AWS のネットワーク設計入門

Size: px

Start display at page:

Download "AWS のネットワーク設計入門"

やすもりのしろ
8 years ago
Views:

AWS のネットワーク設計入門アマゾンウェブサービスジャパン株式会社ソリューションアーキテクト岡本京 2017/5/31

2 自己紹介岡本京 ( おかもとひろし ) 所属と職種アマゾンウェブサービスジャパン株式会社技術統括本部ストラテジックソリューション部ソリューションアーキテクト経歴プリセールスエンジニア ( ネットワーク ) AWS 好きな AWS サービス Amazon VPC

3 本セッションの内容 AWS 上でシステムを構築するにあたりネットワーク面ではどのような検討や設計が必要なのかをお伝えします機能の詳細や操作手順ではなく考え方やデザインの説明にフォーカスさせて頂きます IP アドレスのサブネッティングルーティング DNS などの基本的な知識を前提とさせていただきます

4 目次はじめにプライベートネットワーク設計のステップユースケース別ネットワーク設計例更なる活用に向けてまとめ

5 AWS上でのネットワーク設計のポイント物理設計の検討構築が不要マネージドサービスによる運用負荷の軽減プログラマブルな作成管理展開 aws ec2 create-vpc --cidr-block /16

6 AWS のネットワーク関連サービス Amazon Virtual Private Cloud (VPC) AWS 上にプライベートネットワークを構築 AWS Direct Connect (DX) AWS と自社拠点 /DC の専用線接続 Amazon Route 53 パブリック / プライベートに対応したマネージド DNS サービス

(AZ) で構成 53 の Direct Connect ロケーション - リージョンとお客様拠点の相互接続ポイント - 日本は東京大阪の 2 箇所 77

7 2017 年 5 月現在 AWS インフラストラクチャとネットワーク関連サービス AZ Transit AZ AZ AZ AZ Transit リージョンの配置図リージョンの構成 US East (Northern Virginia) の例アベイラビリティゾーンの構成 16 のリージョン - 42 のアベイラビリティゾーン (AZ) で構成 53 の Direct Connect ロケーション - リージョンとお客様拠点の相互接続ポイント - 日本は東京大阪の 2 箇所 77 のエッジロケーション - CDN(CloudFront) エッジサーバーなどが配置 VPC はリージョン内で稼働 DX は DX ロケーションで物理接続 Route 53 はエッジロケーション内で稼働

8 設計をはじめましょう AWS 上で何をしますか? 話題のサーバーレスでサービスを作ってみたい社内システムの開発環境を構築したい AI や機械学習を試してみたい AWS 上でのネットワークの検討ポイントは使いたいサービスによって異なります

9 AWS サービスのネットワーク観点での分類プライベート IP アドレス空間上で使用するサービス VPC を用いてアドレス空間を構成インスタンスの配置をお客様が意識して管理例 ) パブリック IP アドレス空間お客様毎のプライベート IP アドレス空間パブリック IP アドレス空間上で使用するサービス抽象度が高くお客様は構成を意識せずにサービスを使用 AWS マネジメントコンソール各 API エンドポイントもここに存在例 ) EC2 RDS Redshift EMR アベイラビリティゾーンアベイラビリティゾーンリージョン S3 Lambda DynamoDB CloudWatch Lambda は VPC 内での起動も選択可能

10 システム要件とネットワーク関連サービスのマッピング要件を実現するための AWS サービスの選定 / 組み合わせは是非 SA にご相談ください! システムの構成要素社内環境との通信要件プライベート IP アドレス空間で使用するサービスを含む例 ) EC2 や RDS を使用した社内システム本セッションのフォーカスプライベート IP アドレス空間で使用するサービスは不要例 ) S3 へのデータバックアップ Lambda, API Gateway, DynamoDB によるサーバーレス Web アプリ VPC サービスのパブリック DNS 名を使用大量のデータ連携閉域網での接続が必要コスト重視で検討特になし大量のデータ連携閉域網での接続が必要コスト重視で検討特になし DX プライベート接続 VPC VPN 接続 HTTPS/SSH アクセス DX パブリック接続 HTTPS/SSH アクセスドメインと名前解決独自ドメイン名で公開サービスを展開する独自ドメイン名で社内サービスを展開する独自ドメイン名を使用せずサービスを展開する Route 53 パブリックホストゾーン Route 53 プライベートホストゾーン VPC Amazon DNS Server

11 プライベートネットワーク設計のステップ 1. VPCの作成 2. サブネットの作成 3. VPCコンポーネントの配置とルーティング設定 4. インスタンスの配置 5. 名前解決の検討

12 ステップ 1. VPC の作成 1. VPC の作成 2. サブネットの作成 3. VPC コンポーネントの配置とルーティング設定 4. インスタンスの配置使用する CIDR ブロックを決定する大きさは /28 から /16 レンジは RFC1918 を推奨 5. 名前解決の検討作成後は変更不可のため大きめに /16 が推奨オンプレミスや他 VPC のレンジと重複させない相互接続する可能性を見越して Prod VPC ( /16) 東京リージョン

13 ステップ 2. サブネットの作成 1. VPC の作成 2. サブネットの作成 3. VPC コンポーネントの配置とルーティング設定 4. インスタンスの配置 VPC の CIDR ブロックの範囲から IP アドレスレンジを切り出す必要な IP アドレス数を見積もる /24 が標準的サブネット分割はルーティングポリシーに応じて行うインターネットアクセスの有無拠点アクセスの有無など FrontSubnet1 ( /24) DBSubnet1 ( /24) 5. 名前解決の検討 FrontSubnet2 ( /24) DBSubnet2 ( /24) サブネットは AZ の中に作成される高可用性のために 2 つ以上の AZ の使用を推奨 Availability zone 1 Availability zone 2 Prod VPC ( /16) 東京リージョン

14 サブネットのサイズの検討サブネットマスク /16 の VPC 内に作成可能なサブネット数サブネットあたりの IP アドレス総数 2^(32-mask) -2 ホストに割り当て可能な IP アドレス数総数 - 3 / / / 推奨 / / / サブネットに割り当てられた IP アドレスのうち下記は割り当て不可.1 : VPC ルータ (VPC 内のインスタンスにルーティング機能を提供 ).2 : Amazon DNS サーバーのため予約.3 : 将来用途のための予約

15 ステップ 3. VPC コンポーネントの配置とルーティング設定 1. VPCの作成 2. サブネットの作成 3. VPCコンポーネントの配置とルーティング設定 4. インスタンスの配置 VPC コンポーネントを配置するインターネットに疎通が必要な場合は IGW 社内に接続が必要な場合は VGW などサブネット毎のルートテーブルを編集するデフォルトで VPC 内宛ての経路は作成済み IGW などに向けた経路を作成プライベートサブネットとパブリックサブネットの大別 5. 名前解決の検討 IGW /16 はVPC VPC 内内その他はインターネットへ /16 は VPC 内内 Availability zone 1 Availability zone 2 Prod VPC ( /16) 東京リージョン

VPC ルータルートテーブルに基づいたルーティング ( 自動的に配置 ) NAT ゲートウェイプライベートサブネットに NAT 機能を提供インスタンス単位で配置するコンポーネント Elastic IP

16 VPC コンポーネントの種類 ( 抜粋 ) VPC 単位で配置するコンポーネント VGW の接続先カスタマーゲートウェイ (CGW) VPN 接続 AWS Direct Connect (DX) 専用線接続仮想プライベートゲートウェイ (VGW) 拠点との接続インターネットゲートウェイ (IGW) インターネット接続 VPC ピア接続他 VPC との接続サブネット単位で配置するコンポーネント VPC ルータルートテーブルに基づいたルーティング ( 自動的に配置 ) NAT ゲートウェイプライベートサブネットに NAT 機能を提供インスタンス単位で配置するコンポーネント Elastic IP (EIP) 固定パブリック IP アドレス VPC エンドポイント (VPCE) VPC 外の AWS サービスとの接続 S3 に対応抽象化された VPC コンポーネントを活用することで管理工数を削減自動化を促進

17 1. VPCの作成ステップ4. インスタンスの配置 2. サブネットの作成 3. VPCコンポーネントの配置とルーティング設定 4. インスタンスの配置サブネットインスタンスのセキュリティポリシーを決定する 5. 名前解決の検討全てのHTTPSインバウンド通信を許可セキュリティグループとネットワークACLの作成インスタンスを配置するプライベートIPアドレスはデフォルトで自動割り当てインターネットに直接アクセスさせるインスタンスにはパブリック IPアドレスを付与動的又は EIP ELBからのHTTPインバウンド通信を許可 ELBからのHTTPインバウンド通信を許可 SSHインバウンド通信を許可 SSHインバウンド通信を許可 Availability zone 1 Availability zone 2 Web WebServerからのMySQLインバウンド通信を許可 ServerからのMySQLインバウンド通信を許可 Prod VPC ( /16) 東京リージョン

18 VPC のセキュリティコントロールセキュリティグループインスタンスに適用ホワイトリスト型 Allow のみを指定可能インバウンド / アウトバウンドに対応ステートフル戻りのトラフィックは自動的に許可全てのルールを適用ネットワーク ACL サブネットに適用ブラックリスト型 Allow/Deny を指定可能インバウンド / アウトバウンドに対応ステートレス戻りのトラフィックも明示的に許可設定する番号の順序通りに適用例えば下記のような形で相補的に使用セキュリティグループ : インスタンスレベルで必要な通信を許可通常運用でメンテナンスネットワーク ACL : サブネットレベルでの不要な通信を拒否メンテナンスは構築時など最小限にまずはセキュリティグループのインバウンド方向でデザイン

19 1. VPCの作成ステップ5. 名前解決の検討 2. サブネットの作成 3. VPCコンポーネントの配置とルーティング設定 4. インスタンスの配置 5. 名前解決の検討自動割り当てのDNS名を活用する AWSではIPアドレスでなくDNS 名を活用してアプリの設計を行うことを推奨 VPCでは暗黙的にDNSが動作インスタンスには自動でDNS名が割り当てられる Amazon DNS (パブリック) Route 53 Amazon DNS (VPC内) 独自DNS名の管理解決 AWS自動割り当てのDNS名を解決独自DNS名を使用する Route 53により独自DNS名を割り当て管理することが可能 Availability zone 1 Availability zone 2 Prod VPC ( /16) 東京リージョン

20 ユースケース別ネットワーク設計例 1. 公開サービス基盤 - 管理拠点と VPN 接続 2. 社内システム基盤 - オンプレミスとハイブリッド運用

21 例 1. 公開サービス基盤 Web サービス基盤管理用に VPN で拠点接続 IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 ELB ELBSubnet1 ( /24) ELBSubnet2 ( /24) Web Server 1 WebSubnet1 ( /24) Web Server 2 WebSubnet2 ( /24) DB Server (Active) DBSubnet1( /24) Availability zone 1 VPC ( /16) 東京リージョン DB Server (Standby) DBSubnet2( /24) Availability zone 2 VGW vgw-bbb IPSec VPN CGW /24 システム管理拠点

22 例 1. 公開サービス基盤 Web サービス基盤管理用に VPN で拠点接続 IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 ポイント ELB ELBSubnet1 ( /24) ELBSubnet2 ( /24) パブリックサブネットは必要最低限にパブリックサブネット Web Server 1 WebSubnet1 ( /24) Web Server 2 WebSubnet2 ( /24) プライベートサブネット DB Server (Active) DBSubnet1( /24) Availability zone 1 VPC ( /16) 東京リージョン DB Server (Standby) DBSubnet2( /24) Availability zone 2 VGW vgw-bbb IPSec VPN CGW /24 システム管理拠点

23 例 1. 公開サービス基盤 Web サービス基盤管理用に VPN で拠点接続 IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 ポイント ELB ELBSubnet1 ( /24) ELBSubnet2 ( /24) パブリックサブネットは必要最低限に管理拠点と VPN 接続 Web Server 1 WebSubnet1 ( /24) Web Server 2 WebSubnet2 ( /24) DB Server (Active) DBSubnet1( /24) Availability zone 1 VPC ( /16) 東京リージョン DB Server (Standby) DBSubnet2( /24) Availability zone 2 VGW vgw-bbb IPSec VPN CGW /24 システム管理拠点

24 例 1. 公開サービス基盤 Web サービス基盤管理用に VPN で拠点接続 IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 ポイント ELB ELBSubnet1 ( /24) ELBSubnet2 ( /24) パブリックサブネットは必要最低限に管理拠点と VPN 接続 Web Server 1 WebSubnet1 ( /24) Web Server 2 WebSubnet2 ( /24) Web サイトのアセットを S3 に保存しているので VPC エンドポイントを活用 DB Server (Active) DBSubnet1( /24) Availability zone 1 VPC ( /16) 東京リージョン DB Server (Standby) DBSubnet2( /24) Availability zone 2 VGW vgw-bbb IPSec VPN CGW /24 システム管理拠点

例 1. 公開サービス基盤 Web サービス基盤管理用に VPN で拠点接続ルートテーブル IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 送信先ターゲット 10.0.0.0/16 local 0.0.0.0/0 igw-aaa ELB ELBSubnet1 (10.0.1.0/24

25 例 1. 公開サービス基盤 Web サービス基盤管理用に VPN で拠点接続ルートテーブル IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 送信先ターゲット /16 local /0 igw-aaa ELB ELBSubnet1 ( /24) ELBSubnet2 ( /24) Web Server 1 WebSubnet1 ( /24) Web Server 2 WebSubnet2 ( /24) 送信先ターゲット /16 local /24 vgw-bbb S3 Prefix list vpce-ccc 送信先ターゲット /16 local DB Server (Active) DBSubnet1( /24) Availability zone 1 VPC ( /16) 東京リージョン CGW DB Server (Standby) DBSubnet2( /24) Availability zone 2 VGW vgw-bbb IPSec VPN /24 システム管理拠点

26 例 1. 公開サービス基盤 Web サービス基盤管理用に VPN で拠点接続ルートテーブル通信フローユーザーアクセス管理者アクセス EC2からS3へ IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 送信先ターゲット /16 local /0 igw-aaa ELB ELBSubnet1 ( /24) ELBSubnet2 ( /24) Web Server 1 WebSubnet1 ( /24) Web Server 2 WebSubnet2 ( /24) 送信先ターゲット /16 local /24 vgw-bbb S3 Prefix list vpce-ccc 送信先ターゲット /16 local DB Server (Active) DBSubnet1( /24) Availability zone 1 VPC ( /16) 東京リージョン CGW DB Server (Standby) DBSubnet2( /24) Availability zone 2 VGW vgw-bbb IPSec VPN /24 システム管理拠点

27 名前解決フロー例1. 公開サービス基盤インターネットユーザーアクセス Webサービス基盤管理用にVPNで拠点接続 VPC内オンプレミスからVPC内パブリックホストゾーン example.com クライアントユーザー VPC Amazon DNS S3 Amazon Endpoint VPC内 vpce-ccc IGW igw-aaa ELB ELBSubnet1 ( /24) DNS キャッシュサーバー ELBSubnet2 ( /24) クライアント VPC内 Web Server 1 WebSubnet1 ( /24) DB Server (Active) オンプレミスからVPC内の名前解決が必要な場合は VPC上に別途構築したDNSサーバーを通じてフォワーディングする VPC内のAmazon DNSはVPC内からの名前解決リクエストにのみ応答する仕様のため DBSubnet1( /24) Availability zone 1 VPC ( /16) 東京リージョン Web Server 2 WebSubnet2 ( /24) DB Server (Standby) DBSubnet2( /24) Availability zone 2 VGW vgw-bbb IPSec VPN オンプレミス CGW DNS キャッシュサーバークライアントシステム管理者 /24 管理拠点

28 Route 53 と AWS サービスの連携を活用するユーザーアクセス平常時アプリケーション障害時 ALIAS レコード AWS のサービスエンドポイントの IP アドレスを直接返答する仮想リソースレコード CNAME と比較してクエリ回数を削減できレスポンスが高速化 ELB と連携した DNS フェイルオーバー Route 53 のヘルスチェック機能と ELB が連携アプリケーションの障害時に Sorry ページに切り替える場合などに活用可能 S3 の静的 Web サイトホスティング機能との組み合わせも有効パブリックホストゾーン example.com S3 バケット ( 静的 Web サイトをホスト ) DNS 名タイプ値ルーティングポリシーフェイルオーバーレコードタイプ A Alias <ELB の DNS 名 > Failover Primary A Alias <S3 静的 Web サイトの DNS 名 > Failover Secondary

29 例 2. 社内システム基盤オンプレミスから移行しハイブリッドで運用ユーザー拠点 /24 データセンター拠点 /24 閉域網 DX VGW vgw-bbb IGW igw-aaa NAT GW nat-ccc PublicSubnet1 ( /24) PublicSubnet2 ( /24) ELB NAT GW nat-ddd WebSubnet1 ( /24) WebSubnet2 ( /24) DBSubnet1 ( /24) DBSubnet2 ( /24) Availability zone 1 Availability zone 2 VPC ( /16) 東京リージョン

30 例 2. 社内システム基盤オンプレミスから移行しハイブリッドで運用ユーザー拠点 /24 データセンター拠点 /24 ポイント DX パートナー様のサービスにより閉域網と AWS リージョンを専用線接続 DX VGW vgw-bbb 閉域網 IGW igw-aaa NAT GW nat-ccc PublicSubnet1 ( /24) PublicSubnet2 ( /24) ELB NAT GW nat-ddd WebSubnet1 ( /24) WebSubnet2 ( /24) DBSubnet1 ( /24) DBSubnet2 ( /24) Availability zone 1 Availability zone 2 VPC ( /16) 東京リージョン

31 例 2. 社内システム基盤オンプレミスから移行しハイブリッドで運用ユーザー拠点 /24 データセンター拠点 /24 ポイント DX パートナー様のサービスにより閉域網と AWS リージョンを専用線接続 DX VGW vgw-bbb 閉域網 IGW igw-aaa プライベートサブネットのサーバーがインターネットに接続するために NAT ゲートウェイを利用 NAT GW nat-ccc PublicSubnet1 ( /24) PublicSubnet2 ( /24) ELB NAT GW nat-ddd WebSubnet1 ( /24) WebSubnet2 ( /24) DBSubnet1 ( /24) DBSubnet2 ( /24) Availability zone 1 Availability zone 2 VPC ( /16) 東京リージョン

32 例 2. 社内システム基盤オンプレミスから移行しハイブリッドで運用ルートテーブルユーザー拠点 /24 データセンター拠点 /24 送信先ターゲット /16 local /0 igw-aaa 送信先ターゲット /16 local /24 vgw-bbb 送信先ターゲット /24 vgw-bbb /16 local /0 nat-ccc /24 vgw-bbb /24 vgw-bbb /0 nat-ddd DX VGW vgw-bbb NAT GW nat-ccc ELB WebSubnet1 ( /24) 閉域網 IGW igw-aaa NAT GW nat-ddd PublicSubnet1 ( /24) PublicSubnet2 ( /24) WebSubnet2 ( /24) 送信先 /16 local ターゲット DBSubnet1 ( /24) DBSubnet2 ( /24) Availability zone 1 Availability zone 2 VPC ( /16) 東京リージョン

33 例 2. 社内システム基盤ユーザーアクセスオンプレミスから移行しハイブリッドで運用ルートテーブル通信フローシステム間通信 EC2 からインターネットへユーザー拠点 /24 データセンター拠点 /24 送信先ターゲット /16 local /0 igw-aaa 送信先ターゲット /16 local /24 vgw-bbb 送信先ターゲット /24 vgw-bbb /16 local /0 nat-ccc /24 vgw-bbb /24 vgw-bbb /0 nat-ddd DX VGW vgw-bbb NAT GW nat-ccc ELB WebSubnet1 ( /24) 閉域網 IGW igw-aaa NAT GW nat-ddd PublicSubnet1 ( /24) PublicSubnet2 ( /24) WebSubnet2 ( /24) 送信先 /16 local ターゲット DBSubnet1 ( /24) DBSubnet2 ( /24) Availability zone 1 Availability zone 2 VPC ( /16) 東京リージョン

名前解決フロー例2. 社内システム基盤オンプレミス DNS権威サーバーオンプレミスからVPC内オンプレミスから移行しハイブリッドで運用 example1.com VPC内からオンプレミスルートテーブル送信先ターゲット 10.0.0.0/16 local 0.0.0.0/0 igw-aaa プライベートホストゾーンはAmazon DNSからのみ送信先ターゲット vgw-bbb 参照可能 10.

16.1.0/24 オンプレミス 192.168.1.0/24 DNS キャッシュサーバー DX local 0.0.0.0/0 データセンター拠点閉域網オンプレミス環境とAWS環境を別のドメインで運用する場合の例送信先ターゲット 10.0.0.0/16 ユーザー拠点 example2.

34 名前解決フロー例2. 社内システム基盤オンプレミス DNS権威サーバーオンプレミスからVPC内オンプレミスから移行しハイブリッドで運用 example1.com VPC内からオンプレミスルートテーブル送信先ターゲット /16 local /0 igw-aaa プライベートホストゾーンはAmazon DNSからのみ送信先ターゲット vgw-bbb 参照可能 /16 local /24 vgw-bbb Amazon DNSにはフォワーディング設定はできない /24 vgw-bbb VPCのDHCPオプションセットによりEC2インスタン /0 nat-ccc /24 vgw-bbb スには任意のDNSサーバーを設定可能 /24 送信先 /16 nat-ddd プライベートホストゾーンターゲット local クライアントオンプレミス /24 オンプレミス /24 DNS キャッシュサーバー DX local /0 データセンター拠点閉域網オンプレミス環境とAWS環境を別のドメインで運用する場合の例送信先ターゲット /16 ユーザー拠点 example2.com IGW igw-aaa VGW vgw-bbb DNS NAT GW nat-ccc PublicSubnet1 ( /24) NAT GW キャッシュ nat-ddd サーバー PublicSubnet2 ( /24) ELB WebSubnet1 ( /24) クライアント WebSubnet2 ( /24) VPC内 Amazon DNS VPC内 DBSubnet1 ( /24) DBSubnet2 ( /24) Availability zone 1 Availability zone 2 VPC ( /16) 東京リージョン

35 更なる活用に向けて

36 VPC ピア接続 (VPC Peering) 2 つの VPC 間でルーティング異なる AWS アカウントの VPC とも接続可能同一リージョン内のみ CIDR の重複は不可直接ピア接続している VPC にのみルーティング Subnet1 ( /24) App A VPC ( /16) 送信先ターゲット /16 local /16 pcx-xxx pcx-xxx Subnet1 ( /24) App B VPC ( /16) VPC CIDR: 送信先ターゲット / /16 local /16 pcx-xxx

共通機能 VPC をハブとした大規模 AWS 環境の構成例 192.168.1.0/

37 共通機能 VPC をハブとした大規模 AWS 環境の構成例 / / /16 ポイント VPC のハブアンドスポーク構成ハブ VPC に共通機能や VPC コンポーネントを集約ハブ VPC のプロキシサーバによりスポーク VPC と拠点 / インターネットとを通信可能とする VPC Peering pcx-aaa VPC Peering pcx-bbb プロキシサーバ群 PublicSubnet1 ( /24) PublicSubnet2 ( /24) 共通サービスサーバ群 Amazon S3 ELB VPC Endpoint vpce-ccc インターネット閉域網 IGW igw-eee プロキシサーバ群共通サービスサーバ群 PrivateSubnet1 ( /24) PrivateSubnet2 ( /24) Availability zone 1 Availability zone 2 VPC ( /16) 東京リージョン VGW vgw-ddd

38 共通機能 VPC をハブとした大規模 AWS 環境の構成例ルートテーブル送信先ターゲット /16 local /0 pcx-aaa VPC Peering pcx-aaa / /16 VPC Peering pcx-bbb Amazon S3 VPC Endpoint vpce-ccc /24 インターネット閉域網 IGW igw-eee 送信先ターゲット /16 local /16 pcx-aaa /16 pcx-bbb S3 prefix list vpce-ccc /24 vgw-ddd /0 igw-eee プロキシサーバ群 PublicSubnet1 ( /24) PublicSubnet2 ( /24) 共通サービスサーバ群 ELB プロキシサーバ群共通サービスサーバ群 PrivateSubnet1 ( /24) PrivateSubnet2 ( /24) Availability zone 1 Availability zone 2 VPC ( /16) 東京リージョン VGW vgw-ddd

39 通信内容の可視化: VPC Flow Logs ネットワークトラフィックをキャプチャし CloudWatch Logsへ Publish セキュリティグループとネットワークACLのルールで accepted/rejectされたトラフィックログを取得 Elasticsearch Service上のKibana などでグラフィカルな表示分析も可能 version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action logstatus CloudWatch Logs Elasticsearch Service

40 IPv6 にも対応済み IPv4 IPv6 アドレス体系 32bit 128bit VPC での利用 CIDR ブロックサイズサブネットブロックサイズパブリック IP/ プライベート IP インスタンスタイプアマゾン提供 DNS デフォルトで適用 16 28bit で選択自分で任意のアドレスを設定可能オプトイン ( 自動適用ではなく任意 ) 56bit 固定 Amazon 保有の prefix から自動で 56bit CIDR がアサインされる ( 選べない ) 16 28bit で選択 64bit 固定それぞれ存在 (NAT を介してパブリック IP をプライマリプライベート IP に MAP) 全てのインスタンスタイププライベート IP Elastic IP に対するそれぞれの DNS ホスト名を受信パブリックのみ ( プライベートにするには Egress-only Internet Gateway を利用 ) M3 G2 を除く全ての現行世代のインスタンスタイプでサポート提供される DNS ホスト名はなし閉域接続 VPN DirectConnect DirectConnect のみ

41 まとめ AWS ではネットワークの設計調達構築運用の工数を削減しやりたいことに集中できる VPC, Direct Connect, Route 53 を活用するとシステム要件に沿ったネットワーク環境を構築可能まずは 1 つのシステムを稼働してみましょうすぐに始められます! VPC 作成ウィザードで数クリックで作成無料利用枠の活用 (VPC 自体はそもそも無料 )

42 ご参考資料 / 情報サービス毎の詳細説明資料 VPC, DX, Route 53 機能ステップバイステップの実機操作解説などクラウド活用資料集で検索するとトップに表示されます AWS 専用線アクセス体験ラボ sponsored by Intel Direct Connect の接続を無料で体験学習できます!

43 本セッションの Feedback をお願いします受付でお配りしたアンケートに本セッションの満足度やご感想などをご記入くださいアンケートをご提出いただきました方にはもれなく素敵な AWS オリジナルグッズをプレゼントさせていただきますアンケートは受付パミール 3F の EXPO 展示会場内にて回収させて頂きます

44 Thank you!

そこが知りたい！AWSクラウドのセキュリティ

そこが知りたい！AWSクラウドのセキュリティそこが知りたい! AWS クラウドのセキュリティ #AWSRoadshow 1 Twitter で AWS Cloud Roadshow に参加しよう! #AWSRoadshow 皆さんのご意見聞かせてください! 公式アカウント @awscloud_jp 最新技術情報イベント情報お得なクーポン情報など日々更新中! 2 自己紹介名前:鈴木宏昌スズキヒロアキ所属:AWSテクニカルトレーナー