Presentation Title Here

Similar documents
そこが知りたい!AWSクラウドのセキュリティ

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

AWSマイスターシリーズ ~CloudFront & Route53~

PowerPoint プレゼンテーション

内容についての注意点! AWS クラウドのサービスは ご利利 用いただいた時間や量量により費 用が変動する従量量課 金金です そのため 事前に料料 金金確定 見見積を作成することはできない旨はご了了承ください! 特に断りがない場合 本資料料では 2014 年年 7 月 24 日現在の東京リージョンの


PacnetでAPACをカバーする アマゾンのクラウドサービス

Microsoft Word - VPNConnectionInstruction-rev1.3.docx

Amazon Web Servicesによる 仮想デスクトップサービス ~デスクトップも、クラウドで~

InterSecVM/MWc V1.0 for Linux (Amazon EC2 用 ) セットアップ手順説明書 2015 年 9 月第 1 版

仮想化,クラウドとセキュリティ

Leveraging Cloud Computing to launch Python apps

目次! 本資料料の対象! はじめに! AWSを利利 用したスケーラブルな構成! ご利利 用料料 金金イメージ! まとめ! ご参考情報! 関連資料料

InfoFrame Relational Store V2.2 構築ガイド for Amazon Web Services RS J

Slide 1

<Amazon Web Services 上 での     JobCenter 構築ガイド>

AWS のネットワーク設計入門

2

製品概要

R80.10_FireWall_Config_Guide_Rev1

Amazon Web Services 向け先進のセキュリティ! Amazon パブリック クラウド用仮想アプライアンス Public Cloud チェック ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました 2014 Check Poin

目次 1 本ドキュメントの目的 本ドキュメントのサポート範囲 将来における互換性について Amazon Web Services の概要 VPC 上で LifeKeeper を使う上での留意点 Amazon Web Services

AWS およびパートナーサービスを使った、データの集約および活用設計パターン

Agenda Active Directory on AWS 基礎からわかる Active Directory Active Directory on AWS 構成のシナリオ ADFS と IAM による ID 連携 AWS Directory Service ディレクトリタイプの選択 ディレクトリ

Webhard_Users manual

Microsoft Word - 楽天㇯ㅩ㇦ㅛIaaSㇵㅼã…fiã‡¹ä»Łæ§Ÿ.doc

Microsoft Word - ID32.doc

アジェンダ はクラウド上でも十分使えます 1. の概要 とは の導入事例 で利用される構成 2. をクラウドで使う クラウドサービスの分類 Amazon Web Services による構成例 2

自 己紹介 名前 渡邉源太 所属 アマゾンウェブサービスジャパン株式会社 技術本部レディネスソリューション部 ソリューションアーキテクト (Windows Specialist) 好きな AWS サービス Amazon WorkSpaces

Mobile Access IPSec VPN設定ガイド

IBM 次世代クラウド・プラットフォーム コードネーム “BlueMix”ご紹介

! AWS アカウントを作成する! Amazon EC2 とは? ハンズオンのアジェンダ! EC2 インスタンスを起動する! EC2 インスタンスを操作する! EC2 インスタンスから AMI を作成する! Amazon EC2 をさらに使いこなす

VPCスターターパック説明資料

AWS Deck Template

WebSAM MCOperations Amazon Web Services 向け構築ガイド 2015 年 5 月 日本電気株式会社

AWS へ全面 Migration するために

今更聞けない AWS クラウド入門

Microsoft PowerPoint - salesplaybook-migration.pptx

AWS Deck Template

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

10年オンプレで運用したmixiをAWSに移行した10の理由

WebSAM Application Navigator Amazon Web Services 向け構築ガイド 2014 年 3 月 日本電気株式会社 1

PowerPoint プレゼンテーション

CLUSTERPRO X 4.0 Amazon Web Services向け HAクラスタ 構築ガイド (Windows版)

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

AWS 上でのサーバーレスアーキテクチャ 入 門 AWS Black Belt Online Seminar 2016 アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクト清 水崇之 , Amazon Web Services, Inc. or its Aff

プロダクト仕様書 ECS

PowerPoint プレゼンテーション

Microsoft PowerPoint - SSO.pptx[読み取り専用]

目次 A-SaaS クライアントのセットアップ手順 A-SaaS クライアントをダウンロードする P3 A-SaaS クライアントをインストールする P5 A-SaaS にログインする P5 A-SaaS クライアントのバージョンアップ手順 最新バージョンの確認方法 P6 A-SaaS クライアント


エンタープライズ向けAWSクラウドデザインパターンのご紹介(ネットワーク編)

PowerPoint Presentation

PowerPoint プレゼンテーション

業務サーバパック for 奉行シリーズスタートアップガイド

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Microsoft Word - ssVPN MacOS クライアントマニュアル_120版.doc

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

re:generate AWS Billing について アマゾンデータサービスジャパン株式会社 ソリューションアーキテクト 吉荒祐 一 舟崎健治平 山毅 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not b

Page 2 of 7 絞込条件 さらに検索条件を増やして検索 表示します 現在表示されている状態から再検索して絞り込みます [ 絞り込み ] ボタンで実行します [ 物件名 ]: 物件名または物件名の一部の文字を入力します [ 物件 ID を表示 ] チェック : 検索結果の物件一覧に プログラム

SCL-HA-A Ver 年 1 月 31 日 株式会社応用電子 FKEY SConnect 1.0 HA リリースノート (FSV100H) FKEY SConnect 1.0 HA(FSV100H) リリースのご案内をします 主要な利用目的マルウェア感染による情

2011年11月10日 クラウドサービスのためのSINET 学認説明会 九州地区説明会 九州大学キャンパス クラウドシステムの導入 伊東栄典 情報基盤研究開発センター 1

Juniper Networks Corporate PowerPoint Template

Who am I 三島 テコラス株式会社 サービス戦略略企画室 経 歴 執筆 寄稿等 Software Design SoftLayerシステム構築実践ガイド 技能五輪輪競技委員 CloudStackユーザー会ボードメンバー 2 OSSトレーニング開発 Linu

PowerPoint Presentation

網設計のためのBGP入門

本 日のアジェンダ Amazon Web Services について SAP on AWSで憶えておきたいAWSサービ SAP on AWS について SAP HANA 対応状況 なぜ SAP on AWS が選択されるのか?

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

Presentation Title Here

PowerPoint Presentation

PowerPoint Presentation

PowerPoint プレゼンテーション

_mokuji_2nd.indd

改版履歴 版数改版日付内容 /01/29 新規作成

Fujitsu Standard Tool

TeamViewer マニュアル – Wake-on-LAN

PowerPoint Presentation

内容についての注意点 本資料料では 2016 年年 8 月 17 日時点のサービス内容および価格についてご説明しています 最新の情報は AWS 公式ウェブサイト ( ) にてご確認ください 資料料作成には 十分注意しておりますが 資料料内の価格と AWS

PowerPoint Presentation

Agenda! ストレージサービス概要! Instance Store (Ephemeral Disk)! Elastic Block Store! 使い分けの実践編 2

構築例 お客様構築 IoT デバイス DynamoDB IoT デバイスで計測した値を出力させ データを API で DynamoDB に送信させるために IAM Access Key を IAM で取得します IoT.kyoto は DynamoDB から IoT デバイスで計測したデータを取得し

2. 機能 ( 標準サポートプロトコル ) SECURITY for Biz 対応スマートフォンでは標準で対応している VPN プロトコルがあります 本章では NTT ドコモで動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-t

クラウド開発者のためのCloud Design Pattern 入門

目 次 1. システムの運用 2. システムの使用環境 3. ユーザID パスワードについて 4. 現行 Excelと新システムとの違い 5. 新システムでの注意点 6. マニュアルについて 7. お問い合わせ

R76/Gaia ブリッジ構成設定ガイド

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

よくある問題を解決する~ 5 分でそのままつかえるソリューション by AWS ソリューションズビルダチーム

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

Amazon VPCスターターパック Amazon VPCスターターパックのご 紹 介 Amazon VPCの 運 用に 際 しアルテリア ネットワークス 社 とサーバーワー クスが 協 業 で 提 供 するサービスです 1 万 拠 点 以 上 の VPN サービスを 手がけているアルテリア ネット

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

PowerPoint Presentation

<4D F736F F F696E74202D2082A282DC82B382E795B782AF82C882A FC96E CF68A4A A2E >

Mobile Access簡易設定ガイド

AWS Simple Monthly Calculator (簡易見積ツール) 使い方説明

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

MPサーバ設置構成例

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

PowerPoint プレゼンテーション


Presentation Template Koji Komatsu

Transcription:

初 心者向け Webinar AWS 上でのネットワーク構築 2015/01/08 アマゾンデータサービスジャパン株式会社 ソリューションアーキテクト 舟崎健治

アジェンダ Introduction AWSの関連サービスの概要紹介 Amazon Virtual Private Cloud(VPC)の作成 ネットワーク関連Tipsのご紹介 オンプレミスとVPCの接続 最適なネットワーク構成について まとめ

アジェンダ Introduction AWSの関連サービスの概要紹介 Amazon Virtual Private Cloud(VPC)の作成 ネットワーク関連Tipsのご紹介 オンプレミスとVPCの接続 最適なネットワーク構成について まとめ

Introduction AWS 上でインターネットからアクセス可能なアプリケーションを動作させたい AWS 上で社内業務アプリケーションを動作させたい インターネットからアクセスできる領領域を制限したい 社内とセキュアに接続させたい

オンプレミス環境でのネットワークのイメージ AWS上でネットワークを構築する場合は ユーザーが物 理理的なハードウェアの導 入 管理理を 行行う必要はありません

オンプレミス環境で構築したシステムの例例 エンドユーザ 管理理者 踏み台サーバ経由で各サーバへのリモートログイン インターネットからアクセス可能なパブリック領領域 インターネットから直接アクセスできないプライベート領領域 LB 踏み台 管理理者 Web Web VPN ルータ データセンター VPN ルータ オフィス オフィスからの VPN 接続

AWS上でもオンプレミス環境に類似した 自社専 用の仮想ネットワークを構築可能 エンド ユーザ 管理理者 LB 踏み台 踏み台サーバを経由で 各サーバへのリモートログイン インターネットからアクセス 可能なPublic Subnet インターネットから直接アクセス できないPrivate Subnet Web Web 管理理者 VPN ルータ VPN ルータ データセンター オフィスからのVPN接続 オフィス

AWS上の仮想ネットワークを利利 用するメリット AWSアカウント登録をしたらすぐに利利 用可能 簡単に 自社専 用の仮想ネットワークを構築可能 物理理的なデータセンターの利利 用契約やネットワーク機器 の配備は不不要 インターネットからアクセスできない 社内ユーザのみ アクセス可能な仮想ネットワークの構築が可能 仮想ネットワークの構築 自体は無料料

本 Webinar では AWS 上で仮想ネットワークの活 用 構築 方法や オンプレミスとの VPN 接続 方法について 構成例例を交えて紹介いたします

AWSシンプルアイコンを使って構成図を 作成しましょう プレゼンテーションや技術資料料に使 用可能なAWSサー ビスやリソースのアイコンを 自由に利利 用可能 AWSシンプルアイコンのダウンロード http://aws.amazon.com/jp/architecture/icons /

アジェンダ Introduction AWSの関連サービスの概要紹介 Amazon Virtual Private Cloud(VPC)の作成 ネットワーク関連Tipsのご紹介 オンプレミスとVPCの接続 最適なネットワーク構成について まとめ

AWSのグローバルインフラ GovCloud (US ITAR Region) US West (Northern California) US West US East (Oregon) AWS Regions AWS Edge Locations (Northern Virginia) Asia Asia Asia China South EU EU America (Ireland) (Frankfurt) Pacific Pacific Pacific (Beijing) (Sao Paulo) 2015/01/08時点 詳細 (Singapore) (Tokyo) (Sydney) http://aws.amazon.com/jp/about-aws/global-infrastructure/

アベイラビリティゾーン (AZ) US East (Northern Virginia) EU (Ireland) Asia Pacific (Tokyo) Availability Zone D Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone C Availability Zone C US West(Northern California) US West (Oregon) Asia Pacific (Singapore) Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B AWS GovCloud (US) South America (Sao Paulo) EU (Frankfurt) Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B

Amazon VPC(Virtual Private Cloud) クラウド内にPrivateネットワークを構築可能 企業イントラの延 長/1拠点としてAWSを利利 用 リージョン内でAZをまたがって構築可能 VPN接続 専 用線 イントラ リージョン VPC Private Subnet 分離離したNW 領領域を作成 Public Subnet ゲートウェイ インターネット

VPC CIDR と Subnet について Web Server Web Server Subnet: 10.0.1.0/24 Subnet: 10.0.2.0/24 VPC 10.0.0.0/16 作成後は VPC のサイズやアドレスブロックは変更更できないので注意!! CIDR IP Address 数 xxx.xxx.xxx.xxx/16 65,534 xxx.xxx.xxx.xxx/20 4,094 xxx.xxx.xxx.xxx/24 254 xxx.xxx.xxx.xxx/28 14

Elastic Network Interfaces EC2 インスタンスごとに仮想ネットワークインタフェースを複数持てる機能 VPC 内でのみ利利 用可能 以下を ENI に紐紐づけて維持可能 Private IP Elastic IP MAC アドレス セキュリティグループ インスタンスによって割り当て可能な数が異異なる 詳細は以下 http://docs.aws.amazon.com/ja_jp/awsec2/latest/userguide/using-eni.html

Route Tableについて 各SubnetはRoute Tableを持っている 設定を変更更する ことでデータの流流れを制御可能 IGW(Internet Gateway)へ Public SubnetのRoute Table Private SubnetのRoute Table のルーティングがあるので インターネットへのアクセス が可能

VPC Peering 複数のVPCをPeeringする機能 これにより 手軽にVPC間を繋げて Private IPで通信す ることが可能になった 同 一AWSアカウントのVPC間はもちろん 異異なるAWS アカウントのVPC間をPeeringすることも可能 VPC-A -> VPC-B -> VPC-C といった2ホップ以上のRoutingは できないので要注意 AとC間でRoutingするには AとCでPeering接続する

EC2 Amazon EC2(Elastic Compute Cloud) リージョン アベイラビリティ ゾーン A EC2 任意のゾーンに 1 分散配置可能 数分で起動可能な仮想サーバ 1時間ごとの従量量課 金金で利利 用可能 スケールアップ/ダウン アウト/イ ンが即座に可能 EC2で起動した仮想サーバのことをEC2インス タンスと 言います アベイラビリティ ゾーン B EC2 Windows, Linuxなどx86アーキテク チャのOS利利 用可能 Windowsライセンスも従量量課 金金 OS以上はお客様の 自由 お 手持ちのソフトをそのまま利利 用

VPC Security Group VPC 環境ではトラフィック (Inbound) をブロックするだけでなく EC2 からのトラフィック (Outbound) を制限する事も可能 ネットワークポートやアクセス元の IP で制限可能 Port 80 (HTTP) EC2 Security Instance Group Port 22 (SSH)

AWS SDK/CLI > ユーザ名 パスワード EC2 起動 停 止 各 言語ごとの SDK AWS CLI REST API AWS 管理理者 オペレータ Management Console (Web) アクセスキー シークレットキー VPC 作成 削除 変更更

AWSアカウント登録について Webフォーム上で数分程度度の登録作業をするだけで すぐさまAWS を利利 用可能 AWSアカウント作成の流流れ http://aws.amazon.com/jp/register-flow/ AWSアカウント作成 方法についての動画 日本語字幕付き http://aws.amazon.com/jp/getting-started/

AWSアカウント登録にあたってのTips 無料料利利 用枠をご利利 用可能 クレジットカードは個 人 用 法 人 用いずれも利利 用可能 登録したメールアドレスやクレジットカードは 後から でも変更更が可能 利利 用開始当初は個 人のクレジットカードで登録 毎 月経費精算 を 行行い 利利 用増加に伴い法 人 用のクレジットカードに切切り替え る 等

AWSマネージメントコンソールにログイン アカウント登録後にAWSのTopページへアクセス http://aws.amazon.com/jp/ 登録したメールアドレス パスワードでログインする

ログインが成功すると以下のサービスの 一覧画 面が表 示される

VPCのマネージメントコンソール画 面へアクセス 既に1つVPC Default VPC)が作成されている

Default VPCとは 2013年年12 月4 日より後に作成さ れたAWSアカウントで 自動的に 作成されているVPC VPCを別途作成しなくとも EC2インスタンスをDefault VPC内に起動可能 各AZに1つずつDefaultSubnetが作成されている SubnetのプライベートIPアドレスは 172.31.0.0/20, 172.31.16.0/20で Subnetご とに最 大4096個のIPアドレスを提供する Default VPCのCIDRブロックは 172.31.0.0/16で 最 大65,556個 のIPアドレスを提供する

EC2インスタンスをDefault VPC内に起動する EC2インスタンス 起動 手順 Step 1: AMI(Amazon Machine Image)の選択 Step 2: インスタンスタイプの選択 Step 3: 起動台数 ネットワークの選択 重要 Step 4: ストレージの選択 Step 5: インスタンスへのタグ付け Default VPCが選択されている Default VPC内に起動する場合は 明 示 Subnetを指定しなくても Default Su いずれかに起動させることが可能 明 示的にSubnet指定も可能 Step 6: セキュリティグループの設定 Step 7: 起動設定の確認 Step 8: 使 用するキーペアを作成または 選択して起動 自動的にPublic IPが割り当たる設定

Default VPCを本番環境 用に使うべきか Default VPCで他のVPC同様に設定変更更が可能 ただし 以下の制限がある Default VPCを削除すると ユーザー側で復復元は不不可 復復元する場合はAWSサ ポートにお問い合わせ頂く必要あり CIDRブロックは172.31.0.0/16で固定のため 任意のCIDRブロックはDefault VPCでは利利 用不不可 上記制限を回避するため 別途 自 身で作成したVPCを使 用すると良良い

アジェンダ Introduction AWSの関連サービスの概要紹介 Amazon Virtual Private Cloud(VPC)の作成 ネットワーク関連Tipsのご紹介 オンプレミスとVPCの接続 最適なネットワーク構成について まとめ

VPC を作成する Public および Private の Subnet を 1 つずつ作成 Public Subnet Private Subnet Availability Zone Internet gateway Public Subnet Private Subnet 複数の AZ をまたがる構成にすることで 高可 用性を維持できるようにする Availability Zone

VPC および Subnet を作成 設定する 手順の流流れについて Step 1:VPC を作成する Step 2: Subnet を作成する Step 4: Route Table の作成 Internet Gateway への Route を追加する Step 3:Internet Gateway を作成 VPC にアタッチする Step 5: Subnet の Route Table を変更更する

VPC を作成する

VPC を作成する

Subnetの作成 同様にPrivate 用のSubnetや 別のAZにもPublicおよび PrivateのSubnetを追加する

Internet Gateway の作成

Internet Gateway を VPC にアタッチする

Route Table の作成

作成した Route Table に Internet Gateway への Route を追加する

作成した Route Table に Internet Gateway への Route を追加する

Subnet の Route Table を変更更する

SubnetとRoute Tableの関係について Subnetに対してRoute Tableを割り当てる形 VPC subnet1 Route Table A Destination Target 10.0.0.0/16 local 0.0.0.0 Internet Gateway VPC subnet2 Route Table B VPC subnet3 Destination Target 10.0.0.0/16 local

作成したVPCのPublic SubnetにEC2インスタンスを 起動 Step 1: AMI(Amazon Machine Image)の選択 Step 2: インスタンスタイプの選択 Step 3: 起動台数 ネットワークの選択 重要 Step 4: ストレージの選択 作成したVPCを選択 Step 5: インスタンスへのタグ付け 作成したPublic Subnetを選択 Step 6: セキュリティグループの設定 Step 7: 起動設定の確認 Step 8: 使 用するキーペアを作成または 選択して起動 自動的にPublic IPが割り当たる設定 を有効にする

作成したVPCのPublic SubnetにEC2インスタンスを 起動 Step 1: AMI(Amazon Machine Image)の選択 新しいセキュリティグ ループを作成 Step 2: インスタンスタイプの選択 Sourceに0.0.0.0/0を指定することで どのIPからの接続も許可 EC2インス タンスとネットワークが導通していれ ば接続可能 Step 3: 起動台数 ネットワークの選択 重要 Step 4: ストレージの選択 Step 5: インスタンスへのタグ付け Step 6: セキュリティグループの設定 Step 7: 起動設定の確認 Step 8: 使 用するキーペアを作成または 選択して起動 Linuxの場合はSSH 用(22番)ポート Windowsの場合はRDP 用(3389番 ポー トを許可する

起動したEC2インスタンスにインターネット経由でSSH ログインできることを確認する 管理理者 Public subnet Private subnet Availability Zone Internet gateway Public subnet Private subnet Availability Zone

アジェンダ Introduction AWSの関連サービスの概要紹介 Amazon Virtual Private Cloud(VPC)の作成 ネットワーク関連Tipsのご紹介 オンプレミスとVPCの接続 最適なネットワーク構成について まとめ

EC2インスタンスのPublic IPアドレスの固定 自動でPublic IPアドレスが割り当たる設定の場合 新規EC2 インスタンスを起動 あるいは既存の停 止状態のEC2インス タンスを起動するたびにPublic IPアドレスは変わる Public IPアドレスを固定するには Elastic IPを取得して EC2インスタンスに割り当てる Internet Public IPアド レス Elastic IP ネットワーク アドレス変換 PrivateIPアドレス

Elastic IPの利利 用について Elastic IPを効率率率よくご使 用頂くために 以下の場合に少額の時間単位 課 金金が発 生する 起動中のEC2インスタンスに割り当てられていないElastic IPがある 停 止しているEC2インスタンスにElastic IPが割り当てられている アタッチされていないネットワークインタフェースにElastic IPが割り当てられている 1か 月間でElastic IPのリマップ EC2インスタンスへの割り当てまたは取り外し が100回を 超えた場合 コストを最 小限に抑えるには Elastic IPの利利 用を最 小限にすると良良い 外部サイトとEC2インスタンスが接続するときに 外部サイト側でIPアドレスによるアクセス 制限がある場合 など ご参考 ELB経由でEC2インスタンスにアクセスさせる場合は Elastic IPの割り当ては不不要 Elastic IPは不不要 ELBにアタッチするときには EC2のインスタンスIDを利利 用

EC2インスタンスのPrivate IPアドレスの固定 EC2インスタンス起動時にプライマリのネットワークインタ フェース 用にPrivate IPアドレスを指定可能 セカンダリのネットワークインタフェース 用のENIは 起動後 に動的に追加 取り外しが可能 Private IP: 10.0.0.10 Public IP: x.x.x.x (OS上ではeth0として 見見 える 10.0.0.0/24 ENI 10.0.1.0/24 ENI VPC subnet VPC subnet Private IP: 10.0.1.10 Public IP: x.x.x.x (OS上ではeth1として 見見える

ENIの利利 用について 1つのEC2インスタンスに複数個のENIを割り当て可能 EC2のインスタンスタイプによって 割り当て可能な ENIの数が異異なる http://docs.aws.amazon.com/ja_jp/awsec2/latest/userguide/usingeni.html#availableippereni 主な利利 用例例 HA構成時のフェイルオーバー ENI メール送信サーバ SMTPリレー 用 ENI ENI ENI VPC subnet ENI ENI ENIの付け替え VPC subnet VPC subnet ENIはAZをまたぐことはできないので要注意 ENI 異異なるIPから メール送信

Subnet間の通信について デフォルトでは 同じVPC内のす べてのSubnetは相互に通信可能 SubnetごとのNetwork Access Control(NACL)を使うことで 相 互の通信の制限が可能 NACLの例例 Private subnet Public subnet Availability Zone Internet gateway router Public subnet Private subnet Availability Zone

VPC Security Groupと NACL(Network Access Control List) Instanceレベル でIn/Outのア クセス制御 Subnetレベル でIn/Outの アクセス制御

踏み台 用サーバを経由して Private Subnetへアクセ スする構成 管理理者 Internet gateway 踏み台 Public Subnet Private Subnet Virutal Private Cloud Windowsの場合は Remote Desktop Gatewayを踏み台 用EC2インスタンス上で 立立て る構成が可能 踏み台経由でPrivate Subnetの EC2 WindowsインスタンスにRemote Desktop接続が可能

Private SubnetにあるEC2インスタンスが外部へアウ トバウンド通信するには NATインスタンスを追加 経由させることでアウトバウ ント通信が可能 Destination Target Destination Target 主な 用途 10.0.0.0/16 local 10.0.0.0/16 local DBインスタンスのパッチ適 用 0.0.0.0 ログファイル等の外部保存 外部のAWS APIエンドポイントを利利 用する 別の拠点とVPNや専 用線で接続して その拠点先のInternet Gateway経由で アウトバウンド通信することも Routingの設定次第で可能 Internet Gateway Internet gateway Public subnet 0.0.0.0 i-xxxxx (NATインス タンスID) Private subnet

NATインスタンスの追加 設定 方法 1. NAT 用のEC2インスタンスを Public Subnetに起動 2. 起動したNAT 用のEC2インスタン スのSrcDestCheck 送信元 送 信先チェック を無効にする デフォルトでは有効になっており トラ フィックの送信元 送信先がそのEC2インス タンスであるかどうかのチェックが 行行われて いる 3. Private SubnetのRoute Tableに 以下の 行行を追加する Destination Target 0.0.0.0 i-xxxxx(natインスタンスid EC2起動画 面にて amzn-ami-vpcnat で該当するAMIを選択して起動

アジェンダ Introduction AWSの関連サービスの概要紹介 Amazon Virtual Private Cloud(VPC)の作成 ネットワーク関連Tipsのご紹介 オンプレミスとVPCの接続 最適なネットワーク構成について まとめ

オンプレミスとVPCのサイト間接続 VPCでは以下の2通りのサイト間接続が提供されている IPSec VPN接続 AWS Direct Connectを使った専 用線接続 別途EC2インスタンス上にVPNサーバソフトウェアを動 作させることで VPN接続させる 方法も可能 後述

オンプレミスとVPCのサイト間VPN接続について 右図は1台のCustomer Gatewayか らVPCに接続する構成の例例 2本のVPN接続で冗 長化する Customer Gateway装置は動的ルー ティングに対応したものの利利 用を推 奨 BGPを利利 用 BGPを使うことで プライマリのVPN接続が万が 一切切断された場合に セカンダリのVPN接続側に Routingされるように 自動切切り替えが可能なため

オンプレミスと VPC のサイト間 VPN 接続 方法 Step 1: オンプレミス側に Customer Gateway 装置を 用意する VPC は作成済みとする Step 4: VPC Connection の作成 Step 2: VPC マネージメントコンソールにて Virtual Private Gateway (VGW) を作成して VPC にアタッチする Step 3: VPC マネージメントコンソールにて Customer Gateway を登録 Step 5: Customer Gateway 用の Config ファイルをダウンロードしてロードする Step 6: VPN Connection のステータスが UP になることを確認する Step 7: Subnet の Route Table で VGW への Routing を設定する

Step 1: VPCとのVPN接続が可能なCustomer Gatewayをオンプレミス側に 用意する 以下VPCとサイト間VPN接続が可能なCustomer Gateway装置 動的ルー ティング対応 の例例 Astaro Security Gateway バージョン8.3以降降 Astaro Security Gateway Essential Firewall Edition バージョン8.3以降降 Cisco ISR IOS 12.4 以降降のソフトウェアを実 行行 Dell Sonicwall Fortinet Fortigate 40+ シリーズ FortiOS 4.0 以降降のソフトウェアを実 行行 Juniper J シリーズサービスルーター JunOS 9.5 以降降のソフトウェアを実 行行 Juniper SRX シリーズサービスゲートウェイ JunOS 9.5 以降降のソフトウェアを実 行行 ScreenOS 6.1 もしくは 6.2 またはそれ以降降 を実 行行する Juniper SSG ScreenOS 6.1 もしくは 6.2 またはそれ以降降 を実 行行する Juniper ISG Palo Alto Networks PA シリーズ PANOS 4.1.2 以降降のソフトウェアを実 行行 Vyatta Network OS 6.5 以降降のソフトウェア ヤマハ RTX1200 ルーター 詳細 http://aws.amazon.com/jp/vpc /faqs/

Step 2: Virtual Private Gateway(VGW) を作成 VPC にアタッチする

Step 3: Customer Gateway の登録

Step 4: VPN Connection の作成

Step 5: Customer Gateway 用の Config ファイルをダウンロードして Customer Gateway にその設定をロードする

Step 6:VPN Connection のステータスが UP になることを確認する

Step 7: VPCSubnetのRoute Tableにて VGWへの Routingを設定する サイト間VPN接続の詳細な 手順は以下をご参照ください http://adsj-contents.s3.amazonaws.com/misc/vpnconnectioninstruction20141225.pdf

オンプレミスとのサイト間VPN接続構成の例例 社内業務アプリケーションをAWS上で配置 業務 App サーバ VPC private subnet virtual private cloud Internet Gatewayに Routingされない virtual private gateway VPN connection customer gateway users 社内LAN

VPN接続の注意事項 動的ルーティングに対応していないCustomer Gatewayを利利 用する場合には プライマリのVPN接続 が切切れると 手動でセカンダリのVPN接続でルーティング するように切切り替える必要がある 動的ルーティングに対応したCustomer Gatewayの利利 用を推奨 再掲 1つのVPCあたり 最 大10拠点までサイト間VPN接続が 可能 10拠点を超える場合は 以下の2パターンを検討 AWSとVPN接続した先のデータセンターで複数拠点と接続 EC2インスタンス上でVPNサーバソフトウェアを稼働させる

AWSとVPN接続した先のデータセンターで複数拠点と 接続例例 10拠点以上必要な場合の例例 拠点1 拠点2 virtual private gateway virtual private cloud VPN connection 拠点3 customer gateway customer gateway corporate data center 拠点N

EC2インスタンス上でVPNサーバソフトウェアを稼働させて 多数のVPNクライアントから接続する VPN サーバ VPC public subnet virtual private cloud Vyatta を活 用するなど 拠点 1 VPNクライアント1 拠点 2 VPN クライアント 2 拠点 3 VPN クライアント 3 拠点 N VPN クライアント N

VPCとオンプレミス間を専 用線で接続するには AWS Direct Connectを活 用する 帯域スループット向上 インターネットベースの接続よりも 一貫性がある AWS Direct Connectの詳細 http://adsj-contents.s3.amazonaws.com/meisterre%3agenerate/20130904_aws-meister-regenerate-vpc-dxvpn.pdf

アジェンダ Introduction AWSの関連サービスの概要紹介 Amazon Virtual Private Cloud(VPC)の作成 ネットワーク関連Tipsのご紹介 オンプレミスとVPCの接続 最適なネットワーク構成について まとめ

PublicまたはPrivate どちらのSubnetにEC2インス タンスを配置すべきか Public Subnet Private Subnetのメリット デメリット を考慮して選定する 外部からの脅威のみではなく 必要に応じて外部のサービ スとの通信の可 用性についても考慮する

Public SubnetにEC2インスタンスを配置する場合に ついて メリット インターネットと直接通信が可能 Public Subnet内に起動するEC2インスタンスのセキュリティグループやNACLでイン ターネットからのアクセスを許可しない設定をすることで 外部からの直接のインバウ ンドアクセスを制限可能(NATインスタンスを経由させる必要はなし デメリット セキュリティグループやNACLで外部からのアクセスを許可する場合は 必要に応じて外 部からの脅威に対するセキュリティ対策を検討する 主な利利 用例例 AWSのAPIエンドポイントとの通信 以下その例例 S3へのログファイル保存 DynamoDBとの通信 その他外部のサービスとの連携

他のAWSのサービスとの連携 AWSのAPI利利 用にはインターネット接続が必須 NATインスタンスを 経由したインターネット接続の場合には NATの 高可 用性を検討する EC2 ELB RDS等はVPC内部で起動して 相互に通信が可能 下記はその 一例例 VPC subnet Elastic Load Balancing Amazon S3 EC2 instances Amazon DynamoDB Internet gateway ElastiCache node RDS DB instance virtual private cloud RDS DB instance standby (Multi-AZ) Amazon Simple Queue Service

Private SubnetにEC2インスタンスを配置する場合に ついて メリット インターネットから直接インバウンド通信ができないため 外部からの脅威のリス クを軽減可能 デメリット 外部へ直接アウトバウンド通信ができないため NATインスタンスを経由させるか VPN/専 用線接続した先のサイトのInternet Gatewayを経由させる必要がある 主な利利 用例例 Webサーバの配置 LBのみPublic Subnetに配置する DBサーバの配置

複数のお客様またはプロジェクト向けにネットワークを 構成するには 以下の2パターンのメリット デメリットを考慮の上でお客様の 環境に合う 方を選定する お客様ごとにVPCを別途作成する場合 VPC間はVPC Peering機能により接続は可能 ただし VPC-A -> VPC-B -> VPC-Cといった2ホップ以上のルーティングは不不可 お客様ごとにAWSアカウントを分けることで アクセス権限の管理理 使 用料料 金金の切切 り分けが容易易に実現可能 一 方で AWSサポートをご利利 用の場合は AWSアカウントごとにAWSサポートの費 用がか かる 1つのVPC内で混在させる場合 Subnet間の通信はNACLおよびセキュリティグループで制限可能 AWSリソースにタグ付けをすることで タグごとに利利 用料料 金金を可視化可能 一 方で すべてのAWSリソースがタグ付けに対応していないため すべての料料 金金の切切り分 けには未対応

アジェンダ Introduction AWSの関連サービスの概要紹介 Amazon Virtual Private Cloud(VPC)の作成 ネットワーク関連Tipsのご紹介 オンプレミスとVPCの接続 最適なネットワーク構成について まとめ

まとめ VPCを活 用することで 簡単にすぐにAWS上に 自社専 用の仮 想ネットワークを構築可能 複数のAZにまたがったネットワークを構築することで 高い可 用性を維持可能 IPアドレスの固定やRoutingの変更更など 細かくネットワー クの設定が可能 オンプレミスとVPNまたは専 用線接続 Routingすることで 社内のプライベートIPを使って通信が可能

Q&A

参照リンク AWSアカウント作成の流流れ AWS Blackbelt Amazon VPC http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_introduction.html AWSクラウド活 用資料料集 http://adsj-contents.s3.amazonaws.com/misc /VPNConnectionInstruction-20141225.pdf Amazon Virtual Private Cloudユーザーガイド http://www.slideshare.net/amazonwebservicesjapan/aws-black-belt-tech-amazon-vpc Amazon VPC VPN接続設定 参考資料料 http://aws.amazon.com/jp/register-flow/ http://aws.amazon.com/jp/aws-jp-introduction/ 国内のお客様のAWS活 用事例例 http://aws.amazon.com/jp/solutions/case-studies-jp/

AWSをより深く理理解したい 方向けに クラスルームトレーニングを提供しています 詳細 aws.amazon.com/training 認定資格試験

公式 Twitter/Facebook AWS の最新情報をお届けします @awscloud_jp 検索索 もしくは http://on.fb.me/1vr8ywm 最新技術情報 イベント情報 お役 立立ち情報 お得なキャンペーン情報などを 日々更更新しています!

AWSの導 入 お問い合わせのご相談 AWSクラウド導 入に関するご質問 お 見見積り 資料料請 求をご希望のお客様は 以下のリンクよりお気軽にご相 談ください https://aws.amazon.com/jp/contact-us/aws-sales/

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック