aws black belt online seminar 2016 amazon vpc
TRANSCRIPT
copy 2016 Amazon Web Services Inc or its Affiliates All rights reserved
アマゾン ウェブ サービス ジャパン株式会社ソリューションアーキテクト 吉田英世20160803
Amazon Virtual Private Cloud (VPC)AWS Black Belt Online Seminar 2016
本資料料では2016年年8月3日時点のサービス内容および価格についてご説明しています最新の情報はAWS公式ウェブサイト(httpawsamazoncom)にてご確認ください
資料料作成には十分注意しておりますが資料料内の価格とAWS公式ウェブサイト記載の価格に相違があった場合AWS公式ウェブサイトの価格を優先とさせていただきます
内容についての注意点
AWS does not offer binding price quotes AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at httpawsamazoncomagreement Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided Monthly charges will be based on your actual use of AWS services and may vary from the estimates provided
価格は税抜表記となっています日本居住者のお客様が東京リージョンを使用する場合別途消費税をご請求させていただきます
2
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
3
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
4
Amazon VPCbull AWS上にプライベートネットワーク空間を構築
uuml 任意のIPアドレスレンジが利利用可能
bull 論論理理的なネットワーク分離離が可能uuml 必要に応じてネットワーク同士を接続することも可能
bull ネットワーク環境のコントロールが可能uuml ルートテーブルや各種ゲートウェイ各種コンポーネント
bull 複数のコネクティビティオプションが選択可能uuml インターネット経由uuml VPN専用線(Direct Connect)
まずは全体のネットワーク空間をVPCとして定義
6
10000 16
利利用するサブネットを定義
7
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットへの接続を設定
8
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットに接続しないネットワークも作成可能
9
EC2
プライベートサブネット
1002024
オンプレミスとの接続
10
EC2
プライベートサブネット
1002024
オフィスデータセンター
VPNor
専用線
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
本資料料では2016年年8月3日時点のサービス内容および価格についてご説明しています最新の情報はAWS公式ウェブサイト(httpawsamazoncom)にてご確認ください
資料料作成には十分注意しておりますが資料料内の価格とAWS公式ウェブサイト記載の価格に相違があった場合AWS公式ウェブサイトの価格を優先とさせていただきます
内容についての注意点
AWS does not offer binding price quotes AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at httpawsamazoncomagreement Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided Monthly charges will be based on your actual use of AWS services and may vary from the estimates provided
価格は税抜表記となっています日本居住者のお客様が東京リージョンを使用する場合別途消費税をご請求させていただきます
2
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
3
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
4
Amazon VPCbull AWS上にプライベートネットワーク空間を構築
uuml 任意のIPアドレスレンジが利利用可能
bull 論論理理的なネットワーク分離離が可能uuml 必要に応じてネットワーク同士を接続することも可能
bull ネットワーク環境のコントロールが可能uuml ルートテーブルや各種ゲートウェイ各種コンポーネント
bull 複数のコネクティビティオプションが選択可能uuml インターネット経由uuml VPN専用線(Direct Connect)
まずは全体のネットワーク空間をVPCとして定義
6
10000 16
利利用するサブネットを定義
7
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットへの接続を設定
8
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットに接続しないネットワークも作成可能
9
EC2
プライベートサブネット
1002024
オンプレミスとの接続
10
EC2
プライベートサブネット
1002024
オフィスデータセンター
VPNor
専用線
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
3
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
4
Amazon VPCbull AWS上にプライベートネットワーク空間を構築
uuml 任意のIPアドレスレンジが利利用可能
bull 論論理理的なネットワーク分離離が可能uuml 必要に応じてネットワーク同士を接続することも可能
bull ネットワーク環境のコントロールが可能uuml ルートテーブルや各種ゲートウェイ各種コンポーネント
bull 複数のコネクティビティオプションが選択可能uuml インターネット経由uuml VPN専用線(Direct Connect)
まずは全体のネットワーク空間をVPCとして定義
6
10000 16
利利用するサブネットを定義
7
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットへの接続を設定
8
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットに接続しないネットワークも作成可能
9
EC2
プライベートサブネット
1002024
オンプレミスとの接続
10
EC2
プライベートサブネット
1002024
オフィスデータセンター
VPNor
専用線
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
4
Amazon VPCbull AWS上にプライベートネットワーク空間を構築
uuml 任意のIPアドレスレンジが利利用可能
bull 論論理理的なネットワーク分離離が可能uuml 必要に応じてネットワーク同士を接続することも可能
bull ネットワーク環境のコントロールが可能uuml ルートテーブルや各種ゲートウェイ各種コンポーネント
bull 複数のコネクティビティオプションが選択可能uuml インターネット経由uuml VPN専用線(Direct Connect)
まずは全体のネットワーク空間をVPCとして定義
6
10000 16
利利用するサブネットを定義
7
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットへの接続を設定
8
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットに接続しないネットワークも作成可能
9
EC2
プライベートサブネット
1002024
オンプレミスとの接続
10
EC2
プライベートサブネット
1002024
オフィスデータセンター
VPNor
専用線
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Amazon VPCbull AWS上にプライベートネットワーク空間を構築
uuml 任意のIPアドレスレンジが利利用可能
bull 論論理理的なネットワーク分離離が可能uuml 必要に応じてネットワーク同士を接続することも可能
bull ネットワーク環境のコントロールが可能uuml ルートテーブルや各種ゲートウェイ各種コンポーネント
bull 複数のコネクティビティオプションが選択可能uuml インターネット経由uuml VPN専用線(Direct Connect)
まずは全体のネットワーク空間をVPCとして定義
6
10000 16
利利用するサブネットを定義
7
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットへの接続を設定
8
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットに接続しないネットワークも作成可能
9
EC2
プライベートサブネット
1002024
オンプレミスとの接続
10
EC2
プライベートサブネット
1002024
オフィスデータセンター
VPNor
専用線
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
まずは全体のネットワーク空間をVPCとして定義
6
10000 16
利利用するサブネットを定義
7
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットへの接続を設定
8
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットに接続しないネットワークも作成可能
9
EC2
プライベートサブネット
1002024
オンプレミスとの接続
10
EC2
プライベートサブネット
1002024
オフィスデータセンター
VPNor
専用線
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
利利用するサブネットを定義
7
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットへの接続を設定
8
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットに接続しないネットワークも作成可能
9
EC2
プライベートサブネット
1002024
オンプレミスとの接続
10
EC2
プライベートサブネット
1002024
オフィスデータセンター
VPNor
専用線
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
インターネットへの接続を設定
8
1001024
EC2
パブリックサブネット
10000 16
Internet13
インターネットに接続しないネットワークも作成可能
9
EC2
プライベートサブネット
1002024
オンプレミスとの接続
10
EC2
プライベートサブネット
1002024
オフィスデータセンター
VPNor
専用線
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
インターネットに接続しないネットワークも作成可能
9
EC2
プライベートサブネット
1002024
オンプレミスとの接続
10
EC2
プライベートサブネット
1002024
オフィスデータセンター
VPNor
専用線
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
オンプレミスとの接続
10
EC2
プライベートサブネット
1002024
オフィスデータセンター
VPNor
専用線
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
ネットワーク要件に応じて自由に設定可能
11
1001024
EC2
パブリックサブネット
EC2
プライベートサブネット
10000 16
1002024
Internet13
オフィスデータセンター
VPNor
専用線
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
12
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCの構成要素
Elastic ネットワークインタフェース
カスタマゲートウェイ
バーチャルプライベートゲートウェイ
インターネットゲートウェイ
VPNコネクション
VPC
サブネット ルートテーブル
Elastic IP
VPCPeering仮想ルータ
VPCエンドポイント
for Amazon S3
NATゲートウェイ
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPC
アベイラビリティゾーン A アベイラビリティゾーン B
VPC CIDR 10000 16
仮想データセンターをAWS上に設定VPC内で利利用するIPアドレスのブロックemsp を設定
-‐‑‒ 通常であればプライベート アドレス(RFC1918)を利利用
-‐‑‒ 28から16のネットマスクを利利用複数のアベイラビリティゾーンを利利用emsp 可能
作成後はVPCアドレスブロックは変更更できないので注意
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
アベイラビリティゾーン
15
EU (Ireland)
Availability Zone A
Availability Zone C
Availability Zone B
Asia Pacific (Tokyo)
Availability Zone A
Availability Zone B
US West (Oregon)
Availability Zone A
Availability Zone B
US West(Northern California)
Availability Zone A
Availability Zone B
Asia Pacific (Singapore)
Availability Zone A
Availability Zone B
AWS GovCloud (US)
Availability Zone A
Availability Zone B
South America (Sao Paulo)
Availability Zone A
Availability Zone B
US East (Northern Virginia)
Availability Zone D
Availability Zone C
Availability Zone B
Availability Zone E
Availability Zone A
Asia Pacific (Sydney)
Availability Zone A
Availability Zone B
EU (Frankfurt)
Availability Zone A
Availability Zone B
AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 AZはお互いに地理理的電源的ネットワーク的に分離離 2つのAZを利利用した冗長構成を容易易に構築 リージョン内のAZ間は高速専用線で接続(リージョン間はインターネット経由)
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
サブネット
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
VPCのIPアドレス範囲(CIDR)の中で設定アベイラビリティゾーン毎に設定ネットワークACL(アクセスリスト)でemsp emsp emsp ネットワークレベルでのセキュリティemsp を設定サブネット毎にルーティングを設定最小は28(14IP)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Subnetshtml
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
サブネットで利利用できないIPアドレス
17
ホストアドレス 用途0 ネットワークアドレス1 VPCルータ2 Amazonが提供するDNSサービス3 AWSで予約255 ブロードキャストアドレス
(VPCではブロードキャストはサポートされていない)
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Elastic ネットワークインタフェース
1011024 10110024
ENI13(eth0)13
ENI13(eth0)13
EC2で利利用するネットワークの仮想emsp インタフェースEC2インスンタンス毎に仮想ネットemsp ワークインタフェースを複数持つemsp ことが可能以下をENIに紐紐づけて維持可能
プライベートIPElastic IPMACアドレスセキュリティグループ
固定のプライベートIPを設定するemsp emsp ことが可能VPC内のマネージドサービスでもemsp 暗黙的に利利用されている
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideusing-enihtml
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
ENIを使ったフェールオーバー(Floating IP)
1000024 1001024
eth013 eth113アクティブ
eth013スタンバイ
eth113
ENIを付替
httpawsclouddesignpatternorgindexphpCDPFloating_IPE38391E382BFE383BCE383B3
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
サブネット内のDHCP
ENI13(eth0)13
DHCP機能
サブネット
サブネット内のENI(Elasticネットワークemsp インタフェース)にIPを自動割当てプライベートIPを固定にした場合はemsp DHCP経由で該当のIPが割当てられるemsp (EC2インスタンスのOS上のNICemsp emsp 設定はDHCP設定とする)
MACアドレスプライベートIPの割当て
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
DHCP Option Set
bull VPCのDHCP機能の設定変更更が可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_Optionshtml13
パラメータ 内容domain-‐‑‒name ドメイン名の指定domain-‐‑‒name-‐‑‒serversDNS DNSサーバの指定ntp-‐‑‒servers NTPサーバの指定netbios-‐‑‒name-‐‑‒servers NetBIOSサーバの指定netbios-‐‑‒node-‐‑‒type NetBIOSノードタイプ
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Amazon DNS サーバー
Amazonが提供するDNSサービス
以下の2つのアドレスが利利用可能emsp emsp ①VPCのネットワーク範囲(CIDR)のemsp emsp アドレスに+2をプラスしたIPemsp emsp (1000016の場合は10002) ②169254169253
VPC内のEC2インスタンスからのみ参照emsp 可能emsp (VPNや専用線経由では参照できない)
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_DHCP_OptionshtmlAmazonDNS
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
Amazon Provided DNS10002 or 169254169253
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
DNS機能の有効化とホストへのDNS名割当て
Enable DNS resolution基本はyesとするNoにするとVPCのDNS機能が無効となる
Enable DNS hostnameTrueにするとDNS名が割り当てられるldquoEnable DNS resolutionrdquoをtrueにしないと有効にならない
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
プライベートホストゾーンの使用
25
アベイラビリティゾーン A
プライベートサブネット 10010024
wwwexamplecom10010100
Route53のプライベートホストゾーンemsp によるカスタムDNSドメインが利利用可能
VPC内のインスタンスのみ参照可能
VPCピアリングClassic-‐‑‒Linkから参照可能
Amazon Provided DNS10102 or 169254169253
examplecomwww IN A 10010100
Route53
プライベートホストゾーン
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
インターネットゲートウェイ(IGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13AWS パブリックAPI エンドポイント
VPC内のリソースにインターネットへのemsp 接続を提供VPCにアタッチすることで利利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックemsp は存在しない
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Internet_Gatewayhtml
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
仮想ルータ
Public Subnet
アベイラビリティゾーン A
Private Subnet
Instance A100111 24
Instance C100333 24
VPC CIDR 10000 16
1
1
VPC内のすべてのサブネット間はemsp ネットワーク的に疎通可能(制御したい場合はネットワークemsp ACLを利利用)サブネットのネットワークemsp アドレス+1(1)がすべてのemsp サブネットのゲートウェイとemsp なるユーザが操作するコンポーネントemsp ではなく暗黙的に動作している
Public Subnet
アベイラビリティゾーン B
Private Subnet
Instance A100211 24
Instance C100433 24
1
1
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
ルートテーブル
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
Internet13
Route Table
Destination Target
1000016 local
00000 igw
サブネット内の通信がどの宛先のネットemsp ワークに対してどのコンポーネントにemsp 転送されるべきかの定義を記述(例例インターネットへの通信はIGW)各サブネットに1つ設定1つのルーティングテーブルには複数の サブネットがマッピング可能必ずVPCのCIDRがrdquolocalrdquoとして登録emsp されているサブネットのデフォルト状態ではメインemsp ルートテーブルが設定されている
AWS パブリックAPI エンドポイント
インターネットゲートウェイ
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_Route_Tableshtml
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
メインルートテーブルとカスタムルートテーブル
29
メインルートテーブルVPCを作成したときに自動的に割当てられるルートテーブルサブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる
カスタムルートテーブル任意で作成したルートテーブル明示的に各サブネットへ割り当てることが可能カスタムルートテーブルをメインルートテーブルに変更更することが可能
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
パブリックサブネットとプライベートサブネット
30
プライベートサブネット パブリックサブネット1001024 10010024
VPC CIDR 10000 16
Internet13EC2EC2
プライベートIP 10010100
プライベートIP1001100
プライベートIPで通信 パブリックIPで通信
パブリックIP 5400100
EC2のOSで確認できるのはプライベートIPのみ パブリックサブネットのIPが
IGW経由でインターネットまたはAWSクラウドと通信するときにパブリックIPを利利用
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Webサービスの構成例例
アベイラビリティゾーン A アベイラビリティゾーン B
プライベートサブネット 10111024
VPC CIDR 10000 16
プライベートサブネット 10021024
プライベートサブネット 10012024
プライベートサブネット 10022024
Internet13
パブリックサブネット 1001024
パブリックサブネット 1002024
ELB ELBNAT GW
DB
NAT GW
DB
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
パブリックサブネットの設定
32
Route Table
Destination Target
1010016 local
00000 igw
デフォルトルートをigwに設定
ElasticIPをアタッチ
サブネットに自動割当てを設定
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Elastic IP
アベイラビリティゾーン A アベイラビリティゾーン B
1001024
インターネットゲートウェイ
VPC CIDR 10000 16
Internet13
AWS パブリックAPI エンドポイント
Route Table
Destination Target
1000016 local
00000 igw
10010024
EIP EIP
アカウントに紐紐付けられる固定の パブリックIPEC2インスタンスに割り当て可能インスタンスあたり1EIPは無料料費用がかかるのは以下のケースemsp -‐‑‒ 追加でEIPを利利用する場合 -‐‑‒ 起動中のEC2インスタンスに割当てemsp られていない場合 -‐‑‒ アタッチされていないENIに割当て られている場合 -‐‑‒ 1ヶ月間でリマップ(割当て取り外し) が100回を超えた場合
httpdocsawsamazoncomja_jpAWSEC2latestUserGuideelastic-‐‑‒ip-‐‑‒addresses-‐‑‒eiphtml
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
パブリックサブネット1
プライベートサブネット1
パブリックサブネット2
プライベートサブネット2
NATゲートウェイ
VPC13
アベイラビリティゾーン 1
34
アベイラビリティゾーン 2
00 ndash NAT-‐‑‒B00 ndash NAT-‐‑‒A
AWSによるマネージドNATサービスプライベートサブネットのリソースがemsp インターネットまたはAWSクラウドへ通信emsp するために必要EIPの割当て可能高パフォーマンス(最大10Gbpsバースト)高可用性(ビルトインで冗長化)アベイラビリティゾーン毎に設置するのがemsp ベストプラクティス
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
NAT Gateway vs NATインスタンス
項目 NAT Gateway NATインスタンス可用性 各AZのNAT Gatewayは
冗長化されているスクリプトを利利用してNATインスタンス単位でフェールオーバー
帯域 10Gbps(バースト)まで インスタンスタイプによるメンテナンス AWSのマネージド ユーザにてメンテナンスコスト 利利用時間NATを経由した
データ量量(プロセス)に課金金利利用時間
httpdocsawsamazoncomAmazonVPClatestUserGuidevpc-‐‑‒nat-‐‑‒comparisonhtml
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCエンドポイント for S3VPCエンドポイントをVPCに作成しemsp プライベートサブネットからAWSemsp クラウド上のS3バケットにアクセスemsp が可能VPCエンドポイントを作成しルートemsp テーブルの宛先にS3のプレフィックスemsp ターゲットにVPCエンドポイントをemsp 指定することでS3への通信がVPCemsp エンドポイントを経由VPCエンドポイントポリシーでアクセス 制御が可能追加費用なし(トラフィック課金金もなし)emsp
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス
Route Table
Destination Target
1010016 local
pl-abcd1234 vpce-abcd1234
comamazonawsap-northeast-1s3 サービス名
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒endpointshtml
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCエンドポイント関連のオブジェクト
宛先のAWSクラウド上のサービスを特定するためのID該当のサービスで利利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名はrdquocomamazonawsltregiongts3rdquo
サービスのプレフィックスリストID (pl-‐‑‒xxxxxxxxx)
VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットやバケットポリシーのリソースとして指定
VPCエンドポイントID (vpce-‐‑‒xxxxxxxxx)
VPCエンドポイントへアクセスを許可するためのポリシーエンドポイントポリシー
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCエンドポイントのメリット
bull S3アクセスのためのインターネットゲートウェイやNATインスタンスが不不要uuml NATインスタンスの冗長化も考慮しなくて良良いuuml NATインスタンスの性能に影響を受けない
bull 安全高い信頼性bull 設定が簡単(2ステップのみ)bull 今後対象サービスの追加予定
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
注意事項
bull ネットワークACLの宛先にプレフィックスリストIDを指定することはできない
bull 異異なるリージョンのバケットと接続することはできないbull VPCエンドポイントの移動はできないbull VPNAWS Direct ConnectVPC PeeringClassicLinkの接続先からVPCエンドポイントを利利用することはできない
bull S3のバケットポリシーIAMポリシーでVPC内のプライベートIPを記述することはできない(エンドポイントIDを記述)
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
アベイラビリティゾーン A
VPCエンドポイントポリシー
40
Statement [ Sid specific-‐‑‒bucket-‐‑‒only Principal Action [ s3GetObject s3PutObject ] Effect Allow Resource [arnawss3mypics arnawss3mypics] ]
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックスVPCエンドポイントから特定の
バケットへのPutGetのみ許可
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
S3バケットポリシー(VPCエンドポイント指定)
41
Version 2012-‐‑‒10-‐‑‒17 Id Policy1415115909152 Statement [ Sid Access-‐‑‒to-‐‑‒specific-‐‑‒VPCE-‐‑‒only Principal Action s3 Effect Deny Resource [arnawss3mypics arnawss3mypics] Condition StringNotEquals awssourceVpce vpce-‐‑‒abcd1234 ]
アベイラビリティゾーン A
vpce-abcd1234 VPCエンドポイント
pl-abcd1234 S3プレフィックス特定のVPCエンドポイントからの
アクセスを許可
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
移行行について
アベイラビリティゾーン A
pl-abcd1234
プライベートサブネット10010024
S3 Prefix
vpce-abcd1234
NATゲートウェイ
パブリックサブネット 1000024
VPCエンドポイントを優先(ロンゲストマッチ)
S3に通信中のトラフィックに影響が出るので注意
Route Table
Destination Target
1000016 local
00000 NATゲートウェイ
pl-abcd1234 vpce-abcd1234
VPCエンドポイント
VPCエンドポイント追加
ルートテーブルにVPCエンドポイントのエントリを追加
送信先pl-‐‑‒abcd1234(プレフィックスリスト)ターゲットvpce-‐‑‒abcd1234(VPCエンドポイント)
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
バーチャルプライベートゲートウェイ(VGW)
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPN接続
データセンター オフィスやデータセンターなどのemsp オンプレミスとのVPN接続のためのemsp エンドポイントとなる仮想ルータDirect Connect(専用線)のエンドemsp ポイントとしても利利用1つのVPCあたり1つのVGWのみemsp アタッチ可能1つのVGWで複数のVPNDirect Connectのコネクションを終端単一障害点や帯域幅のボトルネックemsp は存在しない
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
カスタマゲートウェイ(CGW)
サブネットアベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
データセンター
VPN接続
AWSとのVPNを接続する物理理的またはemsp 仮想的なルータVGWとVPN接続を行行なうお客様にて準備設定いただくサンプルコンフィグをダウンロード可能
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPN接続
サブネット
アベイラビリティゾーン A
サブネット
アベイラビリティゾーン B
1001024 10010024
VPC CIDR 10000 16
データセンター
VPN接続
VPCとオンプレミス間のVPN接続CGWとVGWの間でIPsecトンネルemsp が設定される
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPC Peering (VPCピア接続)
アベイラビリティゾーン A
1011024
VPC CIDR 10100 16
アベイラビリティゾーン B
1021024
Route Table
Destination Target
1020016 local
00000 pcx-xxxxxx
VPC CIDR 10100 16 VPC CIDR 10200 16
pcx-‐‑‒xxxxxx
2つのVPC間でトラフィックのemsp ルーティングが可能同一のAWSアカウントはもちろんemsp 異異なるAWSアカウント間(クロスemsp アカウント)のVPC間をピア接続emsp することも可能単一障害点や帯域幅のボトルネックemsp は存在しないMTUに注意(VPC Peeringは1500)Route Table
Destination Target
1000016 local
00000 pcx-xxxxxx
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuidevpc-‐‑‒peeringhtml
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
リージョン間のVPC間接続例例
パブリックサブネット 1010024
アベイラビリティゾーン A
プライベートサブネット 10110024
東京リージョン
パブリックサブネット1020024
アベイラビリティゾーン A
プライベートサブネット10210024
シンガポールリージョン
インターネットVPN
ソフトウェアVPNルータをEC2で構築しインターネットVPNで接続
Route Table
Destination Target
1010016 local
1020016 i-xxxxxx 1010016 1020016
i-‐‑‒xxxxxx i-‐‑‒yyyyyy
通信したいサブネットのルートテーブルで別リージョンのVPCのCIDRを宛先VPNルータのインスタンスをターゲットとしたルートを設定
Route Table
Destination Target
1010016 local
1010016 i-yyyyyy
片側の対向はVGWでもOK
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
AWSクラウドとVPC
データセンター 本社オフィス
SNS DynamoDB IoT Kinesis
SQS S3
アベイラビリティゾーン 1 アベイラビリティゾーン 2
ElasticSearchService
VPC内と外のどちらにリソースやemsp エンドポイントが存在するかサービスにemsp よって異異なるVPCからAWSクラウドへのリソースはemsp IGW経由の通信となる プライベートサブネットからはrarr
NATゲートウェイまたはVPCエンドポイント(S3のみ) パブリックサブネットからはrarremsp emsp emsp 自動割当てまたはEIPのパブリックIPから直接アクセスS3へのアクセスはVPCエンドポイント利利用emsp
パブリックサブネットパブリックサブネット
パブリックプライベートサブネット
パブリックプライベートサブネット
AWSクラウド
表示しているサービスは一部のみです
EC2
RDS
ElastiCache Redshift
ECS
EMR
NATゲートウェイ ELB
Lambda
Lambda
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
49
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
ネットワークアクセスコントロールリスト
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
サブネット毎に設定するフィルタemsp 機能インバウンドアウトバウンドをemsp サブネット毎に制御ステートレスデフォルトはすべて許可
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_ACLshtml
ACL-‐‑‒in
ACL-‐‑‒out
ステートレスなのでinに対するout outに対するinも設定が必要
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
セキュリティグループ
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet 1001024
VPC CIDR 10000 16
Subnet 10010024
EC2インスタンスの仮想ファイアemsp ウォールとして機能1つのEC2インスタンスあたり5つのemsp セキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをemsp グルーピング可能
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideVPC_SecurityGroupshtml
SG-‐‑‒in
SG-‐‑‒out
ステートフルなのでinに対するout outに対するinは設定しなくてOK
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCピアリング先のセキュリティグループが指定可能
52
VPC Peering
172310016 10550016
Orange Security Group Blue Security Group
ALLOW
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCセキュリティコントロール
Route 13Table13
Route 13Table13
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router13
VPC 1010016
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
ネットワークACL vs セキュリティグループ
ネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
AllowDenyをINOUTで指定可能(ブラックリスト型)
AllowのみをINOUTで指定可能(ホワイトリスト型)
ステートレスなので戻りのトラフィックも明示的に許可設定する
ステートフルなので戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理理下に入る
インスタンス管理理者がセキュリティグループを適用すればその管理理下になる
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
その他のセキュリティ対策例例
55
ホスト型のIDSIPS(TrendMicro DeepSecurity etchellip)
WAF on EC2(Imperva SOHOS etchellip)AWS WAF
VPC以外のサービスはパートナー製品を利利用
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
56
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCとのプライベートネットワーク接続
57
AWS Direct Connectを利利用し一貫性のあるネットワーク接続を実現本番サービス向け
バーチャルプライベートゲートェイを利利用したサイト間VPNVPN接続
専用線接続
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPN接続構成
58
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
トンネル1
トンネル2
VPN接続
1つのVPN接続は2つのIPsec トンネルで冗長化ルーティングはemsp emsp emsp 静的(スタティック) emsp emsp 動的(ダイナミックBGP) が選択可能
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
カスタマゲートウェイの要件
59
機能 RFC 機能 RFC
Pre-‐‑‒shared キーを使用してIKE セキュリティ接続を確立立する
RFC2409 トンネルを論論理理インターフェイスに結合する(経路路ベースのVPN)
-‐‑‒
トンネルモードでIPsec セキュリティ接続を確立立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459
AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する
RFC3602 (オプション)BGP ピアを確立立する RFC4271
SHA-‐‑‒1 または SHA-‐‑‒256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
RFC4459
Diffie-‐‑‒Hellman Perfect Forward Secrecy を使用します以下のグループがサポートされますフェーズ 1 グループ 214〜~18222324フェーズ 2 グループ 12514〜~18222324
RFC2409 パケットの フラグメント化しない フラグをリセットする
RFC791
IPsec Dead Peer Detection の利利用 RFC3706
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPN対応機器リスト静的ルーティングを使用する場合Cisco ASA 500シリーズemsp バーション82移行行Cico ISR (IOS 124以降降)SonicOS58以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGMicrosoft Windows Server 2008 R2 以降降ヤマハ RTX1200 ルーター
動的ルーティングを使用する場合Astaro Security GatewaySecurity Gateway Essential Firewall Edition バージョン83以降降Cisco ISR (IOS 124以降降)SonicOS59以降降を実行行するDell SonicWALL次世代ファイアウォール(TZNSASuperMassiveシリーズ)Fortinet Fortigate 40+シリーズ (FortiOS 40以降降)Juniper Jシリーズサービスルーター (JunOS 95以降降)Juniper SRXシリーズサービスゲートウェイ (JunOS 95以降降)ScreenOS 61もしくは62(またはそれ以降降)のJuniper SSGISGPalo Alto Networks PAシリーズ (PANOS 412以降降)Vyatta network OS 65以降降ヤマハ RTX1200 ルーター
httpsawsamazoncomjpvpcfaqsC9
掲載機器以外でも要件を満たせば利利用可能最新情報はWebのドキュメントを参照
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
カスタマゲートウェイのコンフィグレーション -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 IPSec Tunnel 113 -shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐-shy‐13 1 Internet Key Exchange (IKE) Configuraon1313 A policy is established for the supported ISAKMP encrypon 13 authencaon Diffie-shy‐Hellman lifeme and key parameters1313 Note that there are a global list of ISAKMP policies each idenfied by 13 sequence number This policy is defined as 200 which may conflict with13 an exisng policy using the same number If so we recommend changing 13 the sequence number to avoid conflicts1313crypto isakmp policy 20013 encrypon aes 12813 authencaon pre-shy‐share13 group 213 lifeme 2880013 hash sha13exit1313 The ISAKMP keyring stores the Pre Shared Key used to authencate the 13 tunnel endpoints1313
httpdocsawsamazoncomja_jpAmazonVPClatestNetworkAdminGuideIntroductionhtml
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPNのアップデート(201510)
62
bull カスタマゲートウェイのIPアドレスが再利利用可能に
bull NATトラバーサルが利利用可能にbull NATルータの背後にカスタマゲートウェイが設置可能
bull 新しい暗号化オプションbull AES-‐‑‒256bull フェーズ1 DH groups 2 14-‐‑‒18 22 23 and 24bull フェーズ2 DH groups 1 2 5 14-‐‑‒18 22 23 and 24
httpawstypepadcomaws_japan201510vpc-‐‑‒vpnhtml
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
専用線(Direct Connect)接続構成
6363
バーチャルプライベートゲートウェイ
カスタマゲートウェイ
相互接続ポイント(Equinix TY2 or OS1)
AWSとお客様設備を専用線でemsp ネットワーク接続相互接続ポイントへ専用線を敷設emsp しAWSのルータと相互接続日本の相互接続ポイントはemsp emsp 東京(Equinix TY2) 大阪(Equinix OS1)ルーティングはBGPのみ接続先は以下の2つemsp VPC(プライベート接続)emsp AWSクラウド(パブリック接続)VPNよりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCからオンプレミスへのルート設定
64
Route Table
Destination Target
1010016 local
19216810024 vgw
192168100241000024
1000016
VPCからオンプレミスへの通信をemsp するためには各サブネットのemsp ルートテーブルの設定が必要
emsp 宛先 オンプレミスのIPemsp ターゲットVGWのID
ルートテーブルでrdquoルート伝達emsp (プロパゲート)rdquoを有効にするとemsp VGWで受信したルート情報をemsp ルートテーブルに自動的に伝達 (頻繁にオンプレのルートが更更新emsp される場合はこちらを利利用)
伝達
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPNとDirect Connectの冗長化
65
19216810024
1000024
1000016
VPN
Direct Connect
VPNとDirect Connectを同じVGWemsp に接続することが可能 Direct Connect =アクティブemsp VPN =スタンバイ
この場合VPCから見見たOutboundemsp は必ずDirect Connectが優先emsp される (VPNを優先したい場合はVPNルータから Direct Connectより長いPrefixを広告)
VPNへのフェールオーバー時はemsp レイテンシなど回線品質に注意
優先
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
インターネットVPN vs 専用線インターネットVPN 専用線
コスト 安価なベストエフォート回線も利利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~sim 数週間~sim
帯域 暗号化のオーバーヘッドにより制限あり
~sim10Gbps
品質 インターネットベースのため経路路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切切り分け インターネットベースのため自社で保持している範囲以外での切切り分けが難しい
エンドツーエンドでどの経路路を利利用しているか把握できているため比較的容易易
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
67
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
bull CIDR(IPアドレス)は既存のVPC社内のDCやオフィスと被らないアドレス帯をアサイン
bull 複数のアベイラビリティゾーンを利利用し可用性の高いシステムを構築
bull パブリックプライベートサブネットへのリソースの配置を慎重に検討
bull 適切切なセキュリティ対策を適用するbull システムの境界を明らかにしVPCをどのように分割するか将来を見見据えてしっかりと検討する
68
VPC設計のポイント
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCを分割するケース(例例)
bull アプリケーションによる分割bull 監査のスコープによる分割bull リスクレベルによる分割bull 本番検証開発フェーズによる分割bull 部署による分割bull 共通サービスの切切り出し
AWSアカウントとVPC分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
ケース1
70
データセンター
DEVLAN
STGLAN
PRODLAN
1つの組織でインフラとオペレーションが統一1つの組織でITの意思決定を実施組織間でデータが共有されている
CIO
インフラチーム
運用チーム
開発チーム
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
ケース1
71
データセンター
DEVLAN
STGLAN
PRODLAN
DEVサブネット
STGサブネット
PRODサブネット
シングルアカウントシングルVPCIAMによる権限分離離タグによるコスト管理理
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
ケース2
72
各LOBが組織内に複数存在LOB内でそれぞれディレクションが行行われているインフラアプリケーションがLOB毎に独立立LOB内に開発運用チームを独自で持っているLOB 1 データセンター
DEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
CIO
LOB1ディレクター
インフラチーム 開発チーム 運用チーム
LOB 2ディレクター
インフラチーム 開発チーム 運用チーム
LOB 3 ディレクター
インフラチーム 開発チーム 運用チーム
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
ケース2
73
LOB 1 データセンターDEV LAN STG LAN PROD LAN
LOB 2 データセンターDEV LAN STG LAN PROD LAN
LOB 3 データセンターDEV LAN STG LAN PROD LAN
マルチアカウントマルチVPCAWSアカウントによる権限分離離AWSアカウント毎にコスト管理理
LOB1DEV VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
LOB3DEV VPC
LOB3STG VPC
LOB3PROD VPC
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPC分割
74
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
CIO
LOB1
開発チーム
LOB 2
開発チーム
IT本部
インフラチーム
運用チーム
各LOB毎に開発チームが存在LOB内でそれぞれ開発が行行われているインフラ運用はIT本部に集約
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPC分割
75
データセンター
LOB 1 LAN
STG
PROD
DEV
LOB 2 LAN
STG
PROD
DEV
IT LAN
LOB1DEV VPC
共通VPC
LOB1STG VPC
LOB1PROD VPC
LOB2DEV VPC
LOB2STG VPC
LOB2PROD VPC
マルチアカウントマルチVPCモニタリングや認証などのコアサービスは共通emsp VPCとVPCピアリングで接続
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
76
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCの実装方法
77
aws ec2 create-‐‑‒vpc -‐‑‒-‐‑‒cidr-‐‑‒block 1000016
from vpcboto import VPCConnectionc = VPCConnecction()vpc = ccreate_vpc(1000016)
マネージメントコンソール
AWS CLIAWS SDK サードパーティツール
resource aws_vpc main cidr_block = 1000016 tags Name = main
AWS CloudFormation
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
AWS CloudFormation
78
AWSTemplateFormatVersion 2010-‐‑‒09-‐‑‒09 Resources myVPC Type AWSEC2VPC Properties CidrBlock 1000016 EnableDnsSupport false EnableDnsHostnames false InstanceTenancy dedicated Tags [ Key foo Value barrdquo ]
テンプレート(JSON形式) CloudFormation AWS環境(スタック)が完成
JSONテンプレートを元にAWS環境を構築
httpdocsawsamazoncomja_jpAWSCloudFormationlatestUserGuideCHAP_TemplateQuickRefhtmlテンプレートサンプル
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
AWS CloudFormationデザイナー
79
GUIでテンプレートの作成が可能
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
80
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPC Flow Logsとはネットワークトラフィックをキャプチャemsp しCloudWatch LogsへPublishする機能ネットワークインタフェースを送信元emsp 送信先とするトラフィックが対象セキュリティグループとネットワークACLemsp のルールでacceptedrejectされたemsp トラフィックログを取得キャプチャウインドウと言われる時間枠emsp (約10分間)で収集プロセッシングemsp 保存RDS RedshiftElasticCacheemsp WorkSpacesのネットワークインタフェーemsp emsp ストラフィックも取得可能追加料料金金はなし(CloudWatch Logsの標準emsp 料料金金は課金金)
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
構成イメージ
セキュリティグループ
ネットワークACL
Log Group
CloudWatch Logs
ネットワークインタフェース(ENI)
Log Stream
VPC Flow LogsVPC
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
2 123456789010 eni-‐‑‒abc123de
172168112 172168111
49761 3389 6 20 4249
1418530010 1418530070 REJECT OK
実際のレコード
Version account-‐‑‒id interface-‐‑‒id
srcaddr dsraddr
protocol packet bytes
start end action log-‐‑‒status
srcport dstport
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Flow Log レコードの項目フィールド 説明version VPC flow logsのバージョン
account-‐‑‒id flow logを取得したAWSアカウント
interface-‐‑‒id ログストリームが適用されているネットワークインタフェースのID
srcaddr 送信元アドレス()
dsraddr 送信先アドレス()
srcport 送信元ポート
dsrport 送信先ポート
protocol IANAで定義されたプロトコル番号
packets キャプチャウインドウの中で取得したパケット数
bytes キャプチャウインドウの中で取得したバイト数
start キャプチャウインドウ開始時のUNIX時間
end キャプチャウインドウ終了了時のUNIX時間
action トラフィックのアクション(ACCEPTREJECT)
log-‐‑‒status ログステータス(OKNODATASKIPDATA)
Flow Log レコードhttpdocsawsamazoncomAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒log-‐‑‒records
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPC Flow Logsで取得できない通信bull Amazon DNS サーバーへのトラフィック(独自の DNS サーバーを使用する場合はその DNS サーバーへのすべてのトラフィックが記録される)
bull Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック
bull インスタンスメタデータ用に 169254169254 との間を行行き来するトラフィック
bull DHCP トラフィックbull デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
利利用例例CloudWatchメトリックフィルターとアラート作成
httpdocsawsamazoncomja_jpAmazonVPClatestUserGuideflow-‐‑‒logshtmlflow-‐‑‒logs-‐‑‒cw-‐‑‒alarm-‐‑‒example
[version account eni source destination srcip destip=22 protocol=6 packets bytes windowstart windowend action=REJECT flowlogstatus]
22tcp(SSH)でREJECTされた通信をフィルタ
CloudWatch LogsのMetric Filterで監視
トラフィックログ収集
アラート通知
CloudWatch Logs Metric Filter作成
VPC CloudWatch アラート
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
利利用例例Elasticsearch Service + kibanaによる可視化
VPC CloudWatchLogs
ElasticsearchService kibana
ElasticsearchへPUT
httpsblogsawsamazoncomsecuritypostTx246GOZNFIW79NHow-‐‑‒to-‐‑‒Optimize-‐‑‒and-‐‑‒Visualize-‐‑‒Your-‐‑‒Security-‐‑‒Groups
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
VPCのリミット関連bull デフォルトの上限値が増加したものもあり
ndash httpdocsawsamazoncomAmazonVPClatestUserGuideVPC_Appendix_Limitshtml
bull Webサイトから制限解除申請可能ndash httpawsamazoncomjpcontact-‐‑‒usvpc-‐‑‒request
bull 不不明点はAWSサポートや担当営業までお問い合わせください
リソース 数リージョン当たりの VPC の数 5
VPC 当たりのサブネットの数 200
AWS アカウント当たり1 リージョン内の Elastic IP 数 5
ルートテーブル当たりのルートの数 100
VPCあたりのセキュリティグループの数 500
セキュリティグループあたりのルール数(InOut) 50
ネットワークインタフェースあたりのセキュリティグループ 5
VPC当たりのアクティブなVPCピア接続 125
VPCあたり(仮想プライベートゲートウェイ)のVPN接続数 10
代表的なVPCのリミット
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Agenda
bull Amazon VPCとはbull VPCのコンポーネントbull VPCのセキュリティbull オンプレミスとのハイブリッド構成bull VPCの設計bull VPCの実装bull VPCの運用bull まとめ
89
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
まとめ
90
bull VPCによりさまざまな要件に合わせたネットワークを簡単に作成することが可能
bull 設計時には将来の拡張も見見据えたアドレスの利利用や他ネットワークとの接続性を確保
bull VPC構成は自社のITオペレーションモデルに合わせてVPC単体ではなく利利用するVPC全体の関係性も視野に入れる
bull 実装や運用を補助するツールも有効利利用
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
Webinar資料料の配置場所bull AWS クラウドサービス活用資料料集
uuml httpawsamazoncomjpaws-‐‑‒jp-‐‑‒introduction
bull AWS Solutions Architect ブログuuml 最新の情報セミナー中のQampA等が掲載されていますuuml httpawstypepadcomsajp
91
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92
公式TwitterFacebookAWSの最新情報をお届けします
awscloud_jp検索索
最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています
もしくはhttponfbme1vR8yWm
92