ソリューションセッション#5 AWSで構築する仮想プライベートクラウド

荒木靖宏

アマゾン データ サービス ジャパン株式会社

プリンシパルソリューションアーキテクト

自己紹介 名前

• 荒木 靖宏

所属

• アマゾンデータサービスジャパン株式会社

プリンシパルソリューションアーキテクト

ID

• Twitter: ar1

好きなAWSサービス

• Amazon Virtual Private Cloud

• AWS Direct Connect

アジェンダ

「プライベートクラウド」欲求 • ビジネスアジリティ対応

• コスト競争力

• セキュリティ＆コンプライアンス

事例

現実として利用できること（技術）

Amazon VPCがおこたえします

AWSプラットフォーム

Compute Storage

AWS Global Infrastructure

Database

App Services

Deployment & Administration

Networking

AWS のネットワークサービス

Amazon Route 53 Scalable Domain Name Service

AWS Direct Connect Private, Dedicated Connection to AWS

Amazon Virtual Private Cloud VPN to Extend Your Network Topology to AWS

Compute Storage

AWS Global Infrastructure

Database

App Services

Deployment & Administration

Networking

Amazon VPC

AWSクラウド上に仮想プライベートクラウドを構築

オンプレミスとのハイブリッドが簡単に実現

• AWSが社内インフラの一部に見える

社内システム、ソフトウェアの移行がより容易に

例：業務システム、バッチ処理、ファイルサーバ

2011年8月から全リージョンで利用可能に

社内ネットワーク

インターネット経由でのVPN接続

専用線接続

AWSパブリック

クラウド環境

社外ユーザ

ルーター

企業ネットワークとAWSを統合：AMAZON VPC

企業内の情報処理で抱える悩み

要件

ビジネス（本業）の俊敏性要求

データ処理要件（新規、バージョンアップ）の増加

データ量の加速度的増加

セキュリティ及びコンプライアンス対応が読めない

‥

コスト

管理者の労力、工数

設備所有コスト

‥

要件 ｖｓ コスト

昔なら問題にならなかった

コンシューマライゼーション時代の到来

企業内のほうが不便な環境

クラウドコンピューティングの定義 NIST（米国立標準技術研究所）

オンデマンド・セルフサービス

広範なネットワークアクセス

リソースのプーリング

迅速な弾力的規模拡大・縮小

測定されたサービスによるリソースの自律最適化

大数に鍛えられたクラウドだけが持つ

クラウドで備えよ！

では、自社に

クラウドをつくるとしたら？

プライベートクラウドへの要求

ビジネスアジリティ対応

コスト競争力

セキュリティ＆コンプライアンス

Amazon VPCがおこたえします

柔軟なネットワーク、サーバ構成

リージョン

EC2

VPC イントラ

プライベート

サブネット パブリック

サブネット

インターネット

EC2内に分離し

たサブネットを自由に作成

VPN

専用線

ゲートウェイ

複数のネットワークにそれぞれイーサネット接続可能

複数IPアドレスを使用可能

1サーバあたり最大240個まで

AWS Direct Connect（専用線接続）

AWSとデータセンター、オフィス、コロケーション環境間にプライベート接続を確立するサービス

お客様

AWS Cloud

EC2, S3などの

Public サービス

Amazon VPC

相互接続ポイント

専用線

コロケへの専用線引き込みと違ってサーバ設置場所を限定しない。

相互接続ポイントはサーバの置かれた建屋とは独立した場所

多くの国内キャリアと協業

広域LANサービスでの使用

AWS

Direct

Connect

Amazon Virtual

Private Cloud

(VPC)

キャリアの

広域LANサービス

一拠点としてAWSを追加

マルチホーム(cloudhub)

本社

DirectConnect

Internet

VPN Internet

VPN

Internet

VPN

プライベートクラウドへの要求

ビジネスアジリティ対応

コスト競争力

セキュリティ＆コンプライアンス

Amazon VPCがおこたえします

Amazon.comの11月のトラフィック

キャパシティプランニングは下記赤線

実際の利用したリソースの割合

76%

24%

AWSにおける価格の考え方

Pay as you go (従量課金)

• コミットメントや長期契約の必要無し

Pay less when you reserve (確保による値引き)

• キャパシティを確保する事による値引き

Pay even less per unit by using more (ボリュームによ

る値引き)

• 自動的なボリュームディスカウント

Pay even less as AWS grows (AWS成長による値引き)

• 「規模の経済」による値引き (過去6年間で20回の値引き実績)

Dell PowerEdge R310：$1,838

Dell PowerConnect 6224： $2,991 Dell PowerEdge Rack 4220： $2,252

3-year Dell ProSupport and NBD On-site Service： $216 (Server) 3-year Dell ProSupport and NBD On-site Service： $799 (Network)

PUE of 2.5 and electricity price of $0.09 per kW hour

$23,000 per kW of redundant IT power and $300 per square foot

参考：サーバ1台に対するTCO

$120,000/年間/人、比率(サーバ:人) – 50:1

AWSホワイトペーパー：The Total Cost of (Non) Ownership of

Web Applications in the Cloud

プライベートクラウドへの要求

ビジネスアジリティ対応

コスト競争力

セキュリティ＆コンプライアンス

Amazon VPCがおこたえします

AWSが取得した第三者認証/認定

クラウド専業のため、集中的に多くのセキュリティ投資が可能

SSAE16/ISAE3402 (旧SAS-70 Type II) 認証

ISO27001認証

PCI DSS 認証（Payment Card Industry Data Security Standard）

FISMA Moderateレベル

日本語ホワイトペーパー公開中

「リスクとコンプライアンス」「セキュリティプロセスの概要」 http://aws.amazon.com/jp/whitepapers/

EC2 Dedicated Instance

クラウドのメリット確保 従量課金

柔軟にスケールアップ

瞬時に調達

規制に対応しなければいけないお客様のご要望に応えるサービス

顧客A

物理サーバー

通常のEC2

顧客B 顧客C

顧客A

物理サーバー

顧客B 顧客C

Dedicated Instance

VPC内で専用インスタンス

シングルテナント保証

サーバ

ネットワーク

サイト

ビジネスのためのセキュリティ考慮点

ロケーション

ファシリティ

ファシリティオペレーション

サーバ、データ機材

お客様のコアビジネス

サービス侵入

構成および運用

コアビジネス以外は、AWSが対応

はAWSが対応

サービス利用妨害

Amazon VPCの成功例

VPC

ガリバーインターナショナル様

UMCエレクトロニクス様

中国

Singtel様 Global WAN

AWS Singapore Region

VPC Private Subnet VPC Public Subnet

EC2 for SAP A1 Production

EC2 for SAP Dev/Test

NAT Instance

SAP様

Realtech様

Internet Elastic IP IGW

Internet-VPN

Internet接続用

Gateway

外部からのメンテナンス用踏み台サーバ

Elastic IP

日本

ベトナム

PCI DSS取得に

顧客むけのPC＆モバイル向けウェブサービス

チケット発行

迅速なPCI DSS の取得にVPCが寄与

レスポンス改善によるコンバージョンレート向上

38％以上のコスト削減

オンプレミスとのハイブリッド環境に

DATAPIPE社のサービス例

• Oracle DBをオンプレミスのデータセンタに設置

• 変化するリソースはAWS上

AWS利用例（DR環境）

DR環境をAWS内で構築

利用例

これからDR環境を整備するシステム

コスト面でDRを整備出来なかったシステム（F/S等）

通常は休止または必要最小規模で稼働

既存データセンター

Amazon Elastic Compute Cloud (EC2)

DR環境 本番環境

Direct Connect（専用線）

Virtual Private Cloud (VPC)

採用事例

Amazon VPCの利用の技術

Amazon VPCをどう考えるか

これからの標準になるもの

ネットワークを仮想化するもの

ネットワークにまつわる多くの要望への答え

• サブネットを使った管理

• 複数ネットワークインターフェース

• 複数IPアドレス

• IPアドレスの固定

37

パケットの出入り管理

ネットワークレイヤでIN/OUTをコントロール

インスタンス単位でもセキュリティグループで

更にIN/OUTコントロール

Public subnet + Private subnet

Virtual Private Cloud

Public Subnet

Internet Gateway

Internet

Security Group

Private Subnet

Security Group

NAT

instance

Public subnet内に位置

インターネットとの通信が必要ないなら不要

Destination Target

10.0.0.0/16 local

0.0.0.0/0 Internt Gateway

Destination Target

10.0.0.0/16 local

0.0.0.0/0 NAT Instance

VPC with a Single Public Subnet

EIPアドレスをパブリックインタフェースにアサイン

適用メリット

高いセキュリティの中でWebアプリを稼働させる

プライベートIPを用いて、インスタンスをまとめられる

VPC with Public and Private Subnets

パブリックサブネットのインスタンスには、EIPをアサインできる

プライベートサブネットのインスタンスはインターネットから直接アクセスできない

適用メリット

Webサーバーをパブリックサブネットを稼働し、プライベートサブネット内のデータベースの読み書きを行う

VPC with Public and Private Subnets and

a VPN Connection パブリックサブネットのインスタンスには、EIPをアサインできる

プライベートサブネットのインスタンスにVPN経由でアクセス可能

適用メリット

VPCをインターネットに接続しつつ、データセンターをクラウド上に拡張

42

VPC a Private Subnet and a VPN

Connection VPC登場時はこの形態のみだった

全てのトラフィックは社内データセンターのファイヤウォール経由で行われる

適用メリット

データセンターをクラウドに拡張しても、中央集権的管理を維持する

43

プライベートクラウド4箇条

ビジネスアジリティ対応

コスト競争力

セキュリティ＆コンプライアンス

現実として利用できること（技術）

Amazon VPCがおこたえします

Amazon VPCで仮想プライベートクラウドを！

Meet the SAコーナーでお待ちしています

バックアップ

アジェンダ

VPC概要

VPCを理解するためのシナリオスタディ

Stage 1

VPCをつくってみる

Stage 1

VPCをつくってみる

VPCを定義する

リージョンを選択する

IPブロックを設定する

• 最大で16ビット

Dedicated Instanceにするかどうかを選択

Virtual Private Cloud VPC全体のIPブロック

最大は16ビット

Region

Stage 2

パブリックサブネットの作成

Public Subnet

VPC内にIPブロックを設定する

• 最大で17ビットマスク

• サブネット内の始めの4IPアドレスはAWSが予約

サブネットはAvailabilty Zone

(AZ)をまたがない

Virtual Private Cloud

VPC Subnet

サブネットを作成

Availability Zone

注意点

デフォルト

• サブネット内での通信のための経路のみ

• Network Access Control List (NACL)はフルオープン

Internet Gateway (IGW) の追加

内部のインスタンスのデフォルト経路はIGWに向ける

経路はカスタマイズ可能

VPC外部との通信はこのゲートウェイを通過する

Virtual Private Cloud

VPC Subnet

Internet

Gateway

Internet

セキュリティグループとインスタンス

セキュリティグループではInbound, Outboundのフィルタ設定を行う • Statefulなフィルタ

インスタンスにはEIPを付与できる

EC2との違い • EC2ではInboundのみ

• いつでも(稼働中でも)セキュリティグループとインスタンスの組み合わせを変更できる

Virtual Private Cloud

VPC Subnet

Internet Gateway

Internet

Security Group

インスタンス

VPC内のインスタンスとEC2との違い

Dedicated Instanceを選択することができる

t1.micro は使うことができない

VPC/subnet選ぶ

IPを固定できる

• グローバルIPはEIPを使うといつでも付与、変更できる

• プライベートIPを指定して起動できる

InstanceTypeの選択

デフォルトではDedicated Instanceは選択されない。

インスタンス起動

プライベートIPアドレスを指定

プライベートアドレスを固定可能。

無指定時は勝手にアサイン

インスタンスの確認

プライベートアドレスを固定できる

パブリックアドレスなし

EIPのひもづけ

EIPを確認

Stage 3

Create a private subnet

Private Subnet

Private Subnet間、Public Subnet間は自由に通信できる。

Private Subnet内からインターネットへ接続するときのみ「NATインスタンス」が必要

Main route table

• subnetにRouteTableを紐づけない場合は、mainが適用

ＮＡＴインスタンス

プライベートサブネットから、インターネット接続するためのＮＡＴ

停止すると、プライベートサブネットからインターネット接続が不可能になる

• S3、SQSなども使用不可になる

3

NATインスタンスの起動

Security Group をNAT用に作成

Disable Source / Destination Checking on NAT

通常のインスタンスでは発信元か宛先のIPアドレスが自分のときのみ処理をする。NATではこのチェックが邪魔になる。

EIPをNATインスタンスにつける

Private Subnetのルーティング更新

0.0.0.0/0の追加し、NAT instance-IDへ向ける

Stage 4

Connect a VPN

Public subnet + Private subnet + VPN GW

Virtual Private Cloud = 10.0.0.0/16

Public Subnet

Internet Gateway

Security Group

Private Subnet

Security Group

NAT

instance

Destination Target

10.0.0.0/16 local

0.0.0.0/0 Internt Gateway

Destination Target

10.0.0.0/16 local

172.16.0.0/16 VPN Gateway

0.0.0.0/0 NAT Instance

VPN Gateway

Corporate = 172.16.0.0/16

ハードウェアVPN

IPsec VPN

• BGP (Border gateway protocol)

• AES 128 bit の暗号化トンネル

サポート対象

• Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software

• Juniper J-Series routers running JunOS 9.5 (or later) software

• Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software

• Yamaha RTX1200 routers (Rev. 10.01.16+)

Phase1:IKEconfigまで

鍵ハッシュとしてSHA-1が使えるかどうか確認

共通鍵としてDH-2が使えるかどうか確認

AES 128ビット暗号が使えるかどうか確認

Mainモードが使えるかどうか確認

• AggressiveモードはID情報交換を暗号化しないため、使わない

Phase2: IPsec config

暗号化方法がエンド同士で一致しているかどうか確認

IPsec dead peer connectionが機能するかどうか確認

ESPプロトコルの確認

Phase3: IPsecトンネル

トンネルが設定される

（オプション）最大MTUが1436バイトに設定される

Phase4: BGPピアリング

カスタマLANとVPCサブネットをトンネルで接続

Private ASNをつかってPrimary/secondaryのフェイルオーバー

Stage 5

Advanced

VPCの制限について

数字の制限

• ひとつのVPNゲートウェイあたり10までのIPSec接続

• 1リージョンあたり5つまでのVPNゲートウェイ

機能の制限

• ELB: VPC内部のインスタンスと組み合わせて使えない

• インターネットゲートウェイを使えばEC2,S3などほとんどの機能は利用可

続々拡張中

http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind

ex.html?WhatsNew.html

DHCPオプションの活用

想定利用ケース（w/ Direct Connect）

Direct Connectを利用

転送帯域・速度を確保

大量の更新データを高頻度にスナップショット取得可能

iSCSI Storage

Gateway

Local

Backup

S3

Snapshots

Direct

Connect

Direct Connect

Copyright © 2011 Amazon Web Services

AWS Direct Connectの論理接続

論理的にはPublic向けと、VPC向けで異なる

お客様

AWS Cloud

EC2, S3などの

Public サービス

Amazon VPC

相互接続ポイント 専用線

Zone A

Zone B

AWS Direct Connect：Publicサービス

お客様

AWS Cloud

EC2, S3などの

Public サービス

Amazon VPC

相互接続ポイント 専用線

Zone A

Zone B

Public ASを使ったBGP接続

Public ASを運用

AWS Direct Connect：VPCサービス

お客様

AWS Cloud

EC2, S3などの

Public サービス

Amazon VPC

相互接続ポイント 専用線

Zone A

Zone B

Private ASを使ったBGP接続

Private ASを使用

== VPCをVPNで使う場合と同じ

IPSecトンネルの代わりに専用線上のVLANがあると考えればok

注意点

Public IP transitを行いません

• 複数のカスタマ間のトラフィックを直接通信することはできません

• カスタマのインターネット接続は依然として必要です

• EC2インスタンスをProxyとして使うなどでは可能

リージョン毎の契約です • 東京につないで、シンガポールを使うようなことはできません

VPCからインターネットゲートウェイを使えばPublicサービス (S3など)を使える

86

AWS Direct Connectの利用のために

AWS DirectConnect 接続のステップ

自社で手配する?

検討開始

回線業者選定

回線終端装置の置き場はあ

る?

接続点ラックを契約

Publicサービスを直接使う?

DXSPに依頼

物理接続

Public ASを持っている?

Public ASの取得

Public 接続

VPCを使う?

VPC 接続

利用開始

DXSP:

Direct Connect Solution Provider

Direct Connect接続方法

AWS Direct Connect Solution Providerに依頼する方法

お客様が自分で相互接続ポイントに直接つなぐ方法

AWS DirectConnect 接続のステップ

自社で手配する?

検討開始

回線業者選定

回線終端装置の置き場はあ

る?

接続点ラックを契約

Publicサービスを直接使う?

DXSPに依頼

物理接続

Public ASを持っている?

Public ASの取得

Public 接続

VPCを使う?

VPC 接続

利用開始

DXSP:

Direct Connect Solution Provider

この面倒な手続が省力化されます

物理接続

1Gbpsおよび10Gbpsの接続口を提供

接続口はアベイラビリティゾーンとは独立した別の場所

• 東京リージョンの場合は、Equinix TY2 (東京都品川区)

DXSPを使わない場合には原則 TY2にラックを契約して、必要な機器を設置して接続する

Equinixへラックを設置する方法

WANの終端装置、VLAN対応スイッチをラック内に設置

TY2では構内配線

お客様

ラック

AWS

ラック

AWS

R R 802.1q

１G/10G

キャリア

WAN終端装置

エンド

Equinix TY2

論理接続

1Gbpsおよび10Gbpsの接続の上にVLANを設定

Publicサービス向け

1. VLANを定義

2. Public ASとPrefixをAWSに通知

VPC向け

1. VLANを定義

2. VPCを作成

3. VPNゲートウェイIDをAWSに通知

VPCでのIPSecトンネルに代わりVLAN

VPC

（ZoneB)

論理接続形態

Equinix TY２

AWSラック ラック

10G

1G

キャリアバックボーン

R R

VPC

（ZoneA)

VLAN VLAN VLAN

Public向けVLAN

End user

（多数） AWSの責任範囲

ネットワークプロバイダ

またはEUの責任範囲

コロケーション

プロバイダ

の責任範囲

（構内配線のみ）

EC2,S3などのPublic

サービス

AWS Direct Connect Solution Provider

利用者がやるべきことを肩代わり/お手伝い

• Equinix

• KVH

• NRI (野村総合研究所)

• NTT Communications

• Softbank Telecom

自由に通信回線をご用意いただけます