PowerPoint Presentation

Transcription

1 AWS Black Belt Online Seminar Amazon Virtual Private Cloud (VPC) アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクト益子直樹

2 自己紹介 名前 : 益子直樹 ( ましこなおき ) 所属 : アマゾンウェブサービスジャパンソリューションアーキテクト ロール : 製造業 製薬業界のお客様を中心にご支援 経歴 : 通信キャリアで広域イーサや ISP のバックボーン設計開発や運用を担当 好きな AWS サービス : VPC Direct Connect CloudFormation

3 AWS Black Belt Online Seminar へようこそ! 質問を投げることができます! Adobe Connect の Q&A ウィンドウから 質問を書き込んでください ( 書き込んだ質問は 主催者にしか見えません ) 今後のロードマップに関するご質問はお答えできませんのでご了承ください Twitter へツイートする際はハッシュタグ #awsblackbelt をご利用ください 1Q&A ウィンドウ右下のフォームに質問を書き込んでください 2 吹き出しマークで送信してください

4 AWS Black Belt Online Seminar とは AWSJ の Tech メンバが AWS に関する様々な事を紹介するオンラインセミナーです 火曜 12:00~13:00 主に AWS のソリューションや業界カットでの使いどころなどを紹介 ( 例 :IoT 金融業界向け etc.) 水曜 18:00~19:00 主に AWS サービスの紹介やアップデートの解説 ( 例 :EC2 RDS Lambda etc.) 開催曜日と時間帯は変更となる場合がございます 最新の情報は下記をご確認下さい オンラインセミナーのスケジュール & 申し込みサイト

5 内容についての注意点 本資料では 2017 年 4 月 12 日時点のサービス内容および価格についてご説明しています 最新の情報は AWS 公式ウェブサイト ( にてご確認ください 資料作成には十分注意しておりますが 資料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます 価格は税抜表記となっています 日本居住者のお客様が東京リージョンを使用する場合 別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.

6 このセミナーのゴール VPC のコンセプトに慣れる 基本的な VPC のセットアップが出来るようになる 自社の要件にあった仮想ネットワークの作り方を理解する

7 Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ

8 Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ

9 データセンターをデザインしようとするには 何が必要?

10 オンプレミス環境でのネットワークのイメージ 土地 電源 UPS ラック 空調 ラック ファイバー パッチパネル SFP 等 IF モジュール スイッチ ルータ ストレージ サーバ ロードバランサー ファイアーウォール WAF 遠隔操作用ターミナルサーバ

11 Before 従来の IT インフラ サービス開発グループ調達グループ現地作業グループ運用グループ 要件定義 納品待ち 検品 商用運用開始 データセンター 机上検討 発注 ラッキング 商用導入作業 ラック 構築するには 機器選定 調達決裁 ケーブリング メンテナンス時間調整 ネットワーク機器 検証機 手配 検証 設定投入 時間 (= コスト ) がかかる早くても数ヶ月 長いと半年 動作確認

12 After クラウドで仮想ネットワークを構築 組み合わせてすぐ利用開始! データセンター バーチャルプライベートゲートウェイ インターネットゲートウェイ ラック ネットワーク機器 必要な機能を抽象化サービスとして予め用意されている Elastic IP (Network Function Virtualization) Elastic ネットワークインタフェース ルートテーブル + or 仮想ルータ NAT ゲートウェイ API WEB マネージメントコンソール

13 クラウドに対する悩み 不安 インターネット接続部分のスケールアウトは大丈夫? 社内業務アプリケーションはミッションクリティカルだから冗長とか大丈夫? クラウドを使いたいが社内ルール ( セキュリティ / ネットワーク ) に合わなそう 社内と専用線で接続したいけど どうやればいいの?

14 VPC(Virtual Private Cloud) で解決可能 AWS 上にプライベートネットワーク空間を構築 任意の IP アドレスレンジが利用可能 論理的なネットワーク分離が可能 必要に応じてネットワーク同士を接続することも可能 ネットワーク環境のコントロールが可能 ルートテーブルや各種ゲートウェイ 各種コンポーネント 複数のコネクティビティオプションが選択可能 インターネット経由 VPN/ 専用線 (Direct Connect)

15 Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ

16 様々なコンポーネントを用意 インターネットゲートウェイ サブネット 仮想ルータ ルートテーブル VPC Peering NAT ゲートウェイ VPC エンドポイント for Amazon S3 Elastic IP バーチャルプライベートゲートウェイ VPN コネクション カスタマゲートウェイ Elastic ネットワークインタフェース Elastic ネットワークアダプタ

17 まずは全体のネットワーク空間を VPC として定義 /16

18 利用するサブネットを定義 / /24 EC2 Internet パブリックサブネット

19 インターネットへの接続を設定 / /24 EC2 Internet パブリックサブネット

20 プライベートサブネットを追加 / / /24 EC2 Internet プライベートサブネット NAT ゲートウェイ EC2 パブリックサブネット

21 インターネットに接続しないネットワークも作成可能 /24 EC2 プライベートサブネット

22 オンプレミスとの接続 /24 EC2 オフィスデータセンター VPN or 専用線 プライベートサブネット

23 ネットワーク要件に応じて自由に設定可能 / / /24 EC2 EC2 Internet オフィスデータセンター VPN or 専用線 プライベートサブネット パブリックサブネット

24 VPC ウィザードで数画面で作成可能 2 希望のパターンを選択 ➀VPC ウィザードの開始をクリック 3 選択をクリック 4VPC の作成をクリック

25 ウォークスルー : インターネット接続 VPC セットアップ

26 インターネットへの接続を設定する VPC を作成 /16 Internet ap-northeast-1a ap-northeast-1c / /24 パブリックサブネット パブリックサブネット VPC subnet Availability Zone VPC subnet Availability Zone

27 インターネット接続 VPC のステップ ➀ アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択 における Subnet を選択 経路を設定 トラフィックを許可

28 インターネット接続 VPC のステップ ➀ アドレスレンジを Availability Zones インターネットへの VPC への IN/OUT 選択 における Subnet を選択 経路を設定 トラフィックを許可

29 CIDR 表記の再確認 ( Classless Inter-Domain Routing ) 以前のアドレス体系はクラスフルだった (IPv4 の 32 ビットアドレス空間を 8 ビットで区切る ) クラス A 16,777,214 個 (2 24-2) クラス B 65,534 個 (2 16-2) クラス C 254 個 (2 8-2) クラス B だと多過ぎ クラス C だと少な過ぎる場合など実際の組織のホスト数に柔軟合わせたい CIDR レンジのサンプル : / /16/24 のいずれかではなく 可変長のビットマスクで必要に応じたアドレッシングが可能になった ネットワークアドレス部 ホストアドレス部 RFC(1518/1519 を経て 4632) にて定義

30 VPC に使うアドレスレンジの選択 VPC に設定するアドレスは既に使っている もしくは使うであろうネットワークアドレスを避けるのがポイント /16 推奨 : RFC1918 レンジ 推奨 :/16 (65,534 アドレス ) 作成後変更はできないので注意が必要

31 VPC の作成 IPv4 CIDR block にアドレスレンジを入力して作成

32 インターネット接続 VPC のステップ ➀ アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択 における Subnet を選択 経路を設定 トラフィックを許可

33 VPC CIRD とサブネット数 CIDR に /16 を設定した場合の各サブネット数と使える IP アドレス数 サブネットマスク サブネット数 サブネットあたりの IP アドレス数 / / / / / / VPC あたりのサブネット作成上限数はデフォルト 200 個

34 アベイラビリティゾーン AZ は 1 つ以上のデータセンターで構成される 1 リージョン内に AZ が複数存在 AZ はお互いに地理的 電源的 ネットワーク的に分離 2 つの AZ を利用した冗長構成を容易に構築 リージョン内の AZ 間は高速専用線で接続 ( リージョン間はインターネット経由 ) US East (Northern Virginia) EU (Ireland) Asia Pacific (Tokyo) US West (Oregon) Asia Pacific (Sydney) Availability Zone E Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone D Availability Zone C Availability Zone C US West(Northern California) Asia Pacific (Singapore) AWS GovCloud (US) EU (Frankfurt) South America (Sao Paulo) Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B

35 サブネットに対して AZ とアドレスを選択 /16 推奨 : 各 AZ に Subnet を設定 ap-northeast-1a ap-northeast-1c / /24 推奨 : Subnet に /24 設定 (251 個 ) VPC subnet Availability Zone VPC subnet Availability Zone

36 サブネットを作成 ネームタグ VPC アベイラビリティゾーン IPv4 CIDR block を指定して作成

37 サブネットで利用できない IP アドレス ホストアドレス 用途.0 ネットワークアドレス.1 VPC ルータ.2 Amazon が提供する DNS サービス.3 AWS で予約.255 ブロードキャストアドレス (VPC ではブロードキャストはサポートされていない )

38 インターネット接続 VPC のステップ ➀ アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択 における Subnet を選択 経路を設定 トラフィックを許可

39 VPC 内におけるルーティング ルートテーブルはパケットがどこに向かえば良いかを示すもの VPC 作成時にデフォルトで 1 つルートテーブルが作成される VPC 内は作成時に指定した CIDR アドレス ( プライベートアドレス ) でルーティングされる

40 ルートテーブルの確認 送信先が同一のセグメントであれば同一セグメントに送信 ( VPC 作成時にデフォルトで作成 )

41 インターネットゲートウェイを作成 VPC にアタッチ VPC からインターネットへの接続がアタッチされた

42 仮想ルータとルートテーブルの関係 ( ルート Look up) EC2 インスタンス EC2 ➀ パケット送信 データ データ 送信元 送信元 送信先 送信先 パケット到着 仮想ルータ データ データ 送信元 送信先 ターゲットへパケット転送 Local 3 テーブル Look Up 送信元 送信先 インターネットゲートウェイ igw-29454e4c 送信先 はこっち行けば良い 送信先 はこっち行けば良い

43 ルートテーブルにインターネットゲートウェイを追加 /0( デフォルトルート ) に対して作成したインターネットゲートウェイへのルートをターゲットに追加

44 パブリックサブネットとプライベートサブネット EC2 の OS で確認できるのはプライベート IP のみ パブリックサブネットの IP が IGW 経由でインターネットまたは AWS クラウドと通信するときにパブリック IP を利用 プライベート IP: プライベート IP で通信 プライベート IP: パブリック IP: パブリック IP で通信 EC2 EC2 Internet / /24 プライベートサブネット パブリックサブネット VPC CIDR: /16

45 インターネット接続 VPC のステップ ➀ アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択 における Subnet を選択 経路を設定 トラフィックを許可

46 セキュリティグループ = ステートフル Firewall デフォルトで許可されているのは同じセキュリティグループ内通信のみ ( 外からの通信は禁止 ) その為 必要な通信例えば WEB 公開する場合はインターネット ( /0) から 80 ポートを許可

47 Network ACLs = ステートレス Firewall サブネット単位で適用される デフォルトでは全ての送信元 IP を許可

48 VPC セキュリティコントロール VPC /16 EC2 Instance EC2 Instance EC2 Instance SG In SG Out SG In SG Out SG In SG Out Subnet /24 Subnet /24 Network ACL In Network ACL Out Network ACL In Network ACL Out Route Table Virtual Router Route Table インターネットゲートウェイ バーチャルプライベートゲートウェイ

49 ネットワーク ACL vs セキュリティグループ ネットワーク ACL サブネットレベルで効果 Allow/Deny を IN OUT で指定可能 ( ブラックリスト型 ) ステートレスなので 戻りのトラフィックも明示的に許可設定する 番号の順序通りに適用 サブネット内のすべてのインスタンスが ACL の管理下に入る セキュリティグループ サーバレベルで効果 Allow のみを IN OUT で指定可能 ( ホワイトリスト型 ) ステートフルなので 戻りのトラフィックを考慮しなくてよい 全てのルールを適用 インスタンス管理者がセキュリティグループを適用すればその管理下になる

50 VPC セットアップの補足

51 サブネット内の DHCP サブネット内の ENI(Elastic ネットワーク インタフェース ) に IP を自動割当て DHCP 機能 プライベート IP を固定にした場合は DHCP 経由で該当の IP が割当てられる EC2 ENI (eth0) MAC アドレスプライベート IP の割当て (EC2インスタンスのOS 上のNIC 設定はDHCP 設定とする ) サブネット

52 Amazon DNS サーバー データセンター Amazon が提供する DNS サービス Amazon Provided DNS or 以下の 2 つのアドレスが利用可能 1VPC のネットワーク範囲 (CIDR) の アドレスに +2 をプラスした IP ( /16 の場合は ) / /24 サブネット サブネット アベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: /16 VPC 内の EC2 インスタンスからのみ参照可能 (VPN や専用線経由では参照できない )

53 DNS 機能の有効化とホストへの DNS 名割当て Enable DNS resolution. 基本は yes とする No にすると VPC の DNS 機能が無効となる Enable DNS hostname True にすると DNS 名が割り当てられる Enable DNS resolution を true にしないと有効にならない

54 IPv6 の対応 S3 CloudFront WAF Route53 に続き VPC ALB が IPv6 対応 / :db8:1234:1a00::/ / :db8:1234:1a01::/64 EC / :db8:1234:1a00::/64 EC2 EC2 EC2 Application Load Balancer Amazon CloudFront Amazon Route 53 Amazon S3 Internet オフィスデータセンター Direct Connect Basion プライベートサブネット WEB パブリックサブネット AWS WAF Internet gateway Egress-only Internet Gateway Egress-only Gateway(EGW) を利用して IPv6 においてもプライベート利用が可能 上記のような構成を IPv4/IPv6 デュアルスタックで構築可能

55 VPC における IPv4 と IPv6 の特徴と制限 IPv4 IPv6 アドレス体系 32bit 128bit VPC での利用 CIDR ブロックサイズ サブネットブロックサイズ パブリック IP/ プライベート IP インスタンスタイプ アマゾン提供 DNS デフォルトで適用 16~28bit で選択自分で任意のアドレスを設定可能 16~28bit で選択 それぞれ存在 (NAT を介してパブリック IP をプライマリプライベート IP に MAP) 全てのインスタンスタイプ プライベート IP Elastic IP に対するそれぞれの DNS ホスト名を受信 オプトイン ( 自動適用ではなく任意 ) 56bit 固定かつ自動で 56bit CIDR がアサインされる ( 選べない ) 64bit 固定 パブリックのみ ( プライベートにするには Egress-only Internet Gateway を利用 ) M3 G2 を除く全ての現行世代のインスタンスタイプでサポート 提供される DNS ホスト名はなし 閉域接続 VPN DirectConnect DirectConnect のみ

56 Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ

57 VPC とのプライベートネットワーク接続 VPN 接続 バーチャルプライベートゲートウェイを利用したサイト間 VPN 専用線接続 AWS Direct Connect を利用し 一貫性のあるネットワーク接続を実現本番サービス向け

58 VPN 接続構成 トンネル #1 トンネル #2 カスタマゲートウェイ 1つのVPN 接続は2つのIPsec トンネルで冗長化 ルーティングは静的 ( スタティック ) 動的 ( ダイナミック :BGP) が選択可能 バーチャルプライベートゲートウェイ VPN 接続

59 カスタマゲートウェイの要件 機能 RFC 機能 RFC Pre-shared キーを使用して IKE セキュリティ接続を確立する RFC2409 トンネルを論理インターフェイスに結合する ( 経路ベースの VPN) トンネルモードで IPsec セキュリティ接続を確立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する RFC3602 ( オプション )BGP ピアを確立する RFC4271 SHA-1 または SHA-256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサ イズを調整する RFC4459 Diffie-Hellman Perfect Forward Secrecy を使用します 以下のグループがサポートされます フェーズ 1 グループ : 2,14~18,22,23,24 フェーズ 2 グループ : 1,2,5,14~18,22,23,24 RFC2409 パケットの " フラグメント化しない " フラグをリセットする RFC791 IPsec Dead Peer Detection の利用 RFC

60 VPN 対応機器リスト 掲載機器以外でも要件を満たせば利用可能 静的ルーティングを使用する場合最新情報はWebのドキュメントを参照 Cisco ASA 500シリーズバーション8.2 移行 Cico ISR (IOS 12.4 以降 ) SonicOS5.8 以降を実行するDell SonicWALL 次世代ファイアウォール (TZ,NSA,SuperMassiveシリーズ) Juniper Jシリーズサービスルーター (JunOS 9.5 以降 ) Juniper SRXシリーズサービスゲートウェイ (JunOS 9.5 以降 ) ScreenOS 6.1もしくは6.2( またはそれ以降 ) のJuniper SSG/ISG Microsoft Windows Server 2008 R2 以降ヤマハ RTX1200 ルーター 動的ルーティングを使用する場合 Astaro Security Gateway/Security Gateway Essential Firewall Edition バージョン 8.3 以降 Cisco ISR (IOS 12.4 以降 ) SonicOS5.9 以降を実行する Dell SonicWALL 次世代ファイアウォール (TZ,NSA,SuperMassive シリーズ ) Fortinet Fortigate 40+ シリーズ (FortiOS 4.0 以降 ) Juniper J シリーズサービスルーター (JunOS 9.5 以降 ) Juniper SRX シリーズサービスゲートウェイ (JunOS 9.5 以降 ) ScreenOS 6.1 もしくは 6.2( またはそれ以降 ) の Juniper SSG/ISG Palo Alto Networks PA シリーズ (PANOS 以降 ) Vyatta network OS 6.5 以降ヤマハ RTX1200 ルーター

61 カスタマゲートウェイのコンフィグレーション ! IPSec Tunnel #1! ! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.! crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime hash sha exit! The ISAKMP keyring stores the Pre Shared Key used to authenticate the! tunnel endpoints.!

62 VPN のアップデート (2015/10) カスタマゲートウェイの IP アドレスが再利用可能に NAT トラバーサルが利用可能に NAT ルータの背後にカスタマゲートウェイが設置可能 新しい暗号化オプション AES-256 フェーズ 1: DH groups 2, 14-18, 22, 23, and 24 フェーズ 2: DH groups 1, 2, 5, 14-18, 22, 23, and

63 専用線 (Direct Connect) 接続構成 バーチャルプライベートゲートウェイ 相互接続ポイント (Equinix TY2 or OS1) カスタマゲートウェイ AWS とお客様設備を専用線でネットワーク接続 相互接続ポイントへ専用線を敷設 し AWS のルータと相互接続 日本の相互接続ポイントは 東京 (Equinix TY2) 大阪 (Equinix OS1) ルーティングは BGP のみ 接続先は以下の 2 つ VPC( プライベート接続 ) AWS クラウド ( パブリック接続 ) VPN よりも一貫性がある 帯域のパフォーマンスも向上 ネットワークコストも削減

64 VPC からオンプレミスへのルート設定 /16 VPC からオンプレミスへの通信を するためには各サブネットの ルートテーブルの設定が必要 伝達 宛先 : オンプレミスの IP ターゲット :VGW の ID /24 Route Table Destination Target /16 local /24 vgw /24 ルートテーブルで ルート伝達 ( プロパゲート ) を有効にすると VGWで受信したルート情報をルートテーブルに自動的に伝達 ( 頻繁にオンプレのルートが更新される場合はこちらを利用 )

65 インターネット VPN vs 専用線 コスト インターネット VPN 安価なベストエフォート回線も利用可能 専用線 キャリアの専用線サービスの契約が必要 リードタイム即時 ~ 数週間 ~ 帯域 品質 障害時の切り分け 暗号化のオーバーヘッドにより制限あり インターネットベースのため経路上のネットワーク状態の影響を受ける インターネットベースのため自社で保持している範囲以外での切り分けが難しい ~10Gbps キャリアにより高い品質が保証されている エンドツーエンドでどの経路を利用しているか把握できているため比較的容易

66 VPN と Direct Connect の冗長化 VPN と Direct Connect を同じ VGW に接続することが可能 Direct Connect = アクティブ VPN = スタンバイ /16 優先 Direct Connect /24 この場合 VPC から見た Outbound は必ず Direct Connect が優先 される (VPN を優先したい場合は VPN ルータから Direct Connect より長い Prefix を広告 ) /24 VPN VPN へのフェールオーバー時は レイテンシなど回線品質に注意

67 Transit VPC 日本本社 海外拠点 CloudFormation テンプレートとして提供 VPC をグローバルネットワーク転送センターとして機能 2 つ以上の AWS リージョンに渡るプライベートネットワークを構築可能 すべての AWS リージョンを定期にスキャンし VPN 接続がないスポーク VPC で適切にタグされた仮想プライベートゲートウェイを探す 発見すると各 VPC と TransitVPC(Cisco CSR on EC2) 間にて自動で VPN 作成および BGP 接続を行う 通常のインスタンスとネットワークの料金に加え Cisco CSR のライセンス料金が課金される (BYOL も可能 )

68 Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ

69 VPC 設計のポイント CIDR(IP アドレス ) は既存の VPC 社内の DC やオフィスと被らないアドレス帯をアサイン 複数のアベイラビリティゾーンを利用し 可用性の高いシステムを構築 パブリック / プライベートサブネットへのリソースの配置を慎重に検討 適切なセキュリティ対策を適用する システムの境界を明らかにし VPC をどのように分割するか将来を見据えてしっかりと検討する

70 AWS クラウドと VPC AWS クラウド SQS SNS DynamoDB IoT Kinesis パブリックサブネット Elasti Cache RDS Lambda パブリック / プライベートサブネット NAT ゲートウェイ EC2 Elastic SearchService Lambda アベイラビリティゾーン 1 アベイラビリティゾーン 2 S3 VPCエンドポイント ELB Redshift EMR パブリックサブネット ECS パブリック / プライベートサブネット VPC 内と外のどちらにリソースやエンドポイントが存在するかサービスに よって異なる VPC から AWS クラウドへのリソースは IGW 経由の通信となる プライベートサブネットからは NAT ゲートウェイ S3 であれば VPC エンドポイントの利用も可能パブリックサブネットからは 自動割当てまたは EIP のパブリック IP から直接アクセス S3 へのアクセスは VPC エンドポイント利用 可能 : 表示しているサービスは一部のみです データセンター 本社オフィス

71 VPC エンドポイント for S3 Route Table Destination /16 local pl-abcd1234 S3プレフィックス pl-abcd1234 アベイラビリティゾーン A Target vpce-abcd1234 EC2 サービス名 com.amazonaws.ap-northeast-1.s3 VPCエンドポイント vpce-abcd1234 VPC エンドポイントを VPC に作成し プライベートサブネットから AWS クラウド上の S3 バケットにアクセス が可能 VPC エンドポイントを作成すると ルート テーブルの宛先に S3 のプレフィックス ターゲットに VPC エンドポイントが自動で 設定され S3 への通信が VPC エンドポイント 経由となる VPC エンドポイントポリシーでアクセス 制御が可能 追加費用なし ( トラフィック課金もなし )

72 VPC エンドポイントポリシー 72 { "Statement": [ } ] { } "Sid": "specific-bucket-only", "Principal": "*", "Action": [ ], "s3:getobject", "s3:putobject" "Effect": "Allow", VPC エンドポイントから特定のバケットへの Put/Get のみ許可 "Resource": ["arn:aws:s3:::mypics", "arn:aws:s3:::mypics/*"] S3プレフィックス pl-abcd1234 VPCエンドポイント vpce-abcd1234 EC2 アベイラビリティゾーン A

73 S3 バケットポリシー (VPC エンドポイント指定 ) 73 { "Version": " ", "Id": "Policy ", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::mypics", "Condition": { "arn:aws:s3:::mypics/*"], "StringNotEquals": { } "aws:sourcevpce": "vpce-abcd1234" } } ] } 特定の VPC エンドポイントからのアクセスを許可 S3プレフィックス pl-abcd1234 VPCエンドポイント vpce-abcd1234 EC2 アベイラビリティゾーン A

74 移行について VPC エンドポイント追加 パブリックサブネット : /24 NAT ゲートウェイ VPC エンドポイント ルートテーブルに VPC エンドポイントのエントリを追加送信先 :pl-abcd1234( プレフィックスリスト ) ターゲット :vpce-abcd1234(vpc エンドポイント ) S3 に通信中のトラフィックに影響が出るので注意! S3 Prefix Route Table EC2 Destination Target プライベートサブネット : /16 local /24 アベイラビリティゾーン A /0 NATゲートウェ イ pl-abcd1234 vpce-abcd1234 vpce-abcd1234 VPC エンドポイントを優先 ( ロンゲストマッチ ) pl-abcd1234

75 NAT ゲートウェイ パブリックサブネット 1 0/0 NAT-A パブリックサブネット 2 0/0 NAT-B AWSによるマネージドNATサービス プライベートサブネットのリソースがインターネットまたはAWSクラウドへ通信するために必要 EIPの割当て可能 高パフォーマンス( 最大 10Gbpsバースト ) 高可用性( ビルトインで冗長化 ) アベイラビリティゾーン毎に設置するのがベストプラクティス プライベートサブネット1 プライベートサブネット2 アベイラビリティゾーン 1 アベイラビリティゾーン 2 VPC Route Table Destination Target /16 local /0 NATゲートウェイ

76 VPC を分割するケース ( 例 ) アプリケーションによる分割 監査のスコープによる分割 リスクレベルによる分割 本番 / 検証 / 開発フェーズによる分割 部署による分割 共通サービスの切り出し AWS アカウントと VPC 分割パターンはお客様の IT オペレーションモデルに沿ったものである必要がある

77 フェーズによる VPC 分割 シングルアカウント シングル VPC IAM による権限分離 タグによるコスト管理 DEV LAN STG LAN PROD LAN DEV サブネット STG サブネット PROD サブネット データセンター

78 組織ごとの VPC 分割 マルチアカウント マルチ VPC モニタリングや認証などのコアサービスは共通 VPC と VPC ピアリングで接続 DEV DEV STG STG LOB1 DEV VPC LOB1 STG VPC LOB1 PROD VPC LOB1 DEV VPC LOB1 STG VPC LOB1 PROD VPC PROD PROD LOB 1 LAN LOB 2 LAN IT LAN 共通 VPC データセンター

79 VPC Peering (VPC ピア接続 ) VPC CIDR: /16 VPC CIDR: /16 pcx-xxxxxx EC2 EC / /24 アベイラビリティゾーン A アベイラビリティゾーン B Route Table Route Table Destination Target /16 local /0 pcx-xxxxxx VPC CIDR: Destination /16 Target /16 local /0 pcx-xxxxxx 2つのVPC 間でトラフィックのルーティングが可能 同一のAWSアカウントはもちろん 異なるAWSアカウント間 ( クロスアカウント ) のVPC 間をピア接続することも可能 単一障害点や帯域幅のボトルネックは存在しない 以下の点に注意 MTU (VPC Peering 1,500byte) 直接 PeeringしているVPCとのみ通信可能 (2HOPは不可) Regionは跨げない

80 VPC ピアリング先のセキュリティグループが指定可能 / /16 VPC Peering ALLOW Orange Security Group Blue Security Group 80

81 Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ

82 VPC の実装方法 マネージメントコンソール AWS CLI AWS SDK サードパーティツール AWS CloudFormation aws ec2 create-vpc --cidr-block /16 from vpc.boto import VPCConnection c = VPCConnecction() vpc = c.create_vpc(' /16') resource "aws_vpc" "main" { cidr_block = " /16" tags { Name = "main" } } { "AWSTemplateFormatVersion" : " ", "Resources" : { "myvpc" : { "Type" : "AWS::EC2::VPC", "Properties" : { "CidrBlock" : " /16", "EnableDnsSupport" : "false", "EnableDnsHostnames" : "false", "InstanceTenancy" : "dedicated", "Tags" : [ { "Key" : "foo", "Value" : "bar } ] } } } }

83 CLI - VPC 作成 /24 AZ A /24 AZ B /16 aws ec2 create-vpc --cidr /16 aws ec2 create-subnet --vpc vpc-c15180a4 --cidr /24 --a us-west-2a aws ec2 create-subnet --vpc vpc-c15180a4 --cidr /24 --a us-west-2b

84 AWS CloudFormation JSON/YAML テンプレートを元に AWS 環境を構築 { "AWSTemplateFormatVersion" : " ", "Resources" : { "myvpc" : { "Type" : "AWS::EC2::VPC", "Properties" : { "CidrBlock" : " /16", "EnableDnsSupport" : "false", "EnableDnsHostnames" : "false", "InstanceTenancy" : "dedicated", "Tags" : [ { "Key" : "foo", "Value" : "bar } ] } } } } EC2 テンプレート (JSON 形式 ) CloudFormation AWS 環境 ( スタック ) が完成 テンプレートサンプル :

85 AWS CloudFormation デザイナー GUI でテンプレートの作成が可能

86 Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ

87 VPC Flow Logs とは / / /16 ネットワークトラフィックをキャプチャし CloudWatch Logs へ Publish する機能 ネットワークインタフェースを送信元 / 送信先とするトラフィックが対象 セキュリティグループとネットワーク ACL のルールで accepted/reject されたトラフィックログを取得 キャプチャウインドウと言われる時間枠 ( 約 10 分間 ) で収集 プロセッシング 保存 RDS, Redshift ElasticCache WorkSpaces のネットワークインタフェーストラフィックも取得可能 追加料金はなし (CloudWatch Logs の標準料金は課金 )

88 実際のレコード eni-abc123de Version account-id interface-id srcaddr dsraddr srcport dstport protocol packet bytes REJECT OK start end action log-status

89 Flow Log レコードの項目 フィールド 説明 version VPC flow logsのバージョン account-id flow logを取得したawsアカウント interface-id ログストリームが適用されているネットワークインタフェースのID srcaddr 送信元アドレス ( ) dsraddr 送信先アドレス ( ) srcport 送信元ポート dsrport 送信先ポート protocol IANAで定義されたプロトコル番号 packets キャプチャウインドウの中で取得したパケット数 bytes start end action log-status キャプチャウインドウの中で取得したバイト数キャプチャウインドウ開始時のUNIX 時間キャプチャウインドウ終了時のUNIX 時間トラフィックのアクション (ACCEPT/REJECT) ログステータス (OK/NODATA/SKIPDATA) Flow Log レコード :

90 VPC Flow Logs で取得できない通信 Amazon DNS サーバーへのトラフィック ( 独自の DNS サーバーを使用する場合は その DNS サーバーへのすべてのトラフィックが記録される ) Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック インスタンスメタデータ用に との間を行き来するトラフィック DHCP トラフィック デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック

91 利用例 :CloudWatch メトリックフィルターとアラート作成 22/tcp(SSH) で REJECT された通信をフィルタ [version, account, eni, source, destination, srcip, destip="22", protocol="6", packets, bytes, windowstart, windowend, action="reject", flowlogstatus] CloudWatch Logs Metric Filter 作成 CloudWatch Logs の Metric Filter で監視 トラフィックログ収集 アラート通知 VPC CloudWatch アラート example

92 利用例 :Elasticsearch Service + kibana による可視化 Elasticsearch へ PUT VPC CloudWatch Logs Elasticsearch Service kibana Optimize-and-Visualize-Your-Security-Groups

93 VPC のリミット関連 代表的な VPC のリミット リソース 数 リージョン当たりの VPC の数 5 VPC 当たりのサブネットの数 200 デフォルトの上限値が増加したものもあり C/latest/UserGuide/VPC_Appendix_Limit s.html AWS アカウント当たり 1 リージョン内の Elastic IP 数 5 ルートテーブル当たりのルートの数 100 VPCあたりのセキュリティグループの数 500 セキュリティグループあたりのルール数 (In/Out) 50 ネットワークインタフェースあたりのセキュリティグループ 5 Web サイトから制限解除申請可能 VPC 当たりのアクティブな VPC ピア接続 125 VPC あたり ( 仮想プライベートゲートウェイ ) の VPN 接続数 10 不明点は AWS サポートや担当営業までお問い合わせください

94 まとめ VPC により さまざまな要件に合わせたネットワークを簡単に作成可能 設計時には将来の拡張も見据えたアドレッシングや他ネットワークとの接続性も考慮する VPC 構成は自社の IT オペレーションモデルに合わせる VPC 単体ではなく VPC 全体の関係性も視野に入れる 実装や運用を補助するツールも有効利用

95 Q&A

96 オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 AWS Solutions Architect ブログ 最新の情報 セミナー中の Q&A 等が掲載されています

97 AWS の導入 お問い合わせのご相談 AWS クラウド導入に関するご質問 お見積り 資料請求をご希望のお客様は以下のリンクよりお気軽にご相談ください AWS 問い合わせ で検索してください

98 ご参加ありがとうございました

99

100 VPC アベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: /16 仮想データセンターをAWS 上に設定 VPC 内で利用するIPアドレスのブロックを設定 - 通常であればプライベートアドレス (RFC1918) を利用 - /28から/16のネットマスクを利用 複数のアベイラビリティゾーンを利用可能 作成後は VPC アドレスブロックは変更できないので注意!

101 サブネット / /24 サブネット サブネット アベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: /16 VPCのIPアドレス範囲(CIDR) の中で設定 アベイラビリティゾーン毎に設定 ネットワークACL( アクセスリスト ) でネットワークレベルでのセキュリティを設定 サブネット毎にルーティングを設定 最小は/28(14IP)

102 Elastic ネットワークインタフェース ENI (eth0) EC2 EC2 ENI (eth0) / /24 EC2 で利用するネットワークの仮想 インタフェース EC2 インスンタンス毎に仮想ネット ワークインタフェースを複数持つ ことが可能 以下を ENI に紐づけて維持可能 プライベート IP Elastic IP MAC アドレスセキュリティグループ 固定のプライベート IP を設定する ことが可能 VPC 内のマネージドサービスでも 暗黙的に利用されている

103 ENI を使ったフェールオーバー (Floating IP) アクティブ eth0 eth1 EC2 eth0 スタンバイ EC2 EC / /24

104 ENI を使ったフェールオーバー (Floating IP) アクティブ eth0 eth1 EC2 eth0 ENIを付替スタンバイ eth1 EC2 EC / /24

105 インターネットゲートウェイ (IGW) AWS パブリック API エンドポイント / /24 サブネット アベイラビリティゾーン A Internet インターネットゲートウェイ サブネット アベイラビリティゾーン B VPC 内のリソースにインターネットへの接続を提供 VPCにアタッチすることで利用可能 サブネットでルーティング指定 単一障害点や帯域幅のボトルネックは存在しない VPC CIDR: /16

106 仮想ルータ Instance A /24 Public Subnet Instance C / Private Subnet アベイラビリティゾーン A.1.1 Instance A /24 Public Subnet Instance C /24 Private Subnet アベイラビリティゾーン B VPC CIDR: /16 VPC 内のすべてのサブネット間は ネットワーク的に疎通可能 ( 制御したい場合はネットワーク ACL を利用 ) サブネットのネットワーク アドレス +1(.1) がすべての サブネットのゲートウェイと なる ユーザが操作するコンポーネント ではなく 暗黙的に動作している

107 ルートテーブル AWS パブリック API エンドポイント / /24 サブネット アベイラビリティゾーン A Route Table Destination Internet Target /16 local インターネットゲートウェイ サブネット アベイラビリティゾーン B VPC CIDR: /16 サブネット内の通信がどの宛先のネットワークに対してどのコンポーネントに転送されるべきかの定義を記述 ( 例 : インターネットへの通信はIGW) 各サブネットに1つ設定 1つのルーティングテーブルには複数のサブネットがマッピング可能 必ずVPCのCIDRが local として登録されている サブネットのデフォルト状態ではメインルートテーブルが設定されている /0 igw

108 メインルートテーブルとカスタムルートテーブル メインルートテーブル VPC を作成したときに自動的に割当てられるルートテーブル サブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる カスタムルートテーブル 任意で作成したルートテーブル 明示的に各サブネットへ割り当てることが可能 カスタムルートテーブルをメインルートテーブルに変更することが可能 111

109 Web サービスの構成例 Internet Web NAT GW ELB パブリックサブネット : /24 Web NAT GW ELB パブリックサブネット : /24 Web プライベートサブネット : /24 Web プライベートサブネット : /24 DB プライベートサブネット : /24 アベイラビリティゾーン A DB プライベートサブネット : /24 アベイラビリティゾーン B VPC CIDR: /16

110 パブリックサブネットの設定 Route Table Destination Target /16 local /0 igw 自動で割当 固定で割当 サブネットに自動割当てを設定 デフォルトルートを igw に設定 ElasticIP をアタッチ 113

111 Elastic IP AWS パブリック API エンドポイント EIP EC /24 アベイラビリティゾーン A Route Table Destination Internet Target /16 local インターネットゲートウェイ EC2 EIP /24 アベイラビリティゾーン B VPC CIDR: /16 アカウントに紐付けられる固定のパブリックIP EC2インスタンスに割り当て可能 インスタンスあたり1EIPは無料 費用がかかるのは以下のケース - 追加でEIPを利用する場合 - 起動中のEC2インスタンスに割当てられていない場合 - アタッチされていないENIに割当てられている場合 - 1ヶ月間でリマップ ( 割当て 取り外し ) が100 回を超えた場合 /0 igw

112 ネットワークアクセスコントロールリスト EC2 EC2 VPC Subnet with ACL VPC Subnet with ACL アベイラビリティゾーン A アベイラビリティゾーン B ステートレスなのでinに対するout, outに対するinも設定が必要 サブネット毎に設定するフィルタ機能 インバウンド アウトバウンドをサブネット毎に制御 ステートレス デフォルトはすべて許可 ACL-in ACL-out

113 セキュリティグループ EC2 EC2 Subnet: /24 Subnet: /24 アベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: /16 EC2インスタンスの仮想ファイアウォールとして機能 1つのEC2インスタンスあたり5つのセキュリティグループを設定可能 ステートフル デフォルトですべての通信は禁止 複数のEC2インスタンスをグルーピング可能 ステートフルなので in に対する out, out に対する in は設定しなくて OK SG-in EC2 SG-out

114 VPN 接続 データセンター VPN 接続 カスタマゲートウェイ バーチャルプライベートゲートウェイ VPC とオンプレミス間の VPN 接続 CGW と VGW の間で IPsec トンネル が設定される / /24 サブネット アベイラビリティゾーン A サブネット アベイラビリティゾーン B VPC CIDR: /16

115 バーチャルプライベートゲートウェイ (VGW) データセンターカスタマゲートウェイ VPN 接続バーチャルプライベートゲートウェイ / /24 サブネットサブネットアベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: /16 オフィスやデータセンターなどのオンプレミスとのVPN 接続のためのエンドポイントとなる仮想ルータ Direct Connect( 専用線 ) のエンドポイントとしても利用 1つのVPCあたり1つのVGWのみアタッチ可能 1つのVGWで複数のVPN Direct Connectのコネクションを終端 単一障害点や帯域幅のボトルネックは存在しない

116 カスタマゲートウェイ (CGW) データセンター VPN 接続 カスタマゲートウェイ バーチャルプライベートゲートウェイ AWS との VPN を接続する物理的または仮想的なルータ VGW と VPN 接続を行なう お客様にて準備 / 設定いただく サンプルコンフィグをダウンロード可能 / /24 サブネット アベイラビリティゾーン A サブネット アベイラビリティゾーン B VPC CIDR: /16

117 リージョン間の VPC 間接続例 ソフトウェア VPN ルータを EC2 で構築し インターネット VPN で接続 通信したいサブネットのルートテーブルで別リージョンの VPC の CIDR を宛先 VPN ルータのインスタンスをターゲットとしたルートを設定 東京リージョン i-xxxxxx VPN パブリックサブネット : /24 EC2 インターネット VPN 片側の対向は VGW でも OK シンガポールリージョン i-yyyyyy VPN パブリックサブネット : /24 EC2 Route Table Destination Target /16 local プライベートサブネット : /24 アベイラビリティゾーン A Route Table Destination Target /16 local /16 i-yyyyyy プライベートサブネット : /24 アベイラビリティゾーン A /16 i-xxxxxx / /16