PowerPoint Presentation

Size: px

Start display at page:

Download "PowerPoint Presentation"

さなえむらかわ
5 years ago
Views:

1 AWS Black Belt Online Seminar Amazon Virtual Private Cloud(VPC) アマゾンウェブサービスジャパン株式会社ソリューションアーキテクトネットワークスペシャリスト菊池之裕

2 AWS Black(White) Belt Online Seminar とは AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです火曜 12:00~13:00 主にAWSのソリューションや業界カットでの使いどころなどを紹介 ( 例 :IoT, 金融業界向け etc.) 水曜 18:00~19:00 主にAWSサービスの紹介やアップデートの解説 ( 例 :EC2, RDS, Lambda etc.) 開催曜日と時間帯は変更となる場合がございます最新の情報は下記をご確認下さいオンラインセミナーのスケジュール & 申し込みサイト 2

3 内容についての注意点本資料では 2018 年 04 月 18 日時点のサービス内容および価格についてご説明しています最新の情報は AWS 公式ウェブサイト ( にてご確認ください資料作成には十分注意しておりますが資料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます価格は税抜表記となっています日本居住者のお客様が東京リージョンを使用する場合別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 3

4 自己紹介名前 : 菊池之裕 ( きくちゆきひろ ) 所属 : アマゾンウェブサービスジャパン株式会社ソリューションアーキテクトネットワークスペシャリストロール :Network 系サービスについてのご支援経歴 :ISP,IXP,VPN 運用開発を経てネットワーク機器仮想ルータ販売会社のプリセールスプロダクト SE から AWS へ好きな AWS サービス : ELB,Direct Connect,VPC,Market Place 4

5 このセミナーのゴール VPC のコンセプトに慣れる基本的な VPC のセットアップが出来るようになる自社の要件にあった仮想ネットワークの作り方を理解する 5

6 Agenda Amazon VPCとは? VPCのコンポーネントオンプレミスとのハイブリッド構成 VPCの設計 VPCの実装 VPCの運用まとめ 6

7 Agenda Amazon VPCとは? VPCのコンポーネントオンプレミスとのハイブリッド構成 VPCの設計 VPCの実装 VPCの運用まとめ 7

8 データセンターをデザインしようとするには何が必要? 8

9 オンプレミス環境でのネットワークのイメージ土地電源 UPS ラック空調ラックファイバーパッチパネル SFP 等 IF モジュールスイッチルータストレージサーバロードバランサーファイアーウォール WAF 遠隔操作用ターミナルサーバ 9

10 Before 従来の IT インフラサービス開発グループ調達グループ現地作業グループ運用グループ要件定義納品待ち検品商用運用開始データセンター机上検討発注ラッキング商用導入作業ラック構築するには機器選定調達決裁ケーブリングメンテナンス時間調整検証機手配検証設定投入動作確認ネットワーク機器時間 (= コスト ) がかかる早くても数ヶ月長いと半年 10

11 After クラウドで仮想ネットワークを構築組み合わせてすぐ利用開始! データセンターバーチャルプライベートゲートウェイインターネットゲートウェイラックネットワーク機器必要な機能を抽象化サービスとして予め用意されている (Network Function Virtualization) Elastic IP Elastic ネットワークインタフェースルートテーブル + or 仮想ルータ API NAT ゲートウェイ WEB マネージメントコンソール 11

12 クラウドに対する悩み不安インターネット接続部分のスケールアウトは大丈夫? 社内業務アプリケーションはミッションクリティカルだから冗長とか大丈夫? クラウドを使いたいが社内ルール ( セキュリティ / ネットワーク ) に合わなそう社内と専用線で接続したいけどどうやればいいの? 12

13 VPC(Virtual Private Cloud) で解決可能 AWS 上にプライベートネットワーク空間を構築任意の IP アドレスレンジが利用可能論理的なネットワーク分離が可能必要に応じてネットワーク同士を接続することも可能ネットワーク環境のコントロールが可能ルートテーブルや各種ゲートウェイ各種コンポーネント複数のコネクティビティオプションが選択可能インターネット経由 VPN/ 専用線 (Direct Connect) 13

14 Agenda Amazon VPCとは? VPCのコンポーネントオンプレミスとのハイブリッド構成 VPCの設計 VPCの実装 VPCの運用まとめ 14

15 様々なコンポーネントを用意インターネットゲートウェイサブネット仮想ルータルートテーブル VPC Peering NAT ゲートウェイ VPC エンドポイント Elastic IP バーチャルプライベートゲートウェイ VPN コネクションカスタマゲートウェイ Elastic ネットワークインタフェース Elastic ネットワークアダプタ PrivateLink 15

16 まずは全体のネットワーク空間を VPC として定義 /16 16

17 利用するサブネットを定義 / /24 EC2 Internet パブリックサブネット 17

18 インターネットへの接続を設定 / /24 EC2 Internet パブリックサブネット 18

19 プライベートサブネットを追加 / / /24 EC2 Internet プライベートサブネット NAT ゲートウェイ EC2 パブリックサブネット 19

20 インターネットに接続しないネットワークも作成可能 /24 EC2 プライベートサブネット 20

21 オンプレミスとの接続 /24 EC2 オフィスデータセンター VPN or 専用線プライベートサブネット 21

22 ネットワーク要件に応じて自由に設定可能 / / /24 EC2 EC2 Internet オフィスデータセンター VPN or 専用線プライベートサブネットパブリックサブネット 22

23 VPC ウィザードで数画面で作成可能 2 希望のパターンを選択 ➀VPC ウィザードの開始をクリック 3 選択をクリック 4VPC の作成をクリック 23

24 ウォークスルー : インターネット接続 VPC セットアップ 24

25 インターネットへの接続を設定する VPC を作成 /16 Internet ap-northeast-1a ap-northeast-1c / /24 パブリックサブネットパブリックサブネット VPC subnet Availability Zone VPC subnet Availability Zone 25

26 インターネット接続 VPC のステップ ➀ アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択における Subnet を選択経路を設定トラフィックを許可 26

27 インターネット接続 VPC のステップ ➀ アドレスレンジを Availability Zones インターネットへの VPC への IN/OUT 選択における Subnet を選択経路を設定トラフィックを許可 27

クラス C だと少な過ぎる場合など実際の組織のホスト数に柔軟合わせたい CIDR レンジのサンプル : 172.31.0.

28 CIDR 表記の再確認 ( Classless Inter-Domain Routing ) 以前のアドレス体系はクラスフルだった (IPv4 の 32 ビットアドレス空間を 8 ビットで区切る ) クラス A 16,777,214 個 (2 24-2) クラス B 65,534 個 (2 16-2) クラス C 254 個 (2 8-2) クラス B だと多過ぎクラス C だと少な過ぎる場合など実際の組織のホスト数に柔軟合わせたい CIDR レンジのサンプル : / /16/24 のいずれかではなく可変長のビットマスクで必要に応じたアドレッシングが可能になったネットワークアドレス部ホストアドレス部 RFC(1518/1519を経て4632) にて定義 28

29 VPC に使うアドレスレンジの選択 /16 推奨 : RFC1918 レンジ推奨 :/16 (65,534 アドレス ) 最初に作成したアドレスブロックは作成後変更はできないので注意が必要 2 個目以降は追加削除ができる 29

30 VPC の作成 IPv4 CIDR block にアドレスレンジを入力して作成 30

31 インターネット接続 VPC のステップ ➀ アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択における Subnet を選択経路を設定トラフィックを許可 31

32 VPC CIDR とサブネット数 CIDR に /16 を設定した場合の各サブネット数と使える IP アドレス数サブネットマスクサブネット数サブネットあたりの IP アドレス数 / / / / / / VPC あたりのサブネット作成上限数はデフォルト 200 個 32

33 アベイラビリティゾーン AZは1つ以上のデータセンターで構成される 1リージョン内にAZが複数存在 ( 大阪ローカルリージョンを除く ) AZ はお互いに地理的電源的ネットワーク的に分離 2 つの AZ を利用した冗長構成を容易に構築リージョン内の AZ 間は高速専用線で接続 ( リージョン間も可能な限り高速専用線で接続 ) Asia Pacific (Tokyo) Availability Zone A Availability Zone B Availability Zone D Availability Zone C 33

34 サブネットに対して AZ とアドレスを選択 /16 推奨 : 各 AZ に Subnet を設定 ap-northeast-1a ap-northeast-1c / /24 推奨 : Subnet に /24 設定 (251 個 ) VPC subnet Availability Zone VPC subnet Availability Zone 34

35 サブネットを作成ネームタグ VPC アベイラビリティゾーン IPv4 CIDR block を指定して作成 35

36 サブネットで利用できない IP アドレス (/24 の例 ) ホストアドレス用途.0 ネットワークアドレス.1 VPC ルータ.2 Amazon が提供する DNS サービス.3 AWS で予約.255 ブロードキャストアドレス (VPC ではブロードキャストはサポートされていない ) 36

37 インターネット接続 VPC のステップ ➀ アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択における Subnet を選択経路を設定トラフィックを許可 37

38 VPC 内におけるルーティングルートテーブルはパケットがどこに向かえば良いかを示すもの VPC 作成時にデフォルトで 1 つルートテーブルが作成される VPC 内は作成時に指定した CIDR アドレスでルーティングされる 38

39 ルートテーブルの確認送信先が同一のセグメントであれば同一セグメントに送信 (VPC 作成時にデフォルトで作成 ) 39

40 インターネットゲートウェイを作成 VPC にアタッチ VPC からインターネットへの接続がアタッチされた 40

仮想ルータとルートテーブルの関係 ( ルート Look up) EC2 インスタンスデータ送信元 172.31.1.10 送信先 172.31.1.20 仮想ルータデータ送信元 172.31.1.10 送信先 172.31.1.20 EC2 ➀ パケット送信データ送信元 172.

41 仮想ルータとルートテーブルの関係 ( ルート Look up) EC2 インスタンスデータ送信元送信先仮想ルータデータ送信元送信先 EC2 ➀ パケット送信データ送信元送信先パケット到着 4 ターゲットへパケット転送 Local 3 テーブル Look Up インターネットゲートウェイ igw-29454e4c 送信先はこっち行けば良い送信先はこっち行けば良い 41

42 パブリックサブネットとプライベートサブネット EC2 の OS で確認できるのはプライベート IP のみパブリックサブネットの IP が IGW 経由でインターネットまたは AWS クラウドと通信するときにパブリック IP を利用プライベートIP: プライベートIP: プライベートIPで通信パブリック IP: パブリック IP で通信 EC2 EC2 Internet / /24 プライベートサブネットパブリックサブネット VPC CIDR: /16 42

43 インターネット接続 VPC のステップ ➀ アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択における Subnet を選択経路を設定トラフィックを許可 43

44 セキュリティグループ = ステートフル Firewall デフォルトで許可されているのは同じセキュリティグループ内通信のみ ( 外からの通信は禁止 ) その為必要な通信例えば WEB 公開する場合はインターネット ( /0) から 80 ポートを許可 44

45 Network ACLs = ステートレス Firewall サブネット単位で適用されるデフォルトでは全ての送信元 IP を許可 45

46 VPC セキュリティコントロール VPC /16 EC2 Instance EC2 Instance EC2 Instance Route Table インターネットゲートウェイ Virtual Router Route Table バーチャルプライベートゲートウェイ 46

47 ネットワーク ACL vs セキュリティグループネットワーク ACL サブネットレベルで効果 Allow/Deny を IN OUT で指定可能 ( ブラックリスト型 ) ステートレスなので戻りのトラフィックも明示的に許可設定する番号の順序通りに適用サブネット内のすべてのインスタンスが ACL の管理下に入るセキュリティグループサーバレベルで効果 Allow のみを IN OUT で指定可能 ( ホワイトリスト型 ) ステートフルなので戻りのトラフィックを考慮しなくてよい全てのルールを適用インスタンス管理者がセキュリティグループを適用すればその管理下になる 47

48 VPC セットアップの補足 48

49 サブネット内の DHCP ENI (eth0) DHCP 機能 MAC アドレスプライベート IP の割当てサブネット内のENI(Elasticネットワークインタフェース ) にIPを自動割当てプライベートIPを固定にした場合は DHCP 経由で該当のIPが割当てられる (EC2インスタンスのOS 上のNIC 設定はDHCP 設定とする ) サブネット 49

50 Amazon DNS サーバーデータセンター Amazon が提供する DNS サービス Amazon Provided DNS or 以下の 2 つのアドレスが利用可能 1VPC のネットワーク範囲 (CIDR) のアドレスに +2 をプラスした IP ( /16 の場合は ) / /24 サブネットサブネットアベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: /16 VPC 内の EC2 インスタンスからのみ参照可能 (VPN や専用線経由では参照できない ) EC2 インスタンスや Simple AD などで DNS Proxy にて対応する 50

51 DNS 機能の有効化とホストへの DNS 名割当て Enable DNS resolution 基本は yes とする No にすると VPC の DNS 機能が無効となる Enable DNS hostname True にすると DNS 名が割り当てられる Enable DNS resolution を true にしないと有効にならない 51

Amazon Time Sync Service VPC 内で稼働する全てのインスタンスから NTP で利用できる高精度な時刻同期サービス EC2 インスタンス内で NTP サーバの IP アドレスとしてとして 169.

52 Amazon Time Sync Service VPC 内で稼働する全てのインスタンスから NTP で利用できる高精度な時刻同期サービス EC2 インスタンス内で NTP サーバの IP アドレスとしてとしてを設定するだけで利用できるこのアドレスはリンクローカルアドレスなので外部インターネットへのアクセスは不要プライベートサブネット内でも利用できる Leap Smearing によるうるう秒への対策が実装済み無料で全リージョンで利用可能 52

IPv6 の対応 S3 CloudFront WAF Route53 に続き VPC ALB が IPv6 対応 10

53 IPv6 の対応 S3 CloudFront WAF Route53 に続き VPC ALB が IPv6 対応 / :db8:1234:1a00::/56 オフィスデータセンター Direct Connect / :db8:1234:1a01::/64 EC2 Basion プライベートサブネット / :db8:1234:1a00::/64 EC2 EC2 EC2 WEB パブリックサブネット Application Load Balancer AWS WAF Amazon CloudFront Amazon Route 53 Internet gateway Egress-only Internet Gateway Amazon S3 Internet 上記のような構成を IPv4/IPv6 デュアルスタックで構築可能 Egress-only Gateway(EGW) を利用して IPv6 においてもプライベート利用が可能 53

54 VPC における IPv4 と IPv6 の特徴と制限 IPv4 IPv6 アドレス体系 32bit 128bit VPC での利用 CIDR ブロックサイズサブネットブロックサイズパブリック IP/ プライベート IP インスタンスタイプデフォルトで適用 16 28bit で選択自分で任意のアドレスを設定可能オプトイン ( 自動適用ではなく任意 ) 56bit 固定かつ自動で 56bit CIDR がアサインされる ( 選べない ) 16 28bit で選択 64bit 固定それぞれ存在 (NAT を介してパブリック IP をプライマリプライベート IP に MAP) 全てのインスタンスタイプパブリックのみ ( プライベートにするには Egress-only Internet Gateway を利用 ) M3 G2 を除く全ての現行世代のインスタンスタイプでサポートアマゾン提供 DNS プライベート IP Elastic IP に対するそれぞれの DNS ホスト名を受信提供される DNS ホスト名はなし閉域接続 VPN DirectConnect DirectConnect のみ 54

55 Agenda Amazon VPCとは? VPCのコンポーネント VPCのセキュリティオンプレミスとのハイブリッド構成 VPCの設計 VPCの実装 VPCの運用まとめ 55

56 VPC とのプライベートネットワーク接続 VPN 接続バーチャルプライベートゲートウェイを利用したサイト間 VPN 専用線接続 AWS Direct Connect を利用し一貫性のあるネットワーク接続を実現本番サービス向け 56

57 VPN 接続構成トンネル #1 トンネル #2 カスタマゲートウェイ 1つのVPN 接続は2つのIPsec トンネルで冗長化ルーティングは静的 ( スタティック ) 動的 ( ダイナミック :BGP) が選択可能バーチャルプライベートゲートウェイ VPN 接続 57

58 専用線 (Direct Connect) 接続構成バーチャルプライベートゲートウェイ相互接続ポイント (Equinix TY2 or OS1 CC1 or Chief Telecom LY) カスタマゲートウェイ AWS とお客様設備を専用線でネットワーク接続相互接続ポイントへ専用線を敷設し AWS のルータと相互接続東京リージョンの相互接続ポイントは東京 (Equinix CC1) 大阪 (Equinix OS1) 台北 (Chief Telecom LY) ルーティングは BGP のみ接続先は以下の 2 つ VPC( プライベート接続 ) AWS クラウド ( パブリック接続 ) VPN よりも一貫性がある帯域のパフォーマンスも向上ネットワークコストも削減 58

ターゲット :VGW の ID 10.1.0.0/24 Route Table Destination Target 10.1.0.0/16 local 192.

59 VPC からオンプレミスへのルート設定 /16 VPC からオンプレミスへの通信をするためには各サブネットのルートテーブルの設定が必要伝達宛先 : オンプレミスの IP ターゲット :VGW の ID /24 Route Table Destination Target /16 local /24 vgw /24 ルートテーブルでルート伝達 ( プロパゲート ) を有効にすると VGWで受信したルート情報をルートテーブルに自動的に伝達 ( 頻繁にオンプレのルートが更新される場合はこちらを利用 ) 59

60 Direct Connect Gateway Direct Connect Gateway が Hub になり同一アカウントに所属する複数のリージョンの複数のロケーションから複数リージョンの複数の VPC に接続できる機能 Direct Connect から世界の全リージョン ( 中国除く ) の VPC に接続することができる 1 つの Direct Connect の仮想インターフェイスから複数の VPC に接続することができる複数の Direct Connect の仮想インターフェイスを Direct Connect Gateway に接続することができる 1つ以上のDirect Connect ロケーションに繋げば全世界の全リージョン ( 中国除く ) に閉域網接続でき同一リージョンまたは世界の複数リージョンをまたいで複数のVPCに接続できる機能 , Amazon Web Services, Inc. or its Affiliates. All rights reserved.

61 ユースケース 1. 仮想インターフェイスから同一リージョン上の複数 VPCのアタッチ 2. 接続点の冗長化 ( 東京大阪 ) 3. 東京リージョンから全世界のリージョンへの接続 ( 東京 CC1) ap-northeast-1 ( 東京 ) ap-northeast-3 ( 大阪ローカル ) ( 大阪 OS1) us-east-1 ( バージニア北部 ) ap-southeast-1 ( シンガポール ) 61

62 Direct Connect Gateway の接続例 Direct Connect Connection VGW 東京リージョンオフィスデータセンター VIF VIF DXGW シンガポールリージョンオフィスデータセンター 62

63 インターネット VPN vs 専用線コストインターネット VPN 安価なベストエフォート回線も利用可能専用線キャリアの専用線サービスの契約が必要リードタイム即時 ~ 数週間 ~ 帯域品質障害時の切り分け暗号化のオーバーヘッドにより制限ありインターネットベースのため経路上のネットワーク状態の影響を受けるインターネットベースのため自社で保持している範囲以外での切り分けが難しいポート当たり 1G/10Gbps /LAG 可能キャリアにより高い品質が保証されているエンドツーエンドでどの経路を利用しているか把握できているため比較的容易 63

64 VPN と Direct Connect の冗長化 /16 優先 Direct Connect /24 VPN と Direct Connect を同じ VGW に接続することが可能 Direct Connect = アクティブ VPN = スタンバイこの場合 VPC から見た Outbound は必ず Direct Connect が優先される (VPN を優先したい場合は VPN ルータから Direct Connect より長い Prefix を広告 ) /24 VPN VPN へのフェールオーバー時はレイテンシなど回線品質に注意 64

Transit VPC 日本本社海外拠点 CloudFormation テンプレートとして提供 VPC をグローバルネットワーク転送センターとして機能 2 つ以上の AWS リージョンに渡るプライベートネットワークを構築可能すべての AWS リージョンを定期にスキャンし VPN 接続がないスポーク VPC で適切にタグされた仮想プライベートゲートウェイを探す

65 Transit VPC 日本本社海外拠点 CloudFormation テンプレートとして提供 VPC をグローバルネットワーク転送センターとして機能 2 つ以上の AWS リージョンに渡るプライベートネットワークを構築可能すべての AWS リージョンを定期にスキャンし VPN 接続がないスポーク VPC で適切にタグされた仮想プライベートゲートウェイを探す発見すると各 VPC と TransitVPC(Cisco CSR on EC2) 間にて自動で VPN 作成および BGP 接続を行う通常のインスタンスとネットワークの料金に加え Cisco CSR のライセンス料金が課金される (BYOL も可能 ) 65

66 Agenda Amazon VPCとは? VPCのコンポーネント VPCのセキュリティオンプレミスとのハイブリッド構成 VPCの設計 VPCの実装 VPCの運用まとめ 66

67 VPC 設計のポイント CIDR(IP アドレス ) は既存の VPC 社内の DC やオフィスと被らないアドレス帯をアサインプライベートアドレスで無い場合は /10 CGNAT を使うのも手複数のアベイラビリティゾーンを利用し可用性の高いシステムを構築パブリック / プライベートサブネットへのリソースの配置を慎重に検討適切なセキュリティ対策を適用するシステムの境界を明らかにし VPC をどのように分割するか将来を見据えてしっかりと検討する 67

AWS クラウドと VPC AWS クラウド SQS SNS DynamoDB IoT Kinesis パブリックサブネット Elasti Cache RDS Lambda パブリック / プライベートサブネット NAT ゲートウェイ EC2 Elastic SearchService Lambda ELB Redshift EMR パブリックサブネットアベイラビリティゾーン 1

68 AWS クラウドと VPC AWS クラウド SQS SNS DynamoDB IoT Kinesis パブリックサブネット Elasti Cache RDS Lambda パブリック / プライベートサブネット NAT ゲートウェイ EC2 Elastic SearchService Lambda ELB Redshift EMR パブリックサブネットアベイラビリティゾーン 1 アベイラビリティゾーン 2 S3 VPC エンドポイント ECS パブリック / プライベートサブネット VPC 内と外のどちらにリソースやエンドポイントが存在するかサービスによって異なる VPC から AWS クラウドへのリソースは IGW 経由の通信となるプライベートサブネットからは NAT ゲートウェイ S3 であれば VPC エンドポイントの利用も可能パブリックサブネットからは自動割当てまたは EIP のパブリック IP から直接アクセス S3,DynamoDB へのアクセスは VPC エンドポイント (Gateway 型 ) が利用可能 : 表示しているサービスは一部のみですデータセンター本社オフィス 68

69 VPC Endpoint 概要 VPC Endpoint S3 VPC Endpoint はグローバル IP をもつ AWS のサービスに対して VPC 内部から直接アクセスするための出口です Dynamo DB 69

70 動作比較 Gateway 型の動作サブネットに特殊なルーティングを設定し VPC 内部から直接サービスと通信する 1S3 の IP は? Amazon Provided DNS だよへ通信 S3 通信先の IP アドレスはグローバル IP アドレスルートテーブル S3 へは vpce-1a2bc3 を通れ VPC Endpoint (vpce-1a2b3c) S3 向けの IP アドレスは pl-xxxxx という論理名で表され実際の Destination は AWS が管理している Dynamo DB 70

0.0.100 API EC2 API エンドポイント用プライベート IP アドレス向け通信が内部的にサービスに届けられるエンドポイント用プライベート IP サービスごとに設定が必要で IP アドレスは自動で採番される

71 動作比較 PrivateLink (Interface 型 ) の動作サブネットにエンドポイント用のプライベート IP アドレスが生成される VPC 内部の DNS がエンドポイント向けの名前解決に対してしてプライベート IP アドレスで回答する 1EC2 の API の IP は? Amazon Provided DNS or だよへ通信 4 AWS 内部で EC2 API に転送 EC2 用 VPC エンドポイント例 ) API EC2 API エンドポイント用プライベート IP アドレス向け通信が内部的にサービスに届けられるエンドポイント用プライベート IP サービスごとに設定が必要で IP アドレスは自動で採番される (ELB や RDS などと似ている ) API EC2 用 VPC エンドポイント例 ) Kinesis Streams API 71

72 機能比較 Gateway 型 PrivateLink(Interface 型 ) アクセス制御エンドポイントポリシーセキュリティグループ IAM Policy と同じ構文でアクセス先のリソースを制限可能セキュリティグループでアクセス元 IP ポートを制御可能対象のサービスの特定のリソースへのアクセス制御は不可利用料金無料有料サービスごとに 1 プライベート IP 毎に下記の料金 USD/ 時間 ( 東京 ) USD/ GB 冗長性ユーザー側で意識する必要なしマルチ AZ 設計マルチ AZ で配置するように設定する 72

73 PrivateLink for Customers and Partners NLB Client VPC Provider VPC PrivateLink はユーザが自分で作ることもできる 73

74 NAT ゲートウェイパブリックサブネット 1 0/0 NAT-A パブリックサブネット 2 0/0 NAT-B AWSによるマネージドNATサービスプライベートサブネットのリソースがインターネットまたはAWSクラウドへ通信するために必要 EIPの割当て可能高パフォーマンス( 最大 10Gbpsバースト ) 高可用性( ビルトインで冗長化 ) アベイラビリティゾーン毎に設置するのがベストプラクティスプライベートサブネット1 プライベートサブネット2 アベイラビリティゾーン 1 アベイラビリティゾーン 2 VPC Route Table Destination Target /16 local /0 NATゲートウェイ 74

75 VPC を分割するケース ( 例 ) アプリケーションによる分割監査のスコープによる分割リスクレベルによる分割本番 / 検証 / 開発フェーズによる分割部署による分割共通サービスの切り出し AWSアカウントとVPC 分割パターンはお客様のITオペレーションモデルに沿ったものである必要がある 75

76 フェーズによる VPC 分割シングルアカウントシングル VPC IAM による権限分離タグによるコスト管理 DEV LAN STG LAN PROD LAN DEV サブネット STG サブネット PROD サブネットデータセンター 76

77 組織ごとの VPC 分割マルチアカウントマルチ VPC モニタリングや認証などのコアサービスは共通 VPC と VPC ピアリングで接続 DEV DEV STG STG LOB1 DEV VPC LOB1 STG VPC LOB1 PROD VPC LOB1 DEV VPC LOB1 STG VPC LOB1 PROD VPC PROD PROD LOB 1 LAN LOB 2 LAN IT LAN 共通 VPC データセンター 77

78 (Inter-region) VPC Peering (VPC ピア接続 ) VPC CIDR: /16 VPC CIDR: /16 pcx-xxxxxx / /24 アベイラビリティゾーン A アベイラビリティゾーン B 2 つの VPC 間でトラフィックのルーティングが可能同一の AWS アカウントはもちろん異なる AWS アカウント間 ( クロスアカウント ) の VPC 間をピア接続することも可能単一障害点や帯域幅のボトルネックは存在しないリージョンを跨いで構築可能 (New) Route Table Destination Target /16 local /0 pcx-xxxxxx Route Table VPC CIDR: Destination /16 Target /16 local /0 pcx-xxxxxx 以下の点に注意 MTU (VPC Peering 1,500byte) 直接 Peering している VPC とのみ通信可能 (2HOP は不可 ) 78

79 Agenda Amazon VPCとは? VPCのコンポーネント VPCのセキュリティオンプレミスとのハイブリッド構成 VPCの設計 VPCの実装 VPCの運用まとめ 79

$0.0.0/16') resource "aws_vpc" "main" {$ cidr_block = "10.

"AWSTemplateFormatVersion" : "2010-09-09",

"AWS::EC2::VPC", "Properties" : { "CidrBlock" :

80 VPC の実装方法マネージメントコンソール AWS CLI AWS SDK サードパーティツール AWS CloudFormation aws ec2 create-vpc --cidr-block /16 from vpc.boto import VPCConnection c = VPCConnecction() vpc = c.create_vpc(' /16') resource "aws_vpc" "main" { cidr_block = " /16" tags { Name = "main" } } { "AWSTemplateFormatVersion" : " ", "Resources" : { "myvpc" : { "Type" : "AWS::EC2::VPC", "Properties" : { "CidrBlock" : " /16", "EnableDnsSupport" : "false", "EnableDnsHostnames" : "false", "InstanceTenancy" : "dedicated", "Tags" : [ { "Key" : "foo", "Value" : "bar } ] } } } } 80

CLI - VPC 作成 aws ec2 create-vpc --cidr 10.10.0.0/16 aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.

81 CLI - VPC 作成 aws ec2 create-vpc --cidr /16 aws ec2 create-subnet --vpc vpc-c15180a4 --cidr /24 --a us-west-2a aws ec2 create-subnet --vpc vpc-c15180a4 --cidr /24 --a us-west-2b 81

82 AWS CloudFormation JSON/YAML テンプレートを元に AWS 環境を構築 { "AWSTemplateFormatVersion" : " ", "Resources" : { "myvpc" : { "Type" : "AWS::EC2::VPC", "Properties" : { "CidrBlock" : " /16", "EnableDnsSupport" : "false", "EnableDnsHostnames" : "false", "InstanceTenancy" : "dedicated", "Tags" : [ { "Key" : "foo", "Value" : "bar } ] } } } } テンプレート (JSON 形式 ) CloudFormation AWS 環境 ( スタック ) が完成テンプレートサンプル : 82

83 AWS CloudFormation デザイナー GUI でテンプレートの作成が可能 83

84 Agenda Amazon VPCとは? VPCのコンポーネント VPCのセキュリティオンプレミスとのハイブリッド構成 VPCの設計 VPCの実装 VPCの運用まとめ 84

85 VPC Flow Logs とはネットワークトラフィックをキャプチャし CloudWatch Logs へ Publish する機能ネットワークインタフェースを送信元 / 送信先とするトラフィックが対象セキュリティグループとネットワーク ACL のルールで accepted/reject されたトラフィックログを取得キャプチャウインドウと言われる時間枠 ( 約 10 分間 ) で収集プロセッシング保存 RDS, Redshift ElasticCache WorkSpaces のネットワークインタフェーストラフィックも取得可能追加料金はなし (CloudWatch Logs の標準料金は課金 ) 85

86 利用例 :Elasticsearch Service + kibana による可視化 Elasticsearch へ PUT VPC CloudWatch Logs Elasticsearch Service kibana Visualize-Your-Security-Groups 86

87 VPC のリミット関連代表的な VPC のリミットリソース数リージョン当たりの VPC の数 5 デフォルトの上限値が増加したものもあり st/userguide/vpc_appendix_limits.html VPC 当たりのサブネットの数 200 AWS アカウント当たり 1 リージョン内の Elastic IP 数 5 ルートテーブル当たりのルートの数 100 VPCあたりのセキュリティグループの数 500 セキュリティグループあたりのルール数 (In/Out) 50 ネットワークインタフェースあたりのセキュリティグループ 5 VPC 当たりのアクティブなVPCピア接続 125 VPCあたり ( 仮想プライベートゲートウェイ ) のVPN 接続数 10 Web サイトから制限解除申請可能不明点は AWS サポートや担当営業までお問い合わせください 87

88 まとめ VPC によりさまざまな要件に合わせたネットワークを簡単に作成可能設計時には将来の拡張も見据えたアドレッシングや他ネットワークとの接続性も考慮する VPC 構成は自社の IT オペレーションモデルに合わせる VPC 単体ではなく VPC 全体の関係性も視野に入れる実装や運用を補助するツールも有効利用 88

オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 https://aws.amazon.

89 オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 AWS Solutions Architect ブログ最新の情報セミナー中の Q&A 等が掲載されています 89

公式 Twitter/Facebook AWS の最新情報をお届けします @awscloud_jp 検索もしくは

90 公式 Twitter/Facebook AWS 検索もしくは最新技術情報イベント情報お役立ち情報お得なキャンペーン情報などを日々更新しています! 90

お問い合わせ先 AWS 導入に関しての問い合わせ http://aws.amazon.

91 お問い合わせ先 AWS 導入に関しての問い合わせ ( ご利用者様向け ) 課金請求内容アカウントに関するお問い合わせ AWS 技術サポート 91

92 92

AWS のネットワーク設計入門

AWS のネットワーク設計入門アマゾンウェブサービスジャパン株式会社ソリューションアーキテクト岡本京 2017/5/31 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 自己紹介岡本京 ( おかもとひろし ) 所属と職種アマゾンウェブサービスジャパン株式会社技術統括本部ストラテジックソリューション部ソリューションアーキテクト