amazon vpcトレーニング-vpcの説明

Amazon Virtual Private Cloud

(VPC)

アマゾンデータサービスジャパン株式会社

AWSの様々なサービス

2

お客様のアプリケーション

認証 AWS IAM

モニタリング Amazon

CloudWatch

Web管理画面 Management

Console

デプロイと自動化 AWS Elastic Beanstalk

AWS CloudFromation

IDEプラグイン Eclipse

Visual Studio

ライブラリ & SDKs Java, PHP, .NET,

Python, Ruby

Development &

Administration

コンテンツ配信 Amazon CloudFront

メッセージ Amazon SNS Amazon SQS

分散処理 Elastic MapReduce

メール配信 Amazon SES

キャッシング Amazon Elasticache

ワークフロー管理 Amazon SWF

Application

Service

コンピュータ処理 Amazon EC2

Auto Scale

ストレージ Amazon S3

Amazon EBS AWS StorageGateway

データベース Amazon RDS

Amazon DynamoDB Amazon SimpleDB

AWS グローバルインフラ Geographical Regions, Availability Zones, Points of Presence AZ Region

ネットワーク & ルーティング Amazon VPC / Amazon Elastic Load Balancer / Amazon Route 53 /AWS Direct Connect

Infrastructure

Service

Agenda

VPCとは?

VPCの構成要素

Hands-on

Amazon Direct Connectとは

VPC + VPN/Direct Connectを使った構成例

Q&A

Copyright © 2012 Amazon Web Services

VPCとは？

Amazon VPC

AWSクラウド上にプライベートクラウドを構築

①社内からVPN接続して閉域網でAWS利用

②仮想ネットワーキング

オンプレミスとのハイブリッドが簡単に実現

AWSが社内インフラの一部に見える

社内システム、ソフトウェアの移行がより容易に

例：業務システム、バッチ処理、ファイルサーバ

より細やかにネットワークがコントロール可能

全リージョンで利用可能

5 Copyright © 2012 Amazon Web Services

なぜVPCが必要か？


ネットワークセキュリティを高める

きめ細かなアクセス制御が可能

Security Group, NACL, Route Table, etc

VPN, DXを使って完全に外部と閉じた環境を実現

自由なネットワーク設計が可能

既存のネットワークルールを適用可能

ローカルIPを固定で使用可能

お客様のインフラをAWS上に延長する

リージョン

EC2

VPC

NAT

イントラ

プライベートサブネット

パブリックサブネット

Internet

EC2内に分離したサブネットを

自由に作成 VPN 接続

ゲートウェイ


VPN

DX

8

• IPアドレス割り当て・複数サブネット

• インターネットGW・カスタマーGW

• 以下は構成例(柔軟な構成が可能)

パブリックサブネット

パブリック+プライベートサブネット

パブリック+プライベート＋ＶＰＮ

プライベート＋ＶＰＮ

VPCのテンプレートを準備

VPC with a Single Public Subnet

EIP(Elastic IP)アドレスをパブリックインタフェースにアサイン

適用メリット

高いセキュリティの中でWebアプリを稼働させる

プライベートIPを用いて、インスタンスをまとめられる


VPC with Public and Private Subnets

パブリックサブネットのインスタンスには、EIPをアサインできる

プライベートサブネットのインスタンスはインターネットから直接アクセスできない

適用メリット

Webサーバーをパブリックサブネットを稼働し、プライベートサブネット内のデータベースの読み書きを行う


VPC with Public and Private Subnets and a VPN Connection

パブリックサブネットのインスタンスには、EIPをアサインできる

プライベートサブネットのインスタンスにVPN経由でアクセス可能

適用メリット

VPCをインターネットに接続しつつ、データセンターをクラウド上に拡張


VPC a Private Subnet and a VPN Connection

VPC登場時はこの形態のみだった

全てのトラフィックは社内データセンターのファイヤウォール経由で行われる

適用メリット

データセンターをクラウドに拡張しても中央集権的管理を維持する


VPCの構成要素

VPCで操作できる構成要素

VPCで操作できる構成要素

Security Group(and DB Security Group)

Network Access Control (NACL)

Route TableとInternet Gateway (IGW)

NAT

EC2 Dedicated Instance

Elastic Network Interface


VPCでのSecurity GroupとNACL

InstanceレベルでIn/Outのアクセス制御

SubnetレベルでIn/Outのアクセス制御

EC2のセキュリティグループ設定

Security Group

EC2 Instance Port 22

(SSH)

Port 80 (HTTP)

インターネットからのトラフィック(Inbound)をブロックするだけでなく、EC2からのトラフィック(Outbound)を制限する事も可能です。

EC2のセキュリティグループ設定

Security Group-A (ID: sg-aaaaaa)

Apache EC2

セキュリティグループの”Source”に対して、セキュリティグループのIDを指定することが可能です。

Security Group-B (ID: sg-bbbbbb)

MySQL EC2

Port range Source 80 0.0.0.0/0

Port range Source 3306 sg-aaaaaa

Security Group-C (ID: sg-cccccc)

Apache EC2

Port range Source 80 0.0.0.0/0

Route Tableについて


各SubnetはRoute Tableを持っている。設定を変更することでデータの流れを制御可能。

Public SubnetのRoute Table

Private SubnetのRoute Table

IGW(Internet Gateway)へ

のルーティングがあるので、外部とのアクセスが可能

Route Tableについて


Public Subnet

VPC 10.0.0.0/16

Web Server

Private Subnet

Web Server

Destination Target

10.0.0.0/16 Local

0.0.0.0/0 igw-xxxxx

Destination Target

10.0.0.0/16 Local

IGWにRoutingされて

いないので外部と通信できない。

Internet Gateway

Internet

ELB on VPC

ELB on VPCの機能

パブリッククラウドのELBと機能面は同等

ELBのトラフィックをサブネットをまたいで分散

ELBセキュリティグループで、より細かくコントロール可能

ELB on VPCの制約

IPv6サポートは現状なし

/27 CIDRブロック以上のIPアドレスが必要

RDS for MySQL on VPC

MySQL RDSはVPCで使えるように

マルチAZ対応、リードレプリカ対応

VPC上での注意点

DB Subnet Groupを事前に作成する

• RDSを利用するVPC及びサブネットを指定

RDSをVPC内で起動

• DB Subnet Groupを指定

DBセキュリティグループも指定する

21

VPC設定時の注意点


VPC内で構成するEC2 Instance, ELB, Elastic IP, Security Groupなどを作成する際、VPCを明示的に指定する必要がある。

EC2のt1.micro は使うことができない

プライベートIPを指定して起動できる

指定しないと自動で割り振られる

Elastic IPの挙動が異なる

VPCではEC2を再起動しても割当てられたままとなる

既にElastic IPが割当てられているEC2に対して、別のElastic IPを割り当ててもErrorになる


Hands-on

EC2 Dedicated Instance

クラウドのメリット確保

従量課金

柔軟にスケールアップ

瞬時に調達

規制に対応しなければいけないお客様のご要望に応えるサービス

顧客A

物理サーバー

通常のEC2

顧客B 顧客C

顧客A

物理サーバー

顧客B 顧客C

Dedicated Instance

VPC内で専用インスタンス

シングルテナント保証


NATについて


AWSからNAT用のEC2 AMIを提供している

Private Subnetから外部インターネットにアクセスする際の手段

ソフトウェアリポジトリにアクセス

外部パッチサイトにアクセス

S3, Route53, DynamoDB, SES, SQSなどのVPC外のAWSサービスにアクセス

NAT Instanceを使うことで、セキュリティを確保したまま外部へのアクセスが可能

NATについて


Public Subnet

VPC 10.0.0.0/16

Web Server

Private Subnet

Web Server

Destination Target

10.0.0.0/16 Local

0.0.0.0/0 igw-xxxxx

Destination Target

10.0.0.0/16 Local

0.0.0.0/0 NAT


いないので直接外部と通信できない。

Internet Gateway

Internet

NAT

Public subnet + Private subnet + VPN GW

Virtual Private Cloud = 10.0.0.0/16

Public Subnet

Internet Gateway

Security Group

Private Subnet

Security Group NAT instance

Destination Target 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway

Destination Target 10.0.0.0/16 local 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance

VPN Gateway

Corporate = 172.16.0.0/16

ハードウェアVPN

IPsec VPN

BGP (Border gateway protocol)

AES 128 bit の暗号化トンネル

サポート対象 Cisco Integrated Services routers running Cisco IOS 12.4 (or later)

software

Juniper J-Series routers running JunOS 9.5 (or later) software

Juniper SRX Series Service Gateway running JunOS 9.5 (or Later)software

Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software

Yamaha RTX1200 routers (Rev. 10.01.16+)

参考URL <http://aws.amazon.com/jp/vpc/faqs/#C8>


Amazon Direct Connectとは

AWS Direct Connectとは

AWS Direct Connect：AWSとデータセンター、オフィス、コロケーション環境間にプライベート接続を確立するサービス

特徴

• ネットワークのコスト削減

• 帯域幅のスループット向上

• インターネットベースの接続よりも一貫性がある

お客様

AWS Cloud EC2, S3などの Public サービス

Amazon VPC

エクイニクス相互接続ポイント

専用線

AWS Direct Connect

AWS Direct Connect


AWS Direct Connect 詳細内容 AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供

専用線サービスは、お客様が下記の2つの選択肢から選択

• お客様がエクイニクス相互接続ポイントにお客様が専用線を直接つなぐ

• 複数の通信事業者の専用線接続サービスを利用 – NTTコミュニケーションズ

– KVH

– ソフトバンクテレコム

– 野村総合研究所

前提条件

• PublicなAWS サービス(EC2, S3, RDS, etc.)と接続する場合 – PublicなAS番号が必要

• Amazon VPCと接続する場合 – PrivateなAS番号を使用

• リージョン毎に契約が必要

• 多くの容量が必要な場合、複数の接続のプロビジョニングが可能


Equinixへラックを設置する方法

WANの終端装置、VLAN対応スイッチをラック内に設置

TY2では構内配線

お客様

ラック

AWS

ラック

AWS

R R 802.1q

1G/10G

キャリア

WAN終端装置

エンド

Equinix TY2

課金体系(1/2)

月額利用料は下記の計算で課金されます（月額利用料＝

AWS Direct Connect料金＋通信事業者の専用線サービス料金)

AWS Direct Connect 料金（回線利用料＋データ転送料）

回線利用料（本数分）

ロケーション 1 Gbps ポート 10 Gbps ポート

CoreSite One Wilshire, Los Angeles, CA $0.30/時間 $2.25/時間

Equinix DC1 – DC6, Ashburn, VA $0.30/時間 $2.25/時間

Equinix SV1 & SV5, San Jose, CA $0.30/時間 $2.25/時間

Equinix SG2、シンガポール $0.30/時間 $2.25/時間

Equinix TY2、東京 $0.30/時間 $2.25/時間

TelecityGroup Docklands、ロンドン $0.30/時間 $2.25/時間


課金体系(2/2)

AWS Direct Connect 料金（回線利用料＋データ転送料）

データ転送料 (割引されたデータ転送料金を適用)

通信事業者の専用線サービス料金

• 各通信事業者様にお問い合わせください

ロケーションデータ転送受信（イン）データ転送送信（アウト）

CoreSite, One Wilshire と米国西部（北カリフォルニア）リージョン間

無料 $0.030/GB

バージニア州アッシュバーンの Equinix（エクイニクス）と米国東部（バージニア北部）リージョン間

無料 $0.020/GB

Equinix SV1 and SV5 と米国西部（北カリフォルニア）リージョン間

無料 $0.020/GB

Equinix, SG2 とアジアパシフィック（シンガポール）リージョン間

無料 $0.045/GB

Equinix, TY2 とアジアパシフィック（東京）リージョン間

無料 $0.045/GB

TelecityGroup, ロンドン Docklands' と欧州（アイルランド）リージョン間

無料 $0.030/GB


VPC+VPN/Direct Connect

の構成例

AWS構成例（仮想グループクラウド）

36

グループクラウド網と専用線サービス接続

イントラネットの一部としてAWSの利用が可能

（仮想グループクラウド）ハイブリッドクラウドサービス

の一つ選択肢としてAWSを提供

本社

各種団体等

貴社プライベートクラウド

グループクラウド網

生産関連会社A 生産関連会社B 生産関連会社C

既存データセンター

S3：データ耐久性99.999999999%

AWS Storage Gateway：透過的にS3にバックアップを行う

利用例

テープ隔地保管の代替として

バックアップシステムを直接S3へ

AWS利用例（バックアップ）

Direct Connect（専用線）

Virtual Private Network (VPN)

統合バックアップ

Amazon Simple Storage

Service (S3)

Xxシステム･･･

複数世代管理隔地保管

直接バックアップ

Amazon Storage Gateway

http://aws.amazon.com/storagegateway

DirectConnect

VPN

http://aws.amazon.com/storagegateway


AWS利用例（開発/維持管理環境）

本番環境はこれまで同様既存DCにて構築

開発、維持管理環境はAWS構築

専用線接続、またはVPN接続

旧来の環境とシームレスに接続可能

利用例

本番開発環境差異：ハードウェアに依存しないシステム開発

Amazon Elastic Compute Cloud (EC2)

開発環境本番環境

行内L/W



AWS利用例（連動性）

既存システムとの連動

利用例

監視、認証

データ連動、受け渡し




OVO

Xxシステム

UID 認証

データ連動

監視


AD

AWS利用例(データ処理のみCloudを利用)

データベースは既存データセンター内で構築 CPUパワー不足時、またはCPU処理のみAWS EC2, HPC, EMRを利用（使用時のみ課金）

利用例

データベースは外に出したくない業務バッチジョブ、HPC、季節連動性の業務





Oracle Database Servers

･･･

CPU処理

スケールアップ/アウト、休止自在

オンプレミスとのハイブリッド環境

DATAPIPE社のサービス例

Oracle DBをオンプレミスのデータセンタに設置

変化するリソースはAWS上

AWS利用例（DR環境）

本番環境は既存DCにて構築 DR環境はAWS内で構築

利用例

これからDR環境を整備するシステムコスト面でDRを整備出来なかったシステム（F/S等）通常は休止または必要最小規模で稼働



DR環境本番環境



Q & A


最後に(非常に大事です！)

全てのサービスを終了しましょう！！

後からAWSにご連絡があっても、対処できませんので、ご了承くださいませ。。


Appendix


VPC上で実現する仮想ネットワークインタフェースを複数持てる機能

インスタンスによって割り当てられる数が異なる。

以下をENIに紐づけて維持可能

Private IP

Elastic IP

MACアドレス

セキュリティグループ

Elastic Network Interfacesとは


Elastic Network Interfaces


Type Elastic Network

Interfaces (ENIs)

Private IP

Addresses per ENI Name

Micro N/A N/A t1.micro

Small 2 4 m1.small

Medium 2 6 m1.medium

Large 3 10 m1.large

Extra Large 4 15 m1.xlarge

High-CPU Medium 2 6 c1.medium

High-CPU Extra Large 4 15 c1.xlarge

High-Memory Extra Large 4 15 m2.xlarge

High-Memory Double Extra Large 4 30 m2.2xlarge

High-Memory Quadruple Extra Large 8 30 m2.4xlarge

Cluster Compute Quadruple Extra Large N/A N/A cc1.4xlarge

Cluster Compute Eight Extra Large 8 30 cc2.8xlarge

Cluster GPU Quadruple Extra Large N/A N/A cg1.4xlarge

インスタンスタイプによる設定数の制限

ユースケース

サービス用と管理用のENIの分離

複数ENIを前提としたソフトウェアの利用

MACアドレスでライセンスが固定されたソフトウェア利用

1台サーバ上での複数SSL証明書の利用

複数の仮想ホスト設定

Elastic Network Interfaces


NACL(Network Access Control)


個々のSubnetごとにアクセス制御が可能

Inbound, Outboundに対して下記の設定が可能

Inbound

Port range(ポート番号)

Source(アクセス元IPアドレス)

Allow/Deny

Outbound

Port range(ポート番号)

Destination(アクセス先IPアドレス)

Allow/Deny

NATインスタンスの作成

1. AWSではNAT用のインスタンスを用意していますので、”ami-vpc-nat”で検索します。

例: AMI NAME “ami-vpc-nat-1.0.0-beta.x86_64-ebs”

2. 上記AMIを使って、Public SubnetにNATインスタンスを起動します。

3. NATインスタンスの”Change Source / Dest Check”をDisableにします。

4. NATインスタンスにElastic IPを付けます。

5. Public SubnetのRoute TableにNATインスタンスのIDを追加

6. 必要に応じてNATインスタンスのSecurity Groupを設定。

NATインスタンスの作成/起動(1)


Public Subnet

VPC 10.0.0.0/16

Web Server

Private Subnet

Web Server

①② NATインスタンスをAMIから起動

Internet Gateway

Internet

NAT

③NATインスタンスの”Change Source

/ Dest Check”をDisableに設定

NATインスタンスを右クリックして”Change Source / Dest Check”を選択し、”Yes, Disable”を選択します。

NATインスタンスの作成/起動(1) - ③



Public Subnet

VPC 10.0.0.0/16

Web Server

Private Subnet

Web Server

Destination Target

10.0.0.0/16 Local

0.0.0.0/0 NAT(Instance ID)

Internet Gateway

Internet

NAT

Elastic

IP

④Elastic IPの追加

Destination Target

10.0.0.0/16 Local

0.0.0.0/0 igw-xxxxx

⑤Route TableにNATインスタンスを追加



Public Subnet

VPC 10.0.0.0/16

Web Server

Private Subnet

Web Server

Destination Target

10.0.0.0/16 Local


Internet Gateway

Internet

NAT

⑥必要に応じてNATインスタンスのSecurity Groupを設定

Destination Target

10.0.0.0/16 Local

0.0.0.0/0 igw-xxxxx

Elastic

IP



Public Subnet

VPC 10.0.0.0/16

Web Server

Private Subnet

Web Server

Destination Target

10.0.0.0/16 Local

0.0.0.0/0 igw-xxxxx


いないので直接外部と通信できない。

Internet Gateway

Internet

NAT

NAT経由でのアクセスを確認ください。

Destination Target

10.0.0.0/16 Local


amazon vpcトレーニング-vpcの説明

Documents