EU(Ireland)

Asia Pacific

(Singapore)

Asia Pacific(Tokyo)

GovCloud(US ITAR Region)

US West(Oregon)

South America(Sao Paulo)

AWS RegionsAWS Edge Locations

EU(Frankfurt)

※2015/01/08時点詳細http://aws.amazon.com/jp/about-aws/global-infrastructure/

Asia Pacific(Sydney)

China(Beijing)

http://aws.amazon.com/jp/about-aws/global-infrastructure/

アベイラビリティゾーン(AZ)EU (Ireland)

AvailabilityZone A

AvailabilityZone C

AvailabilityZone B

Asia Pacific (Tokyo)

AvailabilityZone A

AvailabilityZone B

US West (Oregon)

AvailabilityZone A

AvailabilityZone B

US West(Northern California)

AvailabilityZone A

AvailabilityZone B

Asia Pacific (Singapore)

AvailabilityZone A

AvailabilityZone B

AWS GovCloud (US)

AvailabilityZone A

AvailabilityZone B

South America (Sao Paulo)

AvailabilityZone A

AvailabilityZone B

US East (Northern Virginia)

AvailabilityZone D

AvailabilityZone C

AvailabilityZone B

AvailabilityZone A

EU (Frankfurt)

AvailabilityZone A

AvailabilityZone B

Amazon VPC(Virtual Private Cloud)• クラウド内にPrivateネットワークを構築可能• 企業イントラの延⻑⾧長/1拠点としてAWSを利利⽤用• リージョン内でAZをまたがって構築可能

リージョン

VPC

イントラPrivate

SubnetPublic

Subnetインターネット

分離離したNW領領域を作成

ゲートウェイ

VPN接続専⽤用線

VPC CIDRとSubnetについて

Subnet: 10.0.1.0/24VPC 10.0.0.0/16

WebServer

WebServer

Subnet: 10.0.2.0/24

CIDR IP Address数xxx.xxx.xxx.xxx/16 65,534xxx.xxx.xxx.xxx/20 4,094xxx.xxx.xxx.xxx/24 254xxx.xxx.xxx.xxx/28 14

作成後は、VPCのサイズやアドレスブロックは変更更できないので注意！！

Elastic Network Interfaces

• EC2インスタンスごとに仮想ネットワークインタフェースを複数持てる機能– VPC内でのみ利利⽤用可能

• 以下をENIに紐紐づけて維持可能– Private IP– Elastic IP– MACアドレス– セキュリティグループ

• インスタンスによって割り当て可能な数が異異なる。詳細は以下。– http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html

http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html

Route Tableについて

• 各SubnetはRoute Tableを持っている。設定を変更更することでデータの流流れを制御可能。

Public SubnetのRoute Table

Private SubnetのRoute Table

IGW(Internet Gateway)へのルーティングがあるので、インターネットへのアクセス

が可能

VPC Peering

• 複数のVPCをPeeringする機能。• これにより⼿手軽にVPC間を繋げて、Private IPで通信することが可能になった。

• 同⼀一AWSアカウントのVPC間はもちろん、異異なるAWSアカウントのVPC間をPeeringすることも可能。

VPC-A -> VPC-B -> VPC-C といった2ホップ以上のRoutingはできないので要注意

→AとC間でRoutingするには、AとCでPeering接続する

Amazon EC2(Elastic Compute Cloud)

1任意のゾーンに分散配置可能

リージョンアベイラビリティゾーン A

EC2アベイラビリティ

ゾーン BEC2

EC2

• 数分で起動可能な仮想サーバ• 1時間ごとの従量量課⾦金金で利利⽤用可能• スケールアップ/ダウン、アウト/イ

ンが即座に可能

• Windows, Linuxなどx86アーキテクチャのOS利利⽤用可能– Windowsライセンスも従量量課⾦金金

• OS以上はお客様の⾃自由– お⼿手持ちのソフトをそのまま利利⽤用※EC2で起動した仮想サーバのことをEC2インス

タンスと⾔言います。

VPC Security Group

Security Group

EC2Instance Port 22

(SSH)

Port 80(HTTP)

• VPC環境ではトラフィック(Inbound)をブロックするだけでなく、EC2からのトラフィック(Outbound)を制限する事も可能– ネットワークポートやアクセス元のIPで制限可能

AWS SDK/CLI

EC2起動、停⽌止

ManagementConsole (Web)

ユーザ名・パスワード

AWS管理理者・オペレータ

各⾔言語ごとのSDK アクセスキー・

シークレットキー

AWS CLI

>

REST APIVPC作成、削除、変更更

AWSアカウント登録について

• Webフォーム上で数分程度度の登録作業をするだけで、すぐさまAWSを利利⽤用可能

• AWSアカウント作成の流流れhttp://aws.amazon.com/jp/register-flow/

• AWSアカウント作成⽅方法についての動画（⽇日本語字幕付き）http://aws.amazon.com/jp/getting-started/

http://aws.amazon.com/jp/register-flow/http://aws.amazon.com/jp/getting-started/

AWSアカウント登録にあたってのTips

• 無料料利利⽤用枠をご利利⽤用可能• クレジットカードは個⼈人⽤用・法⼈人⽤用いずれも利利⽤用可能• 登録したメールアドレスやクレジットカードは、後からでも変更更が可能– 利利⽤用開始当初は個⼈人のクレジットカードで登録、毎⽉月経費精算を⾏行行い、利利⽤用増加に伴い法⼈人⽤用のクレジットカードに切切り替える、等

AWSマネージメントコンソールにログイン

• アカウント登録後にAWSのTopページへアクセスhttp://aws.amazon.com/jp/

• 登録したメールアドレス、パスワードでログインする

http://aws.amazon.com/jp/

ログインが成功すると以下のサービスの⼀一覧画⾯面が表⽰示される

VPCのマネージメントコンソール画⾯面へアクセス

• 既に１つVPC（Default VPC)が作成されている。

Default VPCとは？

• 2013年年12⽉月4⽇日より後に作成されたAWSアカウントで⾃自動的に作成されているVPC

• VPCを別途作成しなくとも、EC2インスタンスをDefault VPC内に起動可能

• 各AZに１つずつDefaultSubnetが作成されている。• SubnetのプライベートIPアドレスは

172.31.0.0/20, 172.31.16.0/20で、Subnetごとに最⼤大4096個のIPアドレスを提供する • Default VPCのCIDRブロックは

172.31.0.0/16で、最⼤大65,556個のIPアドレスを提供する

EC2インスタンスをDefault VPC内に起動する

Default VPC内に起動する場合は、明⽰示的にSubnetを指定しなくても、Default Subnetいずれかに起動させることが可能

明⽰示的にSubnet指定も可能

Default VPCが選択されている。

⾃自動的にPublic IPが割り当たる設定

Step 1: AMI(Amazon Machine Image)の選択

Step 2: インスタンスタイプの選択

Step 3: 起動台数、ネットワークの選択（重要）

Step 4: ストレージの選択

Step 5: インスタンスへのタグ付け

Step 6: セキュリティグループの設定

Step 7: 起動設定の確認

Step 8: 使⽤用するキーペアを作成または選択して起動

EC2インスタンス起動⼿手順

Default VPCを本番環境⽤用に使うべきか？

• Default VPCで他のVPC同様に設定変更更が可能• ただし、以下の制限がある

– Default VPCを削除すると、ユーザー側で復復元は不不可。復復元する場合はAWSサポートにお問い合わせ頂く必要あり。

– CIDRブロックは172.31.0.0/16で固定のため、任意のCIDRブロックはDefault VPCでは利利⽤用不不可

• 上記制限を回避するため、別途⾃自⾝身で作成したVPCを使⽤用すると良良い。

アジェンダ

• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ

VPCを作成する

Availability Zone

Availability Zone

PublicSubnet

PrivateSubnet

Internet gateway

PublicSubnet

PrivateSubnet

複数のAZをまたがる構成にすることで⾼高可⽤用性を維持できるようにする。

PublicおよびPrivateのSubnetを１つずつ作成

VPCおよびSubnetを作成・設定する⼿手順の流流れについて

Step 1:VPCを作成する

Step 2: Subnetを作成する

Step 3:Internet Gatewayを作成、VPCにアタッチする

Step 4: Route Tableの作成、Internet GatewayへのRouteを追加する

Step 5: SubnetのRoute Tableを変更更する

VPCを作成する

VPCを作成する

Subnetの作成

• 同様にPrivate⽤用のSubnetや、別のAZにもPublicおよびPrivateのSubnetを追加する。

Internet Gatewayの作成

Internet GatewayをVPCにアタッチする

Route Tableの作成

作成したRoute TableにInternet GatewayへのRouteを追加する

作成したRoute TableにInternet GatewayへのRouteを追加する

SubnetのRoute Tableを変更更する

SubnetとRoute Tableの関係について

• Subnetに対してRoute Tableを割り当てる形

VPC subnet1

VPC subnet2

VPC subnet3

Destination Target

10.0.0.0/16 local0.0.0.0 Internet

Gateway

Destination Target

10.0.0.0/16 local

Route Table A

Route Table B

作成したVPCのPublic SubnetにEC2インスタンスを起動

作成したPublic Subnetを選択

作成したVPCを選択。

⾃自動的にPublic IPが割り当たる設定を有効にする。

Step 1: AMI(Amazon Machine Image)の選択

Step 2: インスタンスタイプの選択

Step 3: 起動台数、ネットワークの選択（重要）

Step 4: ストレージの選択

Step 5: インスタンスへのタグ付け

Step 6: セキュリティグループの設定

Step 7: 起動設定の確認

Step 8: 使⽤用するキーペアを作成または選択して起動

作成したVPCのPublic SubnetにEC2インスタンスを起動

新しいセキュリティグループを作成

Linuxの場合はSSH⽤用(22番)ポート、Windowsの場合はRDP⽤用(3389番）ポートを許可する。

Step 1: AMI(Amazon Machine Image)の選択

Step 2: インスタンスタイプの選択

Step 3: 起動台数、ネットワークの選択（重要）

Step 4: ストレージの選択

Step 5: インスタンスへのタグ付け

Step 6: セキュリティグループの設定

Step 7: 起動設定の確認

Step 8: 使⽤用するキーペアを作成または選択して起動

Sourceに0.0.0.0/0を指定することで、どのIPからの接続も許可。EC2インスタンスとネットワークが導通していれば接続可能

起動したEC2インスタンスにインターネット経由でSSHログインできることを確認する

Availability Zone

Availability Zone

Public subnet

Internet gateway

管理理者Private subnet

Public subnet Private subnet

アジェンダ

• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ

EC2インスタンスのPublic IPアドレスの固定

• ⾃自動でPublic IPアドレスが割り当たる設定の場合、新規EC2インスタンスを起動、あるいは既存の停⽌止状態のEC2インスタンスを起動するたびにPublic IPアドレスは変わる。

• Public IPアドレスを固定するには、Elastic IPを取得してEC2インスタンスに割り当てる

ネットワークアドレス変換

InternetPublic IPアドレス→  Elastic IP

PrivateIPアドレス

Elastic IPの利利⽤用について• Elastic IPを効率率率よくご使⽤用頂くために、以下の場合に少額の時間単位

課⾦金金が発⽣生する– 起動中のEC2インスタンスに割り当てられていないElastic IPがある– 停⽌止しているEC2インスタンスにElastic IPが割り当てられている– アタッチされていないネットワークインタフェースにElastic IPが割り当てられている– 1か⽉月間でElastic IPのリマップ（EC2インスタンスへの割り当てまたは取り外し）が100回を

超えた場合

• コストを最⼩小限に抑えるには、Elastic IPの利利⽤用を最⼩小限にすると良良い。– 外部サイトとEC2インスタンスが接続するときに、外部サイト側でIPアドレスによるアクセス

制限がある場合、など– （ご参考）ELB経由でEC2インスタンスにアクセスさせる場合は、Elastic IPの割り当ては不不要

Elastic IPは不不要ELBにアタッチするときには、EC2のインスタンスIDを利利⽤用

EC2インスタンスのPrivate IPアドレスの固定

• EC2インスタンス起動時にプライマリのネットワークインタフェース⽤用にPrivate IPアドレスを指定可能

• セカンダリのネットワークインタフェース⽤用のENIは、起動後に動的に追加・取り外しが可能

ENI

VPC subnet

ENI

VPC subnet

• Private IP: 10.0.0.10• Public IP: x.x.x.x

(OS上ではeth0として⾒見見える。）

• Private IP: 10.0.1.10• Public IP: x.x.x.x

(OS上ではeth1として⾒見見える。）

10.0.0.0/24 10.0.1.0/24

ENIの利利⽤用について• 1つのEC2インスタンスに複数個のENIを割り当て可能• EC2のインスタンスタイプによって、割り当て可能な

ENIの数が異異なる。– http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-

eni.html#AvailableIpPerENI• 主な利利⽤用例例

HA構成時のフェイルオーバー メール送信サーバ（SMTPリレー⽤用）

ENI

VPC subnet

VPC subnet

ENI

ENI

ENIの付け替え

ENI

VPC subnet

ENI

ENI

ENI

異異なるIPからメール送信

※ENIはAZをまたぐことはできないので要注意

http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI

Subnet間の通信について

• デフォルトでは、同じVPC内のすべてのSubnetは相互に通信可能

• SubnetごとのNetwork Access Control(NACL)を使うことで、相互の通信の制限が可能

Availability Zone

Availability Zone

Public subnet

Internet gateway

Private subnet

router

Public subnet Private subnet

NACLの例例

VPC Security GroupとNACL(Network Access Control List)

InstanceレベルでIn/Outのアクセス制御

SubnetレベルでIn/Outのアクセス制御

踏み台⽤用サーバを経由して、Private Subnetへアクセスする構成

Virutal Private Cloud

管理理者

踏み台

Private Subnet

Public Subnet

Internet gateway

Windowsの場合は、Remote Desktop Gatewayを踏み台⽤用EC2インスタンス上で⽴立立てる構成が可能。踏み台経由でPrivate SubnetのEC2 WindowsインスタンスにRemote Desktop接続が可能

Private SubnetにあるEC2インスタンスが外部へアウトバウンド通信するには• NATインスタンスを追加・経由させることでアウトバウント通信が可能

• 主な⽤用途– DBインスタンスのパッチ適⽤用– ログファイル等の外部保存– 外部のAWS APIエンドポイントを利利⽤用する

Public subnetInternet gateway

Private subnet

Destination Target

10.0.0.0/16 local0.0.0.0 Internet

Gateway

Destination Target

10.0.0.0/16 local0.0.0.0 i-xxxxx

(NATインスタンスID)

別の拠点とVPNや専⽤用線で接続して、その拠点先のInternet Gateway経由でアウトバウンド通信することもRoutingの設定次第で可能

NATインスタンスの追加・設定⽅方法

1. NAT⽤用のEC2インスタンスをPublic Subnetに起動

2. 起動したNAT⽤用のEC2インスタンスのSrcDestCheck（送信元・送信先チェック）を無効にする– デフォルトでは有効になっており、トラ

フィックの送信元・送信先がそのEC2インスタンスであるかどうかのチェックが⾏行行われている。

3. Private SubnetのRoute Tableに以下の⾏行行を追加する

EC2起動画⾯面にて、「amzn-ami-vpc-nat」で該当するAMIを選択して起動

Destination Target

0.0.0.0 i-xxxxx(NATインスタンスID）

アジェンダ

• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ

オンプレミスとVPCのサイト間接続

• VPCでは以下の2通りのサイト間接続が提供されている。– IPSec VPN接続– AWS Direct Connectを使った専⽤用線接続

• 別途EC2インスタンス上にVPNサーバソフトウェアを動作させることで、VPN接続させる⽅方法も可能（後述）

オンプレミスとVPCのサイト間VPN接続について

• 右図は1台のCustomer GatewayからVPCに接続する構成の例例

• 2本のVPN接続で冗⻑⾧長化する。• Customer Gateway装置は動的ルーティングに対応したものの利利⽤用を推奨（BGPを利利⽤用）– BGPを使うことで、プライマリのVPN接続が万が

⼀一切切断された場合に、セカンダリのVPN接続側にRoutingされるように⾃自動切切り替えが可能なため

オンプレミスとVPCのサイト間VPN接続⽅方法

Step 1: オンプレミス側にCustomer Gateway装置を⽤用意する

Step 2: VPCマネージメントコンソールにてVirtual Private Gateway (VGW)を作成して、VPCにアタッチする

Step 3: VPCマネージメントコンソールにてCustomer Gatewayを登録

Step 4: VPC Connectionの作成

Step 7: SubnetのRoute Tableで、VGWへのRoutingを設定する

※VPCは作成済みとする

Step 5: Customer Gateway⽤用のConfigファイルをダウンロードしてロードする。

Step 6: VPN ConnectionのステータスがUPになることを確認する

Step 1: VPCとのVPN接続が可能なCustomer Gatewayをオンプレミス側に⽤用意する• 以下VPCとサイト間VPN接続が可能なCustomer Gateway装置（動的ルー

ティング対応）の例例– Astaro Security Gateway バージョン8.3以降降– Astaro Security Gateway Essential Firewall Edition バージョン8.3以降降– Cisco ISR（IOS 12.4 以降降のソフトウェアを実⾏行行）– Dell Sonicwall– Fortinet Fortigate 40+ シリーズ（FortiOS 4.0 以降降のソフトウェアを実⾏行行）– Juniper J シリーズサービスルーター（JunOS 9.5 以降降のソフトウェアを実⾏行行）– Juniper SRX シリーズサービスゲートウェイ（JunOS 9.5 以降降のソフトウェアを実⾏行行）– ScreenOS 6.1 もしくは 6.2（またはそれ以降降）を実⾏行行する Juniper SSG– ScreenOS 6.1 もしくは 6.2（またはそれ以降降）を実⾏行行する Juniper ISG– Palo Alto Networks PA シリーズ（PANOS 4.1.2 以降降のソフトウェアを実⾏行行）– Vyatta Network OS 6.5 以降降のソフトウェア– ヤマハ RTX1200 ルーター

• 詳細– http://aws.amazon.com/jp/vpc/faqs/

http://aws.amazon.com/jp/vpc/faqs/

Step 2: Virtual Private Gateway(VGW)を作成、VPCにアタッチする

Step 3: Customer Gatewayの登録

Step 4: VPN Connectionの作成

Step 5: Customer Gateway⽤用のConfigファイルをダウンロードして、Customer Gatewayにその設定をロードする

Step 6:VPN ConnectionのステータスがUPになることを確認する

Step 7: VPCSubnetのRoute Tableにて、VGWへのRoutingを設定する

• サイト間VPN接続の詳細な⼿手順は以下をご参照ください。– http://adsj-contents.s3.amazonaws.com/misc/VPNConnectionInstruction-

20141225.pdf

http://adsj-contents.s3.amazonaws.com/misc/VPNConnectionInstruction-20141225.pdf

オンプレミスとのサイト間VPN接続構成の例例

• 社内業務アプリケーションをAWS上で配置

virtual private cloud

VPC private subnet

業務Appサーバ

社内LAN

virtual private gateway

customer gateway

VPN connection

users

Internet GatewayにRoutingされない

VPN接続の注意事項

• 動的ルーティングに対応していないCustomer Gatewayを利利⽤用する場合には、プライマリのVPN接続が切切れると⼿手動でセカンダリのVPN接続でルーティングするように切切り替える必要がある。– 動的ルーティングに対応したCustomer Gatewayの利利⽤用を推奨（再掲）

• 1つのVPCあたり、最⼤大10拠点までサイト間VPN接続が可能– 10拠点を超える場合は、以下の2パターンを検討

• AWSとVPN接続した先のデータセンターで複数拠点と接続• EC2インスタンス上でVPNサーバソフトウェアを稼働させる

AWSとVPN接続した先のデータセンターで複数拠点と接続例例（10拠点以上必要な場合の例例）

virtual private cloud corporate data center

virtual private gateway

customer gateway

VPN connection

拠点１

拠点２

拠点３

拠点N

customer gateway

・・・

EC2インスタンス上でVPNサーバソフトウェアを稼働させて、多数のVPNクライアントから接続する

virtual private cloud

VPC public subnet

VPNクライアント１

VPNクライアント２

VPNクライアント３

VPNクライアントN

VPNサーバ

・・・

拠点１

拠点２

拠点３

拠点NVyattaを活⽤用するなど

VPCとオンプレミス間を専⽤用線で接続するには？

• AWS Direct Connectを活⽤用する– 帯域スループット向上– インターネットベースの接続よりも

⼀一貫性がある

• AWS Direct Connectの詳細– http://adsj-contents.s3.amazonaws.com/meister-

re%3AGenerate/20130904_AWS-Meister-reGenerate-VPC-DXVPN.pdf

http://adsj-contents.s3.amazonaws.com/meister-re:Generate/20130904_AWS-Meister-reGenerate-VPC-DXVPN.pdf

アジェンダ

• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ

PublicまたはPrivate、どちらのSubnetにEC2インスタンスを配置すべきか？• Public Subnet、Private Subnetのメリット・デメリットを考慮して選定する。

• 外部からの脅威のみではなく、必要に応じて外部のサービスとの通信の可⽤用性についても考慮する。

Public SubnetにEC2インスタンスを配置する場合について• メリット

– インターネットと直接通信が可能– Public Subnet内に起動するEC2インスタンスのセキュリティグループやNACLでイン

ターネットからのアクセスを許可しない設定をすることで、外部からの直接のインバウンドアクセスを制限可能(NATインスタンスを経由させる必要はなし）

• デメリット– セキュリティグループやNACLで外部からのアクセスを許可する場合は、必要に応じて外

部からの脅威に対するセキュリティ対策を検討する• 主な利利⽤用例例

– AWSのAPIエンドポイントとの通信。以下その例例• S3へのログファイル保存• DynamoDBとの通信

– その他外部のサービスとの連携

他のAWSのサービスとの連携• AWSのAPI利利⽤用にはインターネット接続が必須。NATインスタンスを

経由したインターネット接続の場合には、NATの⾼高可⽤用性を検討する。– EC2、ELB、RDS等はVPC内部で起動して、相互に通信が可能（下記はその⼀一例例）

virtual private cloud

VPC subnet

RDS DB instance

RDS DB instance standby

(Multi-AZ)

EC2instances

Elastic LoadBalancing

ElastiCachenode

Amazon S3

AmazonDynamoDB

AmazonSimple Queue

Service

Internet gateway

Private SubnetにEC2インスタンスを配置する場合について• メリット

– インターネットから直接インバウンド通信ができないため、外部からの脅威のリスクを軽減可能

• デメリット– 外部へ直接アウトバウンド通信ができないため、NATインスタンスを経由させるか、

VPN/専⽤用線接続した先のサイトのInternet Gatewayを経由させる必要がある。

• 主な利利⽤用例例– Webサーバの配置

• LBのみPublic Subnetに配置する– DBサーバの配置

複数のお客様またはプロジェクト向けにネットワークを構成するには？• 以下の2パターンのメリット・デメリットを考慮の上でお客様の

環境に合う⽅方を選定する。– お客様ごとにVPCを別途作成する場合

• VPC間はVPC Peering機能により接続は可能– ただし、VPC-A -> VPC-B -> VPC-Cといった2ホップ以上のルーティングは不不可

• お客様ごとにAWSアカウントを分けることで、アクセス権限の管理理、使⽤用料料⾦金金の切切り分けが容易易に実現可能

– ⼀一⽅方で、AWSサポートをご利利⽤用の場合は、AWSアカウントごとにAWSサポートの費⽤用がかかる。

– １つのVPC内で混在させる場合• Subnet間の通信はNACLおよびセキュリティグループで制限可能• AWSリソースにタグ付けをすることで、タグごとに利利⽤用料料⾦金金を可視化可能

– ⼀一⽅方で、すべてのAWSリソースがタグ付けに対応していないため、すべての料料⾦金金の切切り分けには未対応

アジェンダ

• Introduction• AWSの関連サービスの概要紹介• Amazon Virtual Private Cloud(VPC)の作成• ネットワーク関連Tipsのご紹介• オンプレミスとVPCの接続• 最適なネットワーク構成について• まとめ

まとめ

• VPCを活⽤用することで、簡単にすぐにAWS上に⾃自社専⽤用の仮想ネットワークを構築可能

• 複数のAZにまたがったネットワークを構築することで⾼高い可⽤用性を維持可能

• IPアドレスの固定やRoutingの変更更など、細かくネットワークの設定が可能

• オンプレミスとVPNまたは専⽤用線接続・Routingすることで、社内のプライベートIPを使って通信が可能

Q&A

参照リンク• AWSアカウント作成の流流れ

– http://aws.amazon.com/jp/register-flow/

• AWS Blackbelt Amazon VPC– http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-amazon-vpc

• Amazon VPC VPN接続設定 参考資料料– http://adsj-contents.s3.amazonaws.com/misc/VPNConnectionInstruction-20141225.pdf

• Amazon Virtual Private Cloudユーザーガイド– http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Introduction.html

• AWSクラウド活⽤用資料料集– http://aws.amazon.com/jp/aws-jp-introduction/

• 国内のお客様のAWS活⽤用事例例– http://aws.amazon.com/jp/solutions/case-studies-jp/

http://aws.amazon.com/jp/register-flow/http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-amazon-vpchttp://adsj-contents.s3.amazonaws.com/misc/VPNConnectionInstruction-20141225.pdfhttp://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Introduction.htmlhttp://aws.amazon.com/jp/aws-jp-introduction/http://aws.amazon.com/jp/solutions/case-studies-jp/

AWSをより深く理理解したい⽅方向けにクラスルームトレーニングを提供しています。

詳細： aws.amazon.com/training 認定資格試験

http://aws.amazon.com/training

公式Twitter/FacebookAWSの最新情報をお届けします

@awscloud_jp検索索

最新技術情報、イベント情報、お役⽴立立ち情報、お得なキャンペーン情報などを⽇日々更更新しています！

もしくはhttp://on.fb.me/1vR8yWm

AWSの導⼊入、お問い合わせのご相談• AWSクラウド導⼊入に関するご質問、お⾒見見積り、資料料請求をご希望のお客様は、以下のリンクよりお気軽にご相談ください。https://aws.amazon.com/jp/contact-us/aws-sales/