PowerPoint Presentation

Size: px

Start display at page:

Download "PowerPoint Presentation"

えりかはぎにわ
6 years ago
Views:

1 AWS Black Belt Online Seminar AWS へのネットワーク接続と AWS 上のネットワーク内部設計アマゾンウェブサービスジャパン株式会社ソリューションアーキテクトネットワークスペシャリスト菊池之裕

2 自己紹介名前 : 菊池之裕 ( きくちゆきひろ ) 所属 : アマゾンウェブサービスジャパン株式会社ソリューションアーキテクトネットワークスペシャリストロール : Network 系サービスについてのご支援経歴 : ISP,IXP,VPN 運用開発を経てネットワーク機器仮想ルータ販売会社のプリセールスプロダクトSEからAWSへ好きな AWS サービス : Direct Connect,VPC,Market Place

3 内容についての注意点本資料では 2017 年 10 月 3 日時点のサービス内容および価格についてご説明しています最新の情報は AWS 公式ウェブサイト ( にてご確認ください資料作成には十分注意しておりますが資料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます価格は税抜表記となっています日本居住者のお客様が東京リージョンを使用する場合別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.

4 Agenda Direct Connectの冗長化 Direct Connect の提供形態とパートナー AWS 内部ネットワークの設計 ( 大規模 ) まとめ Transit VPC Hub-Spoke VPC peering & Proxy. Direct Connect 及び VPC に関する基本的な説明は割愛します

AWS Direct Connect AWS への専用線接続サービス特徴 (http://aws.amazon.com/jp/directconnect/) Direct Connect 各リージョンへの専用線接続口複数のVPCをのせられるキャリアは自由に選択可能提携キャリアも存在 $0.120 $0.100 $0.

5 AWS Direct Connect AWS への専用線接続サービス特徴 ( Direct Connect 各リージョンへの専用線接続口複数のVPCをのせられるキャリアは自由に選択可能提携キャリアも存在 $0.120 $0.100 $0.080 $0.060 $0.040 $0.020 $0.000 First 10TB Next 40TB Next 100TB Next 350TB 価格体系 ( ポート利用時間データ転送量 (OUT) はインターネットの3 分の1

6 AWS Direct Connect 各リージョンへの専用線接続口複数の VPC または複数のパブリック接続インターフェースをのせられるインターネットに比べて安価なアウトバウンドトラフィック料金 ( インは同じく無料 ) 安定したパフォーマンス複数のアカウントで共有可能冗長接続を選択可能

7 Direct Connect の冗長化 Direct Connect は専用線サービス 1 本の接続では冗長性がない複数接続を利用し冗長を取るのがベストプラクティス複数パートナーからの契約拠点冗長パートナー内での回線冗長などパートナー経由の冗長化も可能

8 冗長構成の考え方 VPC 上の VGW(Virtual Private Gateway) に複数の Direct Connect または VPN 接続を終端可能 AWS 上の設定ではなくお客様ルータの設定により経路制御を行う経路制御は BGP の一般的な考え方を適用論理的には一つのオブジェクトに見えるが実際には物理的に冗長化されている ebgp ebgp ibgp により同 AS 内の隣接ルータに BGP のパス属性値を伝達しどちらの経路を選択するか AS 内で総合的に判断 ibgp オンプレミス

9 BGP パス属性 BGP で経路交換している複数の経路からベストな経路を選択するために評価する属性値 DX では LP(Local Preference) と AS-Path Prepend が有効 MED はサポートしていない受信ルートに LP を付与し送信トラフィックを制御ベストパスオンプレミスルータ送信ルートに AS-Path Prepend を付与し受信トラフィックを制御 ( 隣接ルータに情報を与えている ) VGW LP:100 Prepend:2 つ LP:200 Prepend:1 つ LP:300 Prepend: なし

10 冗長構成 (Direct Connect x2, Active/Active) Direct Connect2 本の間でトラフィックをロードバランスし Active/Active として利用 Active Active トラフィックをロードバランス障害時は片方の回線に迂回するため回線の輻輳がおきないように帯域に注意が必要 CloudWatch の利用やルータの帯域を可視化して監視するこのとき 2 つの経路の BGP 属性値 (LP, AS パス長 ) は等価である必要がある

11 冗長構成 (Direct Connect x2, Active/Standby) Active LP=200 Prepend なし Standby LP=100 Prepend あり障害時に Standby へ切り替え Direct Connect2 本のどちらかを通常利用とし障害時は片方の回線へ自動切り替えを行うそれぞれのルータの BGP 属性値により Active/Standby を判断するように設定

12 冗長構成 (Direct Connect/VPN) Active LP=200 Prepend なし Standby LP=100 Prepend あり Standby 用にインターネット VPN を利用 Direct Connect 障害時のバックアップ回線としてインターネット VPN を利用異なる回線種別のためフェールオーバー時にはパフォーマンスに影響が出る場合があるため注意

13 障害時のフェールオーバーに関する注意点リンク断のタイミングで障害検知! AS1 AS2 スイッチの向こうのリンク断は検知できないスイッチ切断発生フェールオーバーまでの時間に発生したトラフィックは到達できないスイッチすぐに切り替わる Hold timer の間切り替わらない

14 障害時のフェールオーバーは BGP ピア上の障害をいかに早く検知するかがカギ!

15 Keepalive と Hold Timer 隣接するルータはお互いに Keepalive を予め決められたインターバルで定期的に送信 Hold Timer( 待機時間 ) は Keepalive の 3 倍が設定されており Keepalive を受信すると 0 にリセットされる設定された Hold Timer を超過すると障害と認定隣接ルータ間ではそれぞれの時間が短い方を利用する反映には BGP ピアの soft リセットが必要 Keepalive Keepalive 60 秒 Keepalive 60 秒 Keepalive=60 Hold Timer=180 の場合 Hold Timer 0,1,2,3 0,1,2,3 0,1,2,3 180 Keepalive が到達すると Hold Timer をリセット Keepalive が到達しないので Hold Timer はカウントアップ Hold Timer のカウンタが超過すると BGP ピアを切断

16 対策 1: keepalive/hold Timer のチューニングお客様ルータの Keepalive と Hold Timer を短く設定することでフェールオーバーを検知する時間を短縮以下の例は Keepalive を 10 秒 Hold Timer を 30 秒に設定 Cisco router bgp CUSTOMER_BGP_ASN neighbor NEIGHBOR_IP_ADDRESS timers Juniper edit protocols bgp group ebgp set hold-time 30 デフォルト値 Keepalive 60 秒 Hold Timer 180 秒デフォルト値 Keepalive 30 秒 Hold Timer 90 秒

17 対策 2: BFD(Bidirectional Forwarding Direction) 経路上の障害を高速に検知しルーティングプロトコル ( 今回は BGP) に通知する機能隣接ルータ同士でパケットをミリ秒単位で送受信する例は 50 ミリ秒で BFD パケットを送信 3 度受け取れない場合は障害とみなす Cisco bfd interval 50 min_rx 50 multiplier 3 router bgp CUSTOMER_BGP_ASN neighbor NEIGHBOR_IP_ADDRESS fall-over bfd Juniper edit interfaces ge-0/0/1 edit bfd-liveness-detection set minimum-inverval 50 set multiplier 3

18 オンプレミス内部のルーティング Direct Connect の BGP 接続から受信したルートを OSPF に再配布 OSPF VRRP/HSRP などで LAN 上のゲートウェイを冗長コアスイッチ VRRP コアスイッチコアスイッチは OSPF により AWS への経路を選択

19 Direct Connect の提供形態とパートナー

20 パートナー様の提供サービス ( 占有型共有型 ) Direct Connect( 占有型 ) Connection をお客様へ提供 Virtual Interface はお客様側で自由に設定可能 Connection (1G または 10G) お客様アカウント Virtual Interface VLAN:101 Virtual Interface VLAN:102 お客様権限で自由に追加可能 Direct Connect( 共有型 ) Connection はパートナー様のアカウントで持つ Virtual Interface はお客様のリクエストベースでパートナー様が設定パートナーアカウント Connection (1G または 10G) お客様アカウント Virtual Interface VLAN:101 アカウント : お客様 A Virtual Interface VLAN:102 アカウント : お客様 B リクエストに応じてパートナーが設定

21 パートナー様の提供サービス ( 共有型 Sub 1G) Direct Connect( 共有型 Sub 1G) Connectionはパートナー様のアカウントで持つ Hosted Connectionと呼ぶ仮想的なConnectionをお客様へ提供 Virtual InterfaceはHosted Connectionに紐付けされ追加可能このモデルの場合ポート時間料金はお客様に課金されるパートナーアカウント Connection (1G または 10G) Hosted Connection VLAN:101 Speed 100Mbps Hosted Connection VLAN:102 Speed 200Mbps Hosted Connection VLAN:103 Speed 100Mbps リクエストに応じてパートナーが設定お客様アカウント Virtual Interface VLAN:101 Speed 100Mbps Virtual Interface VLAN:102 Speed 200Mbps Hosted Connection と Virtual Interface は 1:1 お客様権限で自由に割り当て

22 パートナーにより拡張された AWS Direct Connect サービス相互接続ポイントにおける接続装置等の設置場所専用線とのパッケージ提供する場合も 10Mbps, 100Mbps 等 1Gbps よりも狭帯域のサービスお客様指定の場所から相互接続ポイントまでのアクセス広域 WANで複数拠点からAWSへの接続

23 パートナーの提供サービス DXが使えるDCの提供相互接続ポイントにおけるコロケーション提供相互接続ポイント込みの専用線サービス提供相互接続ポイント込みの広域ネットワークサービス提供相互接続ポイント込みのモバイル網への接続ルータレンタルマネージドサービスなど各社により提供

24 パートナー経由の Direct Connect 共有モデル 1 契約あたり 1 バーチャルインターフェイスが基本冗長化では 2 バーチャルインターフェイスが必要ベストエフォートとギャランティ通信料固定のものと従量のものがある ( 別途パートナーへご確認ください ) Sub1Gでは従量課金になる専有モデル 1 契約で複数のバーチャルインターフェイスへの接続が可能 ( 最大 50) 1Gもしくは10G 接続料金は従量でAWSアカウントに請求される

25 パートナー経由の Direct Connect 経路はパートナーのサービス集約ルータから広報されるお客様相互接続ポイントパートナーレンタルルータ自社所有ルータモバイル機器広域イーサネットサービスフレッツなど VPN サービス専用線接続サービスモバイルサービス VRF-1 VRF /0 パートナー DX 集約ルータパートナーレンタルルータお客様申告の経路 /16 お客様から広告された経路

26 パートナー経由の Direct Connect の注意点 VPC への経路広報のタイプが異なるエッジルータからの経路情報を VPC へそのままフォワードせずある程度の集約がかかるサービスがあるデフォルトが広報されるもの申告した経路が集約されるもの冗長を取る場合経路の偏りの原因となるのでサービスの確認を

27 Direct Connect と VPC の上限について BGP 経路数は VPC あたり 100 以下 (Hard Limit) 経路集約をおねがいします VPNの接続数はVPCあたり50まで Direct Connect あたりVLANは50まで (Hard Limit) 申請により上限緩和可能なパラメータもあります最新は下記 URL 参照

28 Direct Connect を利用したユースケース

29 マルチ VPC 接続人事既存環境専用線 Direct Connect 接続口 Win 営業支援 Win 監視ソフト管理者利用者 SSO DNS AD FW NTP Router#1 Router#2 Router#1 Router#2 Win 会計 BI 専用線または VPN Win 文書管理保守業者 Router#1 Router#2 Win Proxy

30 クローズド WorkSpaces AS10124 画面転送のみパブリック接続またはインターネット経由 AS65001 S3 WorksSpaces 接続エンドポイント画面転送用外部ネットワーク /DMZ パブリック接続 AS65000 プライベート接続プライベートネットワーク内部ネットワーク AD 等認証はプライベート接続経由

31 オンプレミス環境の Web サーバオフロードロードバランサオンプレミスのロードバランサーからEC2 上のサービスをターゲットに加えることが可能 (Proxyモード)

32 オンプレミス環境の Web サーバオフロードロードバランサ ALB,NLBではオンプレミスのサーバがターゲティング可能にシームレスな移行が可能

33 東京 / 大阪での高可用性 Direct Connect 接続 Equinix TY2 ( 東京 ) Equinix OS1( 大阪 ) 相互接続ポイント自体を冗長化することが可能ポート料金トラフィック料金は東阪どちらも同じ

34 AWS 内部ネットワークの設計

35 AWS 内部ネットワークの設計 Transit VPC Hub-Spoke VPC peering & Proxy.

36 Transit VPC

37 Transit VPC とはリージョン内リージョン間のVPC 接続を自動化するソリューション他アカウント Direct Connectとの接続も可能ハブスポークモデルで各拠点を接続

38 Transit VPC の構成 CloudFormationでテンプレートからインストール Transit VPC 内にマルチAZでCSR100Vを2 台起動設定情報を蓄積するS3 VPCの追加削除を監視する LambdaPoller 設定を行うLambda Configurator

39 Transit VPC の構築 CloudFormation でテンプレートからインストール Hub の VPC を作成 VGW を作成し CloudFormation 作成時に設定したタグを VGW に設定自動で Hub にある CSR1000v とトンネルが張られる CSR へログイン不要

40 Hub Spork VPC Peering & Proxy

41 Hub Spork VPC Peering & Proxy とは Transit VPCのモデルをVPC Peeringで実現する設計 VPC PeeringはとなりのVPCのみ疎通が可能なので Hub VPCにProxy Serverを置く各 VPCからHub VPCのProxyを経由することによりすべてのVPC 間で通信が可能

42 Hub-Spork VPC のメリット VPC Peering により完全閉域網が実現できるためよりセキュアなネットワークを構築可能 Transit VPC は VPC 間に VPN を利用する

43 HUB & Spoke VPC & Proxy Proxy Proxy

44 HUB & Spoke VPC & Proxy Proxy Proxy HUB VPC 上の Proxy インスタンスに Spoke VPC からアクセスすることにより相互の VPC の通信が可能

45 まとめ Direct Connectの冗長化について解説 APNパートナー経由のDirect Connect の注意点の解説 AWS 内部ネットワークの設計例についてご紹介 Transit VPC HUB-Spoke VPC & Proxy

46 参考資料 AWS Black Belt Online Seminar 2017 Amazon VPC AWS Black Belt Online Seminar AWS DirectConnect AWS ソリューション Transit VPC 46

オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 http://aws.amazon.

47 オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 AWS Solutions Architect ブログ最新の情報セミナー中の Q&A 等が掲載されています

公式 Twitter/Facebook AWS の最新情報をお届けします @awscloud_jp 検索もしくは

48 公式 Twitter/Facebook AWS 検索もしくは最新技術情報イベント情報お役立ち情報お得なキャンペーン情報などを日々更新しています!

49 AWS の導入お問い合わせのご相談 AWS クラウド導入に関するご質問お見積り資料請求をご希望のお客様は以下のリンクよりお気軽にご相談ください AWS 問い合わせで検索してください

Amazon Web Servicesによる仮想デスクトップサービス～デスクトップも、クラウドで～

Amazon Web Servicesによる仮想デスクトップサービス～デスクトップも、クラウドで～ AWS Direct Connect AWS Black Belt Tech Webinar 2015 ( 旧マイスターシリーズ ) アマゾンデータサービスジャパン株式会社ソリューションアーキテクト吉田英世 2015.01.28 (2015/07/23 Renewed) Agenda Direct Connect 概要 Direct Connect の接続構成 Direct Connect のオペレーション