amazon vpcトレーニング-vpcの説明
DESCRIPTION
TRANSCRIPT
Amazon Virtual Private Cloud
(VPC)
アマゾン データ サービス ジャパン 株式会社
AWSの様々なサービス
2
お客様のアプリケーション
認証 AWS IAM
モニタリング Amazon
CloudWatch
Web管理画面 Management
Console
デプロイと自動化 AWS Elastic Beanstalk
AWS CloudFromation
IDEプラグイン Eclipse
Visual Studio
ライブラリ & SDKs Java, PHP, .NET,
Python, Ruby
Development &
Administration
コンテンツ配信 Amazon CloudFront
メッセージ Amazon SNS Amazon SQS
分散処理 Elastic MapReduce
メール配信 Amazon SES
キャッシング Amazon Elasticache
ワークフロー管理 Amazon SWF
Application
Service
コンピュータ処理 Amazon EC2
Auto Scale
ストレージ Amazon S3
Amazon EBS AWS StorageGateway
データベース Amazon RDS
Amazon DynamoDB Amazon SimpleDB
AWS グローバルインフラ Geographical Regions, Availability Zones, Points of Presence AZ Region
ネットワーク & ルーティング Amazon VPC / Amazon Elastic Load Balancer / Amazon Route 53 /AWS Direct Connect
Infrastructure
Service
Agenda
VPCとは?
VPCの構成要素
Hands-on
Amazon Direct Connectとは
VPC + VPN/Direct Connectを使った構成例
Q&A
Copyright © 2012 Amazon Web Services
VPCとは?
Amazon VPC
AWSクラウド上にプライベートクラウドを構築
①社内からVPN接続して閉域網でAWS利用
②仮想ネットワーキング
オンプレミスとのハイブリッドが簡単に実現
AWSが社内インフラの一部に見える
社内システム、ソフトウェアの移行がより容易に
例:業務システム、バッチ処理、ファイルサーバ
より細やかにネットワークがコントロール可能
全リージョンで利用可能
5 Copyright © 2012 Amazon Web Services
なぜVPCが必要か?
Copyright © 2012 Amazon Web Services
ネットワークセキュリティを高める
きめ細かなアクセス制御が可能
Security Group, NACL, Route Table, etc
VPN, DXを使って完全に外部と閉じた環境を実現
自由なネットワーク設計が可能
既存のネットワークルールを適用可能
ローカルIPを固定で使用可能
お客様のインフラをAWS上に延長する
リージョン
EC2
VPC
NAT
イントラ
プライベート サブネット
パブリック サブネット
Internet
EC2内に分離したサブネットを
自由に作成 VPN 接続
ゲートウェイ
Copyright © 2012 Amazon Web Services
VPN
DX
8
• IPアドレス割り当て・複数サブネット
• インターネットGW・カスタマーGW
• 以下は構成例(柔軟な構成が可能)
パブリック サブネット
パブリック+プライベート サブネット
パブリック+プライベート +VPN
プライベート +VPN
VPCのテンプレートを準備
VPC with a Single Public Subnet
EIP(Elastic IP)アドレスをパブリックインタフェースにアサイン
適用メリット
高いセキュリティの中でWebアプリを稼働させる
プライベートIPを用いて、インスタンスをまとめられる
9 Copyright © 2012 Amazon Web Services
VPC with Public and Private Subnets
パブリックサブネットのインスタンスには、EIPをアサインできる
プライベートサブネットのインスタンスはインターネットから直接アクセスできない
適用メリット
Webサーバーをパブリックサブネットを稼働し、プライベートサブネット内のデータベースの読み書きを行う
10 Copyright © 2012 Amazon Web Services
VPC with Public and Private Subnets and a VPN Connection
パブリックサブネットのインスタンスには、EIPをアサインできる
プライベートサブネットのインスタンスにVPN経由でアクセス可能
適用メリット
VPCをインターネットに接続しつつ、データセンターをクラウド上に拡張
11 Copyright © 2012 Amazon Web Services
VPC a Private Subnet and a VPN Connection
VPC登場時はこの形態のみだった
全てのトラフィックは社内データセンターのファイヤウォール経由で行われる
適用メリット
データセンターをクラウドに拡張しても中央集権的管理を維持する
12 Copyright © 2012 Amazon Web Services
VPCの構成要素
VPCで操作できる構成要素
VPCで操作できる構成要素
Security Group(and DB Security Group)
Network Access Control (NACL)
Route TableとInternet Gateway (IGW)
NAT
EC2 Dedicated Instance
Elastic Network Interface
Copyright © 2012 Amazon Web Services
VPCでのSecurity GroupとNACL
InstanceレベルでIn/Outのアクセス制御
SubnetレベルでIn/Outのアクセス制御
EC2のセキュリティグループ設定
Security Group
EC2 Instance Port 22
(SSH)
Port 80 (HTTP)
インターネットからのトラフィック(Inbound)をブロックするだけでなく、EC2からのトラフィック(Outbound)を制限する事も可能です。
EC2のセキュリティグループ設定
Security Group-A (ID: sg-aaaaaa)
Apache EC2
セキュリティグループの”Source”に対して、 セキュリティグループのIDを指定することが可能です。
Security Group-B (ID: sg-bbbbbb)
MySQL EC2
Port range Source 80 0.0.0.0/0
Port range Source 3306 sg-aaaaaa
Security Group-C (ID: sg-cccccc)
Apache EC2
Port range Source 80 0.0.0.0/0
Route Tableについて
Copyright © 2012 Amazon Web Services
各SubnetはRoute Tableを持っている。設定を変更することでデータの流れを制御可能。
Public SubnetのRoute Table
Private SubnetのRoute Table
IGW(Internet Gateway)へ
のルーティングがあるので、外部とのアクセスが可能
Route Tableについて
Copyright © 2012 Amazon Web Services
Public Subnet
VPC 10.0.0.0/16
Web Server
Private Subnet
Web Server
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 igw-xxxxx
Destination Target
10.0.0.0/16 Local
IGWにRoutingされて
いないので外部と通信できない。
Internet Gateway
Internet
ELB on VPC
ELB on VPCの機能
パブリッククラウドのELBと機能面は同等
ELBのトラフィックをサブネットをまたいで分散
ELBセキュリティグループで、より細かくコントロール可能
ELB on VPCの制約
IPv6サポートは現状なし
/27 CIDRブロック以上のIPアドレスが必要
RDS for MySQL on VPC
MySQL RDSはVPCで使えるように
マルチAZ対応、リードレプリカ対応
VPC上での注意点
DB Subnet Groupを事前に作成する
• RDSを利用するVPC及びサブネットを指定
RDSをVPC内で起動
• DB Subnet Groupを指定
DBセキュリティグループも指定する
21
VPC設定時の注意点
Copyright © 2012 Amazon Web Services
VPC内で構成するEC2 Instance, ELB, Elastic IP, Security Groupなどを作成する際、VPCを明示的に指定する必要がある。
EC2のt1.micro は使うことができない
プライベートIPを指定して起動できる
指定しないと自動で割り振られる
Elastic IPの挙動が異なる
VPCではEC2を再起動しても割当てられたままとなる
既にElastic IPが割当てられているEC2に対して、別のElastic IPを割り当ててもErrorになる
Copyright © 2012 Amazon Web Services
Hands-on
EC2 Dedicated Instance
クラウドのメリット確保
従量課金
柔軟にスケールアップ
瞬時に調達
規制に対応しなければいけないお客様のご要望に応えるサービス
顧客A
物理サーバー
通常のEC2
顧客B 顧客C
顧客A
物理サーバー
顧客B 顧客C
Dedicated Instance
VPC内で専用インスタンス
シングルテナント保証
Copyright © 2012 Amazon Web Services
NATについて
Copyright © 2012 Amazon Web Services
AWSからNAT用のEC2 AMIを提供している
Private Subnetから外部インターネットにアクセスする際の手段
ソフトウェアリポジトリにアクセス
外部パッチサイトにアクセス
S3, Route53, DynamoDB, SES, SQSなどのVPC外のAWSサービスにアクセス
NAT Instanceを使うことで、セキュリティを確保したまま外部へのアクセスが可能
NATについて
Copyright © 2012 Amazon Web Services
Public Subnet
VPC 10.0.0.0/16
Web Server
Private Subnet
Web Server
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 igw-xxxxx
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 NAT
IGWにRoutingされて
いないので直接外部と通信できない。
Internet Gateway
Internet
NAT
Public subnet + Private subnet + VPN GW
Virtual Private Cloud = 10.0.0.0/16
Public Subnet
Internet Gateway
Security Group
Private Subnet
Security Group NAT instance
Destination Target 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway
Destination Target 10.0.0.0/16 local 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance
VPN Gateway
Corporate = 172.16.0.0/16
ハードウェアVPN
IPsec VPN
BGP (Border gateway protocol)
AES 128 bit の暗号化トンネル
サポート対象 Cisco Integrated Services routers running Cisco IOS 12.4 (or later)
software
Juniper J-Series routers running JunOS 9.5 (or later) software
Juniper SRX Series Service Gateway running JunOS 9.5 (or Later)software
Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software
Yamaha RTX1200 routers (Rev. 10.01.16+)
参考URL <http://aws.amazon.com/jp/vpc/faqs/#C8>
Copyright © 2012 Amazon Web Services
Amazon Direct Connectとは
AWS Direct Connectとは
AWS Direct Connect:AWSとデータセンター、オフィス、 コロケーション環境間にプライベート接続を確立するサービス
特徴
• ネットワークのコスト削減
• 帯域幅のスループット向上
• インターネットベースの接続よりも一貫性がある
お客様
AWS Cloud EC2, S3などの Public サービス
Amazon VPC
エクイニクス 相互接続ポイント
専用線
AWS Direct Connect
AWS Direct Connect
Copyright © 2012 Amazon Web Services
AWS Direct Connect 詳細内容 AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供
専用線サービスは、お客様が下記の2つの選択肢から選択
• お客様がエクイニクス相互接続ポイントにお客様が専用線を 直接つなぐ
• 複数の通信事業者の専用線接続サービスを利用 – NTTコミュニケーションズ
– KVH
– ソフトバンクテレコム
– 野村総合研究所
前提条件
• PublicなAWS サービス(EC2, S3, RDS, etc.)と接続する場合 – PublicなAS番号が必要
• Amazon VPCと接続する場合 – PrivateなAS番号を使用
• リージョン毎に契約が必要
• 多くの容量が必要な場合、複数の接続のプロビジョニングが可能
Copyright © 2012 Amazon Web Services
Equinixへラックを設置する方法
WANの終端装置、VLAN対応スイッチをラック内に設置
TY2では構内配線
お客様
ラック
AWS
ラック
AWS
R R 802.1q
1G/10G
キャリア
WAN終端装置
エンド
Equinix TY2
課金体系(1/2)
月額利用料は下記の計算で課金されます (月額利用料 =
AWS Direct Connect料金+通信事業者の専用線サービス料金)
AWS Direct Connect 料金 (回線利用料 + データ転送料)
回線利用料(本数分)
ロケーション 1 Gbps ポート 10 Gbps ポート
CoreSite One Wilshire, Los Angeles, CA $0.30/時間 $2.25/時間
Equinix DC1 – DC6, Ashburn, VA $0.30/時間 $2.25/時間
Equinix SV1 & SV5, San Jose, CA $0.30/時間 $2.25/時間
Equinix SG2、シンガポール $0.30/時間 $2.25/時間
Equinix TY2、東京 $0.30/時間 $2.25/時間
TelecityGroup Docklands、ロンドン $0.30/時間 $2.25/時間
Copyright © 2012 Amazon Web Services
課金体系(2/2)
AWS Direct Connect 料金 (回線利用料 + データ転送料)
データ転送料 (割引されたデータ転送料金を適用)
通信事業者の専用線サービス料金
• 各通信事業者様にお問い合わせください
ロケーション データ転送受信(イン) データ転送送信(アウト)
CoreSite, One Wilshire と米国西部(北カリフォルニア)リージョン間
無料 $0.030/GB
バージニア州アッシュバーンの Equinix(エクイニクス)と米国東部(バージニア北部)リージョン間
無料 $0.020/GB
Equinix SV1 and SV5 と米国西部(北カリフォルニア)リージョン間
無料 $0.020/GB
Equinix, SG2 とアジアパシフィック(シンガポール)リージョン間
無料 $0.045/GB
Equinix, TY2 とアジアパシフィック(東京)リージョン間
無料 $0.045/GB
TelecityGroup, ロンドン Docklands' と欧州(アイルランド)リージョン間
無料 $0.030/GB
Copyright © 2012 Amazon Web Services
VPC+VPN/Direct Connect
の構成例
AWS構成例(仮想グループクラウド)
36
グループクラウド網と専用線サービス接続
イントラネットの一部としてAWSの利用が可能
(仮想グループクラウド) ハイブリッドクラウドサービス
の一つ選択肢としてAWSを提供
本社
各種団体等
貴社プライベートクラウド
グループ クラウド網
生産関連会社A 生産関連会社B 生産関連会社C
既存データセンター
S3:データ耐久性99.999999999%
AWS Storage Gateway:透過的にS3にバックアップを行う
利用例
テープ隔地保管の代替として
バックアップシステムを直接S3へ
AWS利用例(バックアップ)
Direct Connect(専用線)
Virtual Private Network (VPN)
統合バックアップ
Amazon Simple Storage
Service (S3)
Xxシステム ・・・
複数世代管理 隔地保管
直接バックアップ
Amazon Storage Gateway
http://aws.amazon.com/storagegateway
DirectConnect
VPN
既存データセンター
AWS利用例(開発/維持管理環境)
本番環境はこれまで同様既存DCにて構築
開発、維持管理環境はAWS構築
専用線接続、またはVPN接続
旧来の環境とシームレスに接続可能
利用例
本番開発環境差異:ハードウェアに依存しないシステム開発
Amazon Elastic Compute Cloud (EC2)
開発環境 本番環境
行内L/W
Direct Connect(専用線)
Virtual Private Network (VPN)
AWS利用例(連動性)
既存システムとの連動
利用例
監視、認証
データ連動、受け渡し
既存データセンター
Direct Connect(専用線)
Virtual Private Network (VPN)
OVO
Xxシステム
UID 認証
データ連動
監視
Amazon Elastic Compute Cloud (EC2)
AD
AWS利用例(データ処理のみCloudを利用)
データベースは既存データセンター内で構築 CPUパワー不足時、またはCPU処理のみAWS EC2, HPC, EMRを利用(使用時のみ課金)
利用例
データベースは外に出したくない業務 バッチジョブ、HPC、季節連動性の業務
既存データセンター
Amazon Elastic Compute Cloud (EC2)
Direct Connect(専用線)
Virtual Private Network (VPN)
Oracle Database Servers
・・・
CPU処理
スケールアップ/アウト、休止自在
オンプレミスとのハイブリッド環境
DATAPIPE社のサービス例
Oracle DBをオンプレミスのデータセンタに設置
変化するリソースはAWS上
AWS利用例(DR環境)
本番環境は既存DCにて構築 DR環境はAWS内で構築
利用例
これからDR環境を整備するシステム コスト面でDRを整備出来なかったシステム(F/S等) 通常は休止または必要最小規模で稼働
既存データセンター
Amazon Elastic Compute Cloud (EC2)
DR環境 本番環境
Direct Connect(専用線)
Virtual Private Network (VPN)
Q & A
Copyright © 2012 Amazon Web Services
最後に(非常に大事です!)
全てのサービスを終了しましょう!!
後からAWSにご連絡があっても、対処できませんので、ご了承くださいませ。。
Copyright © 2012 Amazon Web Services
Appendix
Copyright © 2012 Amazon Web Services
VPC上で実現する仮想ネットワークインタフェースを複数持てる機能
インスタンスによって割り当てられる数が異なる。
以下をENIに紐づけて維持可能
Private IP
Elastic IP
MACアドレス
セキュリティグループ
Elastic Network Interfacesとは
Copyright © 2012 Amazon Web Services
Elastic Network Interfaces
Copyright © 2012 Amazon Web Services
Type Elastic Network
Interfaces (ENIs)
Private IP
Addresses per ENI Name
Micro N/A N/A t1.micro
Small 2 4 m1.small
Medium 2 6 m1.medium
Large 3 10 m1.large
Extra Large 4 15 m1.xlarge
High-CPU Medium 2 6 c1.medium
High-CPU Extra Large 4 15 c1.xlarge
High-Memory Extra Large 4 15 m2.xlarge
High-Memory Double Extra Large 4 30 m2.2xlarge
High-Memory Quadruple Extra Large 8 30 m2.4xlarge
Cluster Compute Quadruple Extra Large N/A N/A cc1.4xlarge
Cluster Compute Eight Extra Large 8 30 cc2.8xlarge
Cluster GPU Quadruple Extra Large N/A N/A cg1.4xlarge
インスタンスタイプによる設定数の制限
ユースケース
サービス用と管理用のENIの分離
複数ENIを前提としたソフトウェアの利用
MACアドレスでライセンスが固定されたソフトウェア利用
1台サーバ上での複数SSL証明書の利用
複数の仮想ホスト設定
Elastic Network Interfaces
Copyright © 2012 Amazon Web Services
NACL(Network Access Control)
Copyright © 2012 Amazon Web Services
個々のSubnetごとにアクセス 制御が可能
Inbound, Outboundに対して下記の設定が可能
Inbound
Port range(ポート番号)
Source(アクセス元IPアドレス)
Allow/Deny
Outbound
Port range(ポート番号)
Destination(アクセス先IPアドレス)
Allow/Deny
NATインスタンスの作成
1. AWSではNAT用のインスタンスを用意していますので、”ami-vpc-nat”で検索します。
例: AMI NAME “ami-vpc-nat-1.0.0-beta.x86_64-ebs”
2. 上記AMIを使って、Public SubnetにNATインスタンスを起動します。
3. NATインスタンスの”Change Source / Dest Check”をDisableにします。
4. NATインスタンスにElastic IPを付けます。
5. Public SubnetのRoute TableにNATインスタンスのIDを追加
6. 必要に応じてNATインスタンスのSecurity Groupを設定。
NATインスタンスの作成/起動(1)
Copyright © 2012 Amazon Web Services
Public Subnet
VPC 10.0.0.0/16
Web Server
Private Subnet
Web Server
①② NATインスタンスをAMIから起動
Internet Gateway
Internet
NAT
③NATインスタンスの”Change Source
/ Dest Check”をDisableに設定
NATインスタンスを右クリックして”Change Source / Dest Check”を選択し、”Yes, Disable”を選択します。
NATインスタンスの作成/起動(1) - ③
NATインスタンスの作成/起動(2)
Copyright © 2012 Amazon Web Services
Public Subnet
VPC 10.0.0.0/16
Web Server
Private Subnet
Web Server
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 NAT(Instance ID)
Internet Gateway
Internet
NAT
Elastic
IP
④Elastic IPの追加
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 igw-xxxxx
⑤Route TableにNATインスタンスを追加
NATインスタンスの作成/起動(3)
Copyright © 2012 Amazon Web Services
Public Subnet
VPC 10.0.0.0/16
Web Server
Private Subnet
Web Server
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 NAT(Instance ID)
Internet Gateway
Internet
NAT
⑥必要に応じてNATインスタンスのSecurity Groupを設定
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 igw-xxxxx
Elastic
IP
NATインスタンスの作成/起動(4)
Copyright © 2012 Amazon Web Services
Public Subnet
VPC 10.0.0.0/16
Web Server
Private Subnet
Web Server
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 igw-xxxxx
IGWにRoutingされて
いないので直接外部と通信できない。
Internet Gateway
Internet
NAT
NAT経由でのアクセスを確認ください。
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 NAT(Instance ID)