エンタープライズ向けAWSクラウドデザインパターンのご紹介（ネットワーク編）

Size: px

Start display at page:

Download "エンタープライズ向けAWSクラウドデザインパターンのご紹介（ネットワーク編）"

れれすみい
5 years ago
Views:

エンタープライズ向け AWS クラウドデザインパターンのご紹介 ( ネットワーク編 ) 荒木靖宏, アマゾンデータサービスジャパン July 18, 2014 2014 Amazon.com, Inc.

1 エンタープライズ向け AWS クラウドデザインパターンのご紹介 ( ネットワーク編 ) 荒木靖宏, アマゾンデータサービスジャパン July 18, Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of

2 自己紹介名前荒木靖宏所属アマゾンデータサービスジャパン株式会社プリンシパルソリューションアーキテクト ID Twitter: ar1 好きな AWS サービス Amazon Virtual Private Cloud AWS Direct Connect

3 よく聞く話サービスが多くてよく分からない組み合わせ方が分からない使い方が正しいのか分からない

4 AWSクラウドデザインパターンとは... AWSクラウドを使ったシステムアーキテクチャ設計を行う際に発生する典型的な問題とそれに対する解決策設計方法を分かりやすく分類してノウハウとして利用できるように整理したもの

5 うまく組み合わせるとピーク対応が楽セキュアなシステム構築安価に世界展開障害にも強い

CDP カテゴリ - 基本パターン Snapshot Stamp Scale Up Ondemand Disk - 可用性を高める Multi-Server Multi-Datacenter Floating IP Deep Health Check - 動的コンテンツを処理 Scale Out Clone Server NFS Sharding NFS Replica State

6 CDP カテゴリ - 基本パターン Snapshot Stamp Scale Up Ondemand Disk - 可用性を高める Multi-Server Multi-Datacenter Floating IP Deep Health Check - 動的コンテンツを処理 Scale Out Clone Server NFS Sharding NFS Replica State Sharing URL Rewriting Rewrite Proxy Cache Proxy - 静的コンテンツを処理 Web Storage Direct Hosting Private Distribution Cache Distribution Rename Distribution - クラウドへのアップロード Write Proxy Storage Index Direct Object Upload - リレーショナルデータベース DB Replication Read Replica Inmemory DB Cache Sharding Write - バッチ処理 Queuing Chain Priority Queue Job Observer Scheduled Autoscaling - 運用保守 Bootstrap Cloud DI Stack Deployment Server Swapping Monitoring Integration Web Storage Archive - ネットワーキング OnDemand NAT Backnet Functional Firewall Operational Firewall Multi Load Balancer WAF Proxy CloudHub

7 エンタープライズシステム構成例 Internet 拠点間広域接続網 Internet データセンター本番 Storage Gateway VM VM AZ A 本番データ Private Segment AZ B Public Segment VMware 社内LAN ステージング Private Segment AD DNS Router 運用LAN アクセスチェック Public Segment Hybrid 監視開発 Private Segment Manage Operation ment Terminal Console 監視運用機能の一元化 VM移行ボリュームコピー Public Segment

8 エンタープライズシステム設計インフラデータ : 移行とバックアップ運用対象アプリ決定リージョン設計 VPC 設計インターネット VPN 専用線本セッションの対象ブロックデバイスファイル VM DB ユーザ管理機器変更管理監視ログステージング環境テストユーザ誘導

9 Agenda エンタープライズシステムへの準備タグ CloudFormation VPC の基本構成要素とパターン内部向けアプリケーションパターンバックホームパターン

10 エンタープライズシステムへの準備 Amazon VPC Router Internet Gateway Customer Gateway Subnet Virtual Private Gateway VPN Connection Route Table Elastic Network Interface

11 Tag: 最初から頻繁にタグの利用は設計の初期から行う使いそうな情報はなんでもタグ化プロジェクトコードコスト負担部署実施チーム環境利用目的などなどリソースを作ってからでもにタグ付けできるタグはリソースの利用権限制御に使える AWS Billing もタグをサポートしている

12 AWS CloudFormation: Infrastructure as Code

13 CloudFormation JSON (Text) Template Stack

14 AWS CloudFormation で得るものバージョン管理されたデータセンタ設計コマンド一発でインフラ展開いつでも世界中のリージョンで再現可能インフラとアプリケーションの明確な分離

15 VPCの基本構成要素とパターン Amazon VPC Router Internet Gateway Customer Gateway Subnet Virtual Private Gateway VPN Connection Route Table Elastic Network Interface

16 VPC を作る前に IP 空間を考えるリージョンの将来拡張に備える社内ネットワークの将来拡張に備える VPCの制約を理解する VPCサイズは /16 ( 約 6 万 5 千 ) から /28(16) IPアドレス空間は初期作成時から変更できない

17 VPC CIDR: /16 Public Subnet Public Subnet Private Subnet Availability Zone A Private Subnet Availability Zone B

18 VPC CIDR: /16 Instance A /24 Public Subnet Instance B /24 Public Subnet Instance C /24 Private Subnet Availability Zone A Instance D /24 Private Subnet Availability Zone B

19 VPC CIDR: /16 Instance A /24 Instance B /24 Public Subnet.1.1 Public Subnet Instance C /24 Private Subnet.1.1 Instance D /24 Private Subnet Availability Zone A Availability Zone B

20 VPC CIDR: /16 Instance A /24 Public Subnet Instance B /24 Public Subnet Route Table Destination Target /16 local Instance C /24 Private Subnet Availability Zone A Instance D /24 Private Subnet Availability Zone B

21 Main ルートテーブルは使わない

VPC CIDR: 10.1.0.0 /16 VPC 内の通信経路は編集も削除もできない Instance A 10.1.1.11 /24 Public Subnet Instance B 10.

33 /24 Private Subnet Route Table Destination 10

22 VPC CIDR: /16 VPC 内の通信経路は編集も削除もできない Instance A /24 Public Subnet Instance B /24 Public Subnet Instance C /24 Private Subnet Route Table Destination / /2 4 Availability Zone A Target local Instance B Instance D /24 Private Subnet Availability Zone B

23 Network ACLs とセキュリティグループ NACLs サブネットに 1 つだけ適用ステートレス Allow & Deny (blacklist) ルール順に評価される Network ACL Security Groups ENI に 5 つまで適用ステートフル Allow のみ (whitelist) ルール全体が評価される Elastic Network Instance Security Group 同一 VPC 内の全てのセキュリティグループを参照可能 VPC Subnet

24 Network ACLs の利用パターン Instance VPC Subnet 最低限の Security ポリシー適用例 : 全サブネットから外部への SMTP 禁止インスタンス毎に適用されているセキュリティグループの漏れの補完ネットワーク運用と開発者の分離

25 VPC Network ACLs のベストプラクティス慎重かつシンプルに VPC から出て行く方向のポリシーに使う Rule 番号は成長を見越して間をあける修正削除できるユーザは IAM を使って制限 Default Network ACL: 何も考えずに押さないで!

26 VPC 管理用の IAM 致命的な影響を与えかねない VPC の API コール AttachInternetGateway AssociateRouteTable CreateRoute DeleteCustomerGateway DeleteInternetGateway DeleteNetworkAcl DeleteNetworkAclEntry DeleteRoute DeleteRouteTable DeleteDhcpOptions ReplaceNetworkAclAssociation DisassociateRouteTable

NACL 管理者の設定例 :MFA の適用 { "Version": "2012-10-17",

"arn:aws:ec2:us-west-2:123456789012:network-acl/*",

27 NACL 管理者の設定例 :MFA の適用 { "Version": " ", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:deletenetworkacl", "ec2:deletenetworkaclentry" ], "Resource": "arn:aws:ec2:us-west-2: :network-acl/*", "Condition": { "StringEquals": { "ec2:resourcetag/environment": "prod" }, "Null": { "aws:multifactorauthage": "false" } } } ] }

VPC CIDR: 10.1.0.0 /16 VPC からの出口の作成 Instance A 10.1.1.11 /24 Public Subnet Instance B 10.1.2.22 /24 Public Subnet Instance C 10.

28 VPC CIDR: /16 VPC からの出口の作成 Instance A /24 Public Subnet Instance B /24 Public Subnet Instance C /24 Private Subnet Availability Zone A Instance D /24 Private Subnet Availability Zone B

29 VPC CIDR: /16 Instance A /24 Public Subnet Route Table Route Table Destination Target Instance B /16 local / /0 IGW Public Subnet Instance C /24 Private Subnet Availability Zone A Instance D /24 Private Subnet Availability Zone B

Internet Gateway VPC CIDR: 10.1.0.0 /16 インターネットゲートウェイとバーチャルゲートウェイの利用 Instance A 10.1.1.11 /24 Public Subnet Instance B 10.1.2.22 /24 Public Subnet Instance C 10.1.3.

30 Internet Gateway VPC CIDR: /16 インターネットゲートウェイとバーチャルゲートウェイの利用 Instance A /24 Public Subnet Instance B /24 Public Subnet Instance C /24 Private Subnet Availability Zone A Instance D /24 Private Subnet Availability Zone B Route Table Destination Target /16 local Corp CIDR VGW Customer Data Center Direct Connect Virtual Private Gateway VPN Connection Customer Data Center

31 Elastic IP を使ったパブリック IP アドレスの付与 AWS アカウントに対して付与されるインスタンスとの紐付けはいつでも可能インスタンス間や ENI 間の移動も可能パブリック IP アドレスとプライベート IP アドレスは 1 対 1 にマッピングされる 1 Public IP to 1 Private IP static NAT mapping インスタンス OS は EIP とマッピングされているかはわからない

32 動的パブリック IP アドレス付与サブネット毎に有効化するインスタンスが起動するときに自動付与 1つめのENIでのみ有効

33 Internet VPC の外にある AWS AWS region Route Table Amazon S3 DynamoDB Public IP があればアクセス可能 Instance A Public: Private: /24 Public Subnet Instance B /24 Public Subnet Instance C /24 Private Subnet Availability Zone A Instance D /24 Private Subnet Availability Zone B

34 VPC の外にある AWS の例常に使う API エンドポイント例 :Amazon S3 Amazon Dynamo DB 制御時のみ使う API エンドポイント例 :AutoScaling ソフトウェアレポジトリへのアクセス例 :Amazon Linux repo は AWS の Public IP からのみに限定

35 Internet AWS region Amazon S3 DynamoDB プライベートサブネットにあるインスタンス C が VPC 外にアクセスするには? Route Table Instance A Public: Private: /24 Public Subnet Instance B /24 Public Subnet Instance C /24 Private Subnet Availability Zone A Instance D /24 Private Subnet Availability Zone B

Internet AWS region Amazon S3 DynamoDB パブリックサブネット内インスタンスに NAT 機能をもたせる NAT A Public: 54.200.129.18 Private: 10.1.1.11 /24 Public Subnet Instance B 10.1.2.22 /24 Public Subnet Instance C 10.

36 Internet AWS region Amazon S3 DynamoDB パブリックサブネット内インスタンスに NAT 機能をもたせる NAT A Public: Private: /24 Public Subnet Instance B /24 Public Subnet Instance C /24 Private Subnet Availability Zone A Instance D /24 Private Subnet Availability Zone B Route Table Destination Target /16 local /0 NAT instanc e

${\ Value\ :false} EC2 での出先宛先チェックの無効化 +HAの機能 $aws autoscaling create-auto-scaling-group --auto-scaling-group-name ha-natasg$

37 NAT インスタンスは何をしているか $echo 1 > /proc/sys/net/ipv4/ip_forward $echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects IP forward の有効化 $/sbin/iptables -t nat -A POSTROUTING -o eth0 s /16 -j MASQUERADE $/sbin/iptables-save IP マスカレードの有効化 $aws ec2 modify-instance-attributes instance-id i-xxxxxxxx source-dest-check {\ Value\ :false} EC2 での出先宛先チェックの無効化 +HAの機能 $aws autoscaling create-auto-scaling-group --auto-scaling-group-name ha-natasg --launch-configuration-name ha-nat-launch --min-size 1 --max-size 1 --vpczone-identifier subnet-xxxxxxxx サブネット内に1 台維持するオートスケール

38 Internet Autoscale HA NAT AWS Region Amazon S3 DynamoDB NAT Public Subnet Private Subnet Availability Zone A NAT Public Subnet Private Subnet Availability Zone B NATインスタンスにオートスケールを設定 min=1,max=1) し AZ毎に1NAT プライベートサブネットのルートテーブルは同じAZのNAT にむける

39 NAT 下で広帯域が必要なとき AZ 毎にHA NATを配置するスケールアップ! ネットワーク関連メトリクスを見るプロトコル別アプリケーションプロキシも有効 t1.micro Very Low m1.small Low m1.large Moderate m1.xlarge, c1.xlarge High

40 内部向けアプリケーションパターン Amazon VPC Router Internet Gateway Customer Gateway Subnet Virtual Private Gateway VPN Connection Route Table Elastic Network Interface

Private Subnet Availability Zone B Destination Target 10.

41 VPN 接続とルートテーブル設定がポイント AWS region Route Table Intranet App Private Subnet Availability Zone A Virtual Private Gateway Intranet App Private Subnet Availability Zone B Destination Target /16 local Corp CIDR VGW VPN Connection Corporate Data Center Corporate Internal Customers

42 VPC 内でデータが完結しない例 Amazon S3

43 基本となるデータフロー嫌われる構成でもある AWS region Amazon S3 Internet Intranet App Private Subnet Availability Zone A Virtual Private Gateway Intranet App Private Subnet Availability Zone B Corporate Border Router Internet VPN Connection Corporate VPN Corporate Data Center

44 インターネットゲートウェイを通すためにプロキシを設置するアプリ ( プライベートサブネットやオンプレミス ) と IGW の間にプロキシを配置全ての HTTP(S) トラフィックは S3 のように特定の URL 宛のみ許可プライベートサブネットからは IGW に経路を設定しないプロキシへはセキュリティグループで制御する

45 AWS region Amazon S3 Multi AZ Auto scaling Group Proxy Public Subnet HTTP/S ELB Private Subnet Intranet App Private Subnet (s) Proxyとアプリの間に Internal ELBを配置した例 Proxy Public Subnet ELB Private Subnet Internal ELB Intranet App Private Subnet (s) Availability Zone B Availability Zone A VPN Connection Corporate Data Center Corporate Internal Customers

46 バックホームパターン Amazon VPC Router Internet Gateway Customer Gateway Subnet Virtual Private Gateway VPN Connection Route Table Elastic Network Interface

47 AWS region Public Facing Web App Internal Corporate App 新規アプリ VPN Connection VPC 内に延長された AD Domain example.com AD Controller example.com DNS Corporate Data center

48 AWS region Public Facing Web App Internal Corporate App #1 Internal Corporate App #2 Internal Corporate App #3 Internal Corporate App #4 Corporate Data center HA Pair VPN Endpoints Customer Gateways (CGW): VPN トンネルあたり 1 つ CGW あたり Public IP1 つ AWS は 2 つのトンネル接続先を提供

49 VPN ハブ & スポーク AWS region Public Facing Web App Internal Corporate App #2 Internal Corporate App #1 Services VPC Internal Corporate App #3 Internal Corporate App #4 Service VPC には他 VPC で共通で使う機能を持たせる VPN アプリ用 VPC 内インスタンスを CGW とする HA のためには 2 つ目のインスタンスを追加する VPC Peering ピアリング先を経由した先とは通信できない Corporate Data center VPN Endpoints

50 AWS Direct Connect (DX) 各リージョンへの専用線接続口複数の VPC または複数のパブリック接続インターフェースをのせられるインターネットに比べて安価なアウトバウンドトラフィック料金 ( インは同じく無料です ) 安定したパフォーマンス複数のアカウントで共有可能冗長接続を選択可能

51 AWS Direct Connect(DX) によるシンプルな方法 AWS region Public Facing Web App Internal Corporate App #1 Internal Corporate App #2 Internal Corporate App #3 Internal Corporate App #4 Private Virtual Interface (PVI) は VGWに紐付けられたVPCとDXを繋ぐ VPC 毎に1PVI 802.1q VLANによるセパレーション AWS Direct Connect Location M, 1G, 10G の専用線接続 Customer Data Center

Private Virtual Interface 1 Private Virtual Interface 2 Private VirtualVLAN Interface Tag 3 101 Private VirtualVLAN Interface 4 102 Tag Customer Interface 0/1.104 0/1.101 0/1.102 0/1.

52 Private Virtual Interface 1 Private Virtual Interface 2 Private VirtualVLAN Interface Tag Private VirtualVLAN Interface Tag Customer Interface 0/ / / /1.103 VLAN Tag BGP ASN BGP Announce Customer Internal Interface IP / / / / 30 0 Route Table Target /1 6 PVI /1 6 PVI /1 6 PVI /1 6 PVI 4 VGW 2 Customer Switch + Router VPC /16 VLAN 101 VLAN 102 VPC /16 Multiple VPCs Over AWS Direct Connect Customer Internal Network Destinatio n VLAN Tag 103 VLAN Tag 104 ASNBGP ASN BGP BGP ASN BGP /16 BGP ASN BGP /16 Announce BGP /16 Announce BGP Announce /16 Interface IP /3 Announce Interface IP /3 0 Interface IP / 0 Interface IP / VGW 1 VGW 3 VLAN 103 VPC /16 VLAN 104 VGW 4 VPC /16

53 Customer Interface 0/1.501 Public Virtual Interface 1 VLAN Tag 501 VLAN Tag 501 BGP ASN (or Public) BGP ASN BGP Announce Customer Public BGP Announce AWS Regional Public CIDRs Interface IP Public /30 Provided Interface IP Public /30 Provided Customer Internal Network Public AWS + VPCs Over AWS Direct Connect VGW /16 VGW 2 Target /1 6 PVI /1 6 PVI /1 6 PVI /1 6 PVI 4 Public AWS PVI 5 VLAN 101 VLAN 102 VLAN 103 Customer Switch + Router VLAN 501 VPC /16 Route Table Destinatio n VPC 1 VGW 3 VPC /16 NAT / PAT Security Layer Public AWS Region

54 AWS Direct Connect Location Customer Routers AWS DX Routers Customer Internal Network 複数のDXおよびVPN接続にはBGPで対応 Active / Active Active / Passive AWS region

55 キャリアWANでの拡張東京リージョン Customer Routers Customer Backbone Network AWS Direct Connect Routers

56 パターン Directory and Name Services Amazon VPC Router Internet Gateway Customer Gateway Subnet Virtual Private Gateway VPN Connection Route Table Elastic Network Interface

57 Active Directory on AWS (TA-04): 吉松龍輝本セッションでは Active Directory を Amazon Web Services (AWS) 上で運用する際の考慮事項についてお話します自社データセンターと AWS との相互運用ドメインとサイトに関する設計の考え方名前解決の設定バックアップにおける注意事項など Active Directory の運用時に必要となるノウハウについてご紹介いたします

58 まとめリソースを可視化し再現可能なシステム開発にはタグ CloudFormation ネットワークと開発担当の権限分離を IAM で行う VPC はサブネット単位で制御する VPN 専用線で拡張可能

59 エンタープライズシステムはすでに現実 AWS を使えばエンタープライズシステムの構築をあらゆるユーザがもっと簡単にもっと安全に AWS をつかったエンタープライズシステムならば今あるシステムに加えて現実的な時間現実的なコスト

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション AWS クラウドデザインパターン - コンテンツ配信編 - 自己紹介名前片山暁雄所属アマゾンデータサービスジャパンソリューションアーキテクト ID @c9katayama 好きなAWSサービス Amazon Simple Workflow 好きなCDP CloudDI AWS クラウドデザインパターンとは... AWS クラウドを使ったシステムアーキテクチャ設計を行う際に発生する典型的な問題とそれに対する解決策