PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

ゆきひらかに
5 years ago
Views:

1 Tokyo

2 TA-08: Tech Deep Dive by Amazon ネットワーク Deep Dive アマゾンデータサービスジャパン株式会社ソリューションアーキテクト吉田英世

3 Gold Sponsors Global Sponsors Silver Sponsors

4 Bronze Sponsors Global Tech Sponsors Logo Sponsors

5 ハッシュタグ #AWSSummit で皆さんのツイートが展示エリアの大画面に表示されますをフォローするとロゴ入りコースターをプレゼントコースター配布場所メイン展示会場メイン会場 1F 受付デベロッパーカンファレンス会場

6 自己紹介吉田英世ソリューションアーキテクトストラテジックソリューション部 ( エンタープライズ ) ネットワーク SME (Amazon VPC, AWS Direct Connect)

7 アジェンダ VPC ベストプラクティス Direct Connect ベストプラクティスネットワークのコード化 6

AWS のサービス Support Professional Services Partner Ecosystem Training & Certification Solutions Architect s Account Management Security & Pricing Reports Technical & Business Support Virtual Desktop

8 AWS のサービス Support Professional Services Partner Ecosystem Training & Certification Solutions Architect s Account Management Security & Pricing Reports Technical & Business Support Virtual Desktop Sharing & Collaboration Business Enterprise Applications Analytics App Services Developer Tools & Operations Mobile Services Hadoop Queuing & Notifications Transcoding Deployment Resource Templates Identity Real-time Streaming Data Data Warehouse Data Pipelines Workflow App Streaming Search DevOps Application Lifecycle Management Container s Event-driven Computing Sync Mobile Analytics Push Notifications Platform Services Identity Management Access Control Resource & Usage Auditing Key Management & Storage Monitoring & Logs Administration & Security Compute (VMs, Auto-scaling & Load Balancing) Storage (Object, Block and Archival) CDN Databases (Relational, NoSQL, Caching) Networking (VPC, DX, DNS) Core Services Regions Availability Zones Points of Presence Infrastructure 7http://aws.amazon.com/jp/products/

9 VPC ベストプラクティス

10 AWS Marketplace を活用するファイアウォールロードバランサ WAF (Web Application Firewall) ルータ 236 のネットワーク製品が利用可能! (6/1 現在 ) ネットワーク高速化 9 ネットワークの製品 =1&category=

11 MarketPlace 製品の利用 10

12 VPC Peering を利用する VPC CIDR: /16 VPC CIDR: /16 pcx-xxxxxx Subnet: /24 Availability Zone A Subnet: /24 Availability Zone A Route Table Destination Target /16 local /16 pcx-xxxxxx Route Table Destination Target /16 local /16 pcx-xxxxxx 11

13 企業間コラボレーション例決済サービス会社決済サービス VPC Peering で即座に通信が可能モニタリング会社モニタリングサービスユーザのシステムデータ解析会社データ解析サービス 12

14 セキュリティ機能の共有例セキュリティチームアプリケーション運用チーム APIs Amazon S3 API へのアクセスに制限 Proxy Service (HTTP/S) VPC Peering Web App (HTTP/S) Web App (HTTP/S) エンドユーザ WAF Service (HTTP/S) Web App (HTTP/S) Web App (HTTP/S) 13

15 VPC のルーティングとセキュリティルーティング Route Table IGW VGW Customer Gateway VPC Peering セキュリティ Security Group Network ACL 14

VPC のルーティング VPC 内のルーティングはすべてルートテーブルに基づく IP レベルでの接続性を確保が目的どのオブジェクトにトラフィックを転送すればよいかを設定 VPC Peering Internet 15 VGW Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 NAT 192.

16 VPC のルーティング VPC 内のルーティングはすべてルートテーブルに基づく IP レベルでの接続性を確保が目的どのオブジェクトにトラフィックを転送すればよいかを設定 VPC Peering Internet 15 VGW Route Table Destination Target /16 local /0 NAT /16 VGW /16 pcx-xxxx Private Subnet: /24 Availability Zone A Public Subnet: /24 IGW Route Table Destination Target /16 local /0 IGW

17 主なルーティングのエントリ Route Table Destination Target /16 local /0 NAT /16 VGW /16 pcx-xxxx VPC 内の CIDR 内のトラフィックはすべて直接ルーティングインターネットへのトラフィック ( デフォルトルート ) はプライベートサブネットは NAT インスタンスパブリックサブネットは IGW へルーティングオンプレミスのトラフィックは VGW へルーティングプライベートサブネットのルートテーブル他 VPC へのトラフィックは Peering Connection へルーティング 16

18 ネットワーク ACL vs セキュリティグループネットワーク ACL サブネットレベルで効果 Allow/Deny を IN OUT で指定可能 ( ブラックリスト型 ) ステートレスなので戻りのトラフィックも明示的に許可設定する番号の順序通りに適用サブネット内のすべてのインスタンスが ACL の管理下に入るセキュリティグループサーバレベルで効果 AllowのみをIN OUTで指定可能 ( ホワイトリスト型 ) ステートフルなので戻りのトラフィックを考慮しなくてよい全てのルールを適用インスタンス管理者がセキュリティグループを適用すればその管理下になるネットワーク構築時に不要な通信を禁止普段の運用時に必要な通信を許可 17

19 ルーティングとセキュリティ 1. ルーティングで疎通性を確保しておく 2. 全体ポリシーで不必要な通信をネットワーク ACL で禁止 ( 構築時 ) 3. 個別に必要な通信をセキュリティグループで許可 ( 運用時 ) 18

VPC エンドポイントを利用する S3 Prefix pl-xxxxxxxx vpc endpoint Public Subnet: 10.2.10.0/24 vpce-xxxxxxxx Route Table Destination Target Private Subnet: 10.1.10.0/24 Route Table Destination Target Private Subnet: 10.

20 VPC エンドポイントを利用する S3 Prefix pl-xxxxxxxx vpc endpoint Public Subnet: /24 vpce-xxxxxxxx Route Table Destination Target Private Subnet: /24 Route Table Destination Target Private Subnet: /24 Availability Zone A /16 local /0 NAT Availability Zone A /16 local pl-xxxxxxxx vpce-xxxxxxxx 19

21 エンドポイントポリシー { "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:getobject", "s3:putobject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"] } ] } 20

0.0.0/0 NATインスタンス pl-xxxxxxxx vpce-xxxxxxxx Private Subnet: 10.

22 移行について Public Subnet: /24 S3 Prefix Route Table Destination Target /16 local /0 NATインスタンス pl-xxxxxxxx vpce-xxxxxxxx Private Subnet: /24 Availability Zone A vpc endpoint vpce-xxxxxxxx VPC endpoint を優先 pl-xxxxxxxx 21

23 VPC エンドポイントの注意事項リージョンをまたいで AWS クラウドへ通信することはできない VPN AWS Direct Connect VPC Peering ClassicLink の接続先から VPC エンドポイントを利用することはできない 22

24 Direct Connect ベストプラクティス

25 AWS の BGP の動作ルートに BGP 属性値は付与しないお客様ルータの BGP 属性値を評価ロードシェアリング可能 ( マルチパスが有効 ) プライベート接続では VPC のプレフィックス (CIDR) を広告パブリック接続ではリージョン内の AWS クラウドのプレフィックスを広告 BFD は有効 24

26 回線のフェールオーバーを高速化するデフォルトではフェールオーバーまで 90~180 秒 25

27 BFD(Bidirectional Forwarding Detection) 高速な障害検出を行なう機能 (RFC5880) ミリ sec レベルの BFD パケットの送受信ルーティングプロトコル ( 今回は BGP) へ障害通知音声や映像などを扱っている場合におすすめ BFD 対応ルータを利用 BFD パケット 26 Cisco のコマンド例 : BFD パケット interface GigabitEthernet x/x bfd interval < 送信 ms> min_rx < 受信 ms> multipllier < 受信回数 > router bgp <AS 番号 > neighbor < ネイバー IP> fall-over bfd

28 Keepalive と Holdtime BGP の機能の一部 ( すべての BGP ルータで利用 ) Keepalive パケットを指定した間隔で送受信 Keepalive が Holdtime 時間ないに受信できないと障害と判定 Holdtime のデフォルト値は 90~180 秒が多い値を比較低い値でネゴシエーションされる Keepalive パケット Keepalive パケット Cisco のコマンド例 : 27 neighbor < ピア IP> timers <Keepalive 間隔 ( 秒 )> <Hold time( 秒 )>

29 Direct Connect のトラフィック設定 Active/Standby Active/Active 28

30 Active/Standby の構成 Active LP=200 AS Path Prepend= なしオンプレの受信トラフィックは AS Path Prepend のパス長が短い方を優先オンプレからの送信トラフィックは Local Preference 値が高い方が優先 29 Standby LP=100 AS path Prepend=

31 Active/Standby 利用時の注意点どちらの回線が Active なのかをきちんと管理 VPN やベストエフォート回線が Active にならないように上りと下りのトラフィックを意識 BGP 属性値の設定によっては上りと下りが違う非対称ルートになることもある 30

32 Active/Active の構成 AWS からオンプレミスへの方向は広告経路が等価であればセッションベースでロードバランスを行なうマルチパスにより複数経路に対して送信トラィックをロードバランスすることが可能 31

33 Active/Active 利用時の注意点回線の切断時正常な回線にトラフィックが移動するため帯域あふれに注意マルチパスのペアをもう一つ準備する Active/Standby 構成とするトラフィックの偏りに注意きれいにロードバランスされるかはアルゴリズム次第パケットベースの場合は2つの回線の遅延差が懸念 32

34 占有型と共有型物理線を占有他のお客様と物理線を共有会社 A 会社 A 会社 B 占有型共有型会社 C 33

Direct Connect の構成 Customer Interface 0/1.

1.0.0/16 BGP ASN 65001 BGP ASN 10124 Customer Internal Network Route

254.251.2/30 VLAN 101 BGP Announce 10.1.0.0/16 Interface IP 169.254.251.1/30 VGW 2 VPC 2 10.

PVI 5 Customer Switch + Router VLAN 102 VLAN 103 VLAN 501 VGW 3 VPC 3 10.

35 Direct Connect の構成 Customer Interface 0/1.101 VLAN Tag 101 Private Virtual Interface 1 VLAN Tag 101 VGW 1 VPC /16 BGP ASN BGP ASN Customer Internal Network Route Table Destination Target BGP Announce Customer Internal Interface IP /30 VLAN 101 BGP Announce /16 Interface IP /30 VGW 2 VPC / /16 PVI /16 PVI /16 PVI 3 AWS Cloud PVI 5 Customer Switch + Router VLAN 102 VLAN 103 VLAN 501 VGW 3 VPC /16 NAT / PAT Security Layer Virtual Interface Connection Public AWS Region 34

36 占有型 VS 共有型 35 ユーザの管理単位占有型 Connections ( 物理接続単位 ) 1 契約で接続できる VPC 数複数 (VLAN の数だけ ) 1 つ共有型 Virtual Interface ( 論理接続単位 ) トポロジポイントツーポイントポイントツーマルチポイント IP-VPNなどの閉域網お客様ルータの管理自社 ( マネージド契約可 ) キャリア側利用できる帯域 1Gbps, 10Gbps ~1Gbps ベストエフォートも有リードタイム遅い ( 数ヶ月 ) 早い 1 契約あたりの単価高安

37 キャリア閉域網の共用型の例キャリアの閉域網を利用する場合エンドユーザには 1 契約あたり 1 つの Virtual Interface の提供となり 1 つの VPC に接続 BGP の終端キャリア閉域網 VGW 物理接続 PE Virtual Interface の提供 36

38 ネットワークのコード化 (Infrastrucute as Code)

39 コード化について Internet 手順書手動オペレーション Subnet: Availability Zone A コードの実行 38 コードインフラの構成をコードで管理

40 コード化するツール CloudFormation JSON テンプレートを元に AWS リソースの構築を自動化レイヤーを分けて定義も可 (ex. ネットワークレイヤー ) 複製やアップデートバージョン管理が容易 AWS CLI/Powershell は AWS の操作をコマンドラインで行なうツール AWS CLI AWS SDK Powershell AWS SDK はいろいろなプログラミング言語に調整された API を利用して AWS の操作を行なう 39

41 CloudFormation "Resources" : { "VPC" : { "Type" : "AWS::EC2::VPC", "Properties" : { "CidrBlock" : /16, "Tags" : [ { "Key" : Name", "Value" : VPCName } ] } }, "PublicSubnet" : { "Type" : "AWS::EC2::Subnet", "Properties" : { "VpcId" : { "Ref" : "VPC" }, "CidrBlock" : /24, "Tags" : [ { "Key" : "Network", "Value" : "Public" } ] } } } VPC 作成サブネット作成 40 サンプルコード & テンプレート :

42 CloudFormation のワークフロー 1. JSON を編集 2. CloudFormation に JSON ファイルをロード 3. スタックの完成 41

43 CloudFormer を利用したテンプレート作成 1. CloudFormer のスタックを起動 2. CloudFormer の UI にアクセスしテンプレート化したいリソースを選択 4. カスタマイズ ( パラメータやリソースのプロパティ ) 5. 新しいスタックの作成スタックの完成 CloudFormer:

44 AWS CLI (VPC とサブネット作成削除 ) #!/bin/sh export AWS_DEFAULT_REGION= ap-northeast-1" VPC_ID=`aws ec2 create-vpc --cidr-block /16 --output text awk '{print $6;}'` SUBNET_ID=`aws ec2 create-subnet --vpc-id $VPC_ID --cidr-block /24 --output text awk '{print $6;}'` echo "Created $VPC_ID & $SUBNET_ID" #Clean up aws ec2 delete-subnet --subnet-id $SUBNET_ID aws ec2 delete-vpc --vpc-id $VPC_ID 43

45 AWS CLI ( 動的な処理 ) aws ec2 create-vpc --cidr-block /16 aws ec2 replace-route --route-table-id $ROUTE_TABLE_ID --destination-cidr-block /0 --instance-id $INSTANCE_ID aws ec2 attach-network-interface --network-interface-id $ENI --instance-id $INSTANCE_ID --device-index 1 aws ec2 assign-private-ip-addresses --network-interface-id $ENI --private-ip-addresses

46 AWS SDK Python (VPC とサブネット作成削除 ) #!/usr/bin/python import boto.vpc Region= ap-northeast-1 conn = boto.vpc.vpcconnection(region) vpc = conn.create_vpc( /16 ) subnet = conn.create_subnet(vpc.id, /24 ) print ("created %s & %s" %(vpc.id, subnet.id)) #Clean up conn.delete_subnet(subnet.id) conn.delete_vpc(vpc.id) 45

47 タグによる動的 NAT 制御 NAT NAT This subnet needs AZspecific NAT Public Subnet 1 TAG NATAZ AZ1 TAG NATAZ AZ2 Public Subnet 2 This subnet needs AZspecific NAT Private Subnet 1 Private Subnet 2 Availability Zone 1 Availability Zone 2 46 AWS Region

48 タグによる動的 NAT 制御 #!/bin/bash INSTANCE_ID=`/usr/bin/curl --silent AZ=`/usr/bin/curl --silent REGION="${AZ%?}" MAC=`curl --silent VPC_ID=`curl --silent ROUTE_TABLES=`aws ec2 describe-route-tables --region $REGION --output text --filters "Name=tag:NATAZ,Values=any,$AZ" grep ROUTETABLES awk '{print $2}'` # Parse through RouteTables that need to be modified for MY_RT_ID in $ROUTE_TABLES; do aws ec2 replace-route --route-table-id $MY_RT_ID --destination-cidr-block /0 --instance-id $INSTANCE_ID` --region $REGION done 47

49 参考資料ドキュメント Blackbelt Tech Webinar re:invent 2014 [SDD422] VPC Deep Dive re:invent 2015 [ARC401] Black-Belt Networking for the Cloud Ninja Black-Belt Networking for the Cloud Ninja サンプルコード 48

50 49 学べる! 試せる!

そこが知りたい！AWSクラウドのセキュリティ

そこが知りたい！AWSクラウドのセキュリティそこが知りたい! AWS クラウドのセキュリティ #AWSRoadshow 1 Twitter で AWS Cloud Roadshow に参加しよう! #AWSRoadshow 皆さんのご意見聞かせてください! 公式アカウント @awscloud_jp 最新技術情報イベント情報お得なクーポン情報など日々更新中! 2 自己紹介名前:鈴木宏昌スズキヒロアキ所属:AWSテクニカルトレーナー