AWS Black Belt Online Seminar Amazon Virtual Private Cloud (VPC) アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクト益子直樹 2017.04.12
自己紹介 名前 : 益子直樹 ( ましこなおき ) 所属 : アマゾンウェブサービスジャパンソリューションアーキテクト ロール : 製造業 製薬業界のお客様を中心にご支援 経歴 : 通信キャリアで広域イーサや ISP のバックボーン設計開発や運用を担当 好きな AWS サービス : VPC Direct Connect CloudFormation
AWS Black Belt Online Seminar へようこそ! 質問を投げることができます! Adobe Connect の Q&A ウィンドウから 質問を書き込んでください ( 書き込んだ質問は 主催者にしか見えません ) 今後のロードマップに関するご質問はお答えできませんのでご了承ください Twitter へツイートする際はハッシュタグ #awsblackbelt をご利用ください 1Q&A ウィンドウ右下のフォームに質問を書き込んでください 2 吹き出しマークで送信してください
AWS Black Belt Online Seminar とは AWSJ の Tech メンバが AWS に関する様々な事を紹介するオンラインセミナーです 火曜 12:00~13:00 主に AWS のソリューションや業界カットでの使いどころなどを紹介 ( 例 :IoT 金融業界向け etc.) 水曜 18:00~19:00 主に AWS サービスの紹介やアップデートの解説 ( 例 :EC2 RDS Lambda etc.) 開催曜日と時間帯は変更となる場合がございます 最新の情報は下記をご確認下さい オンラインセミナーのスケジュール & 申し込みサイト https://aws.amazon.com/jp/about-aws/events/webinars/
内容についての注意点 本資料では 2017 年 4 月 12 日時点のサービス内容および価格についてご説明しています 最新の情報は AWS 公式ウェブサイト (http://aws.amazon.com) にてご確認ください 資料作成には十分注意しておりますが 資料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます 価格は税抜表記となっています 日本居住者のお客様が東京リージョンを使用する場合 別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
このセミナーのゴール VPC のコンセプトに慣れる 基本的な VPC のセットアップが出来るようになる 自社の要件にあった仮想ネットワークの作り方を理解する
Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ
Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ
データセンターをデザインしようとするには 何が必要?
オンプレミス環境でのネットワークのイメージ 土地 電源 UPS ラック 空調 ラック ファイバー パッチパネル SFP 等 IF モジュール スイッチ ルータ ストレージ サーバ ロードバランサー ファイアーウォール WAF 遠隔操作用ターミナルサーバ
Before 従来の IT インフラ サービス開発グループ調達グループ現地作業グループ運用グループ 要件定義 納品待ち 検品 商用運用開始 データセンター 机上検討 発注 ラッキング 商用導入作業 ラック 構築するには 機器選定 調達決裁 ケーブリング メンテナンス時間調整 ネットワーク機器 検証機 手配 検証 設定投入 時間 (= コスト ) がかかる早くても数ヶ月 長いと半年 動作確認
After クラウドで仮想ネットワークを構築 組み合わせてすぐ利用開始! データセンター バーチャルプライベートゲートウェイ インターネットゲートウェイ ラック ネットワーク機器 必要な機能を抽象化サービスとして予め用意されている Elastic IP (Network Function Virtualization) Elastic ネットワークインタフェース ルートテーブル + or 仮想ルータ NAT ゲートウェイ API WEB マネージメントコンソール
クラウドに対する悩み 不安 インターネット接続部分のスケールアウトは大丈夫? 社内業務アプリケーションはミッションクリティカルだから冗長とか大丈夫? クラウドを使いたいが社内ルール ( セキュリティ / ネットワーク ) に合わなそう 社内と専用線で接続したいけど どうやればいいの?
VPC(Virtual Private Cloud) で解決可能 AWS 上にプライベートネットワーク空間を構築 任意の IP アドレスレンジが利用可能 論理的なネットワーク分離が可能 必要に応じてネットワーク同士を接続することも可能 ネットワーク環境のコントロールが可能 ルートテーブルや各種ゲートウェイ 各種コンポーネント 複数のコネクティビティオプションが選択可能 インターネット経由 VPN/ 専用線 (Direct Connect)
Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ
様々なコンポーネントを用意 インターネットゲートウェイ サブネット 仮想ルータ ルートテーブル VPC Peering NAT ゲートウェイ VPC エンドポイント for Amazon S3 Elastic IP バーチャルプライベートゲートウェイ VPN コネクション カスタマゲートウェイ Elastic ネットワークインタフェース Elastic ネットワークアダプタ
まずは全体のネットワーク空間を VPC として定義 10.0.0.0 /16
利用するサブネットを定義 10.0.0.0 /16 10.0.1.0/24 EC2 Internet パブリックサブネット
インターネットへの接続を設定 10.0.0.0 /16 10.0.1.0/24 EC2 Internet パブリックサブネット
プライベートサブネットを追加 10.0.0.0 /16 10.0.2.0/24 10.0.1.0/24 EC2 Internet プライベートサブネット NAT ゲートウェイ EC2 パブリックサブネット
インターネットに接続しないネットワークも作成可能 10.0.2.0/24 EC2 プライベートサブネット
オンプレミスとの接続 10.0.2.0/24 EC2 オフィスデータセンター VPN or 専用線 プライベートサブネット
ネットワーク要件に応じて自由に設定可能 10.0.0.0 /16 10.0.2.0/24 10.0.1.0/24 EC2 EC2 Internet オフィスデータセンター VPN or 専用線 プライベートサブネット パブリックサブネット
VPC ウィザードで数画面で作成可能 2 希望のパターンを選択 ➀VPC ウィザードの開始をクリック 3 選択をクリック 4VPC の作成をクリック
ウォークスルー : インターネット接続 VPC セットアップ
インターネットへの接続を設定する VPC を作成 172.31.0.0/16 Internet ap-northeast-1a ap-northeast-1c 172.31.0.0/24 172.31.1.0/24 パブリックサブネット パブリックサブネット VPC subnet Availability Zone VPC subnet Availability Zone
インターネット接続 VPC のステップ ➀ 2 3 4 アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択 における Subnet を選択 経路を設定 トラフィックを許可
インターネット接続 VPC のステップ ➀ 2 3 4 アドレスレンジを Availability Zones インターネットへの VPC への IN/OUT 選択 における Subnet を選択 経路を設定 トラフィックを許可
CIDR 表記の再確認 ( Classless Inter-Domain Routing ) 以前のアドレス体系はクラスフルだった (IPv4 の 32 ビットアドレス空間を 8 ビットで区切る ) クラス A 16,777,214 個 (2 24-2) クラス B 65,534 個 (2 16-2) クラス C 254 個 (2 8-2) クラス B だと多過ぎ クラス C だと少な過ぎる場合など実際の組織のホスト数に柔軟合わせたい CIDR レンジのサンプル : 172.31.0.0/16 10101100 00011111 11000000 00000000 8/16/24 のいずれかではなく 可変長のビットマスクで必要に応じたアドレッシングが可能になった ネットワークアドレス部 ホストアドレス部 RFC(1518/1519 を経て 4632) にて定義
VPC に使うアドレスレンジの選択 VPC に設定するアドレスは既に使っている もしくは使うであろうネットワークアドレスを避けるのがポイント 172.31.0.0/16 推奨 : RFC1918 レンジ 推奨 :/16 (65,534 アドレス ) 作成後変更はできないので注意が必要
VPC の作成 IPv4 CIDR block にアドレスレンジを入力して作成
インターネット接続 VPC のステップ ➀ 2 3 4 アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択 における Subnet を選択 経路を設定 トラフィックを許可
VPC CIRD とサブネット数 CIDR に /16 を設定した場合の各サブネット数と使える IP アドレス数 サブネットマスク サブネット数 サブネットあたりの IP アドレス数 /18 4 16379 /20 16 4091 /22 64 1019 /24 256 251 /26 1024 59 /28 16384 11 VPC あたりのサブネット作成上限数はデフォルト 200 個
アベイラビリティゾーン AZ は 1 つ以上のデータセンターで構成される 1 リージョン内に AZ が複数存在 AZ はお互いに地理的 電源的 ネットワーク的に分離 2 つの AZ を利用した冗長構成を容易に構築 リージョン内の AZ 間は高速専用線で接続 ( リージョン間はインターネット経由 ) US East (Northern Virginia) EU (Ireland) Asia Pacific (Tokyo) US West (Oregon) Asia Pacific (Sydney) Availability Zone E Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone D Availability Zone C Availability Zone C US West(Northern California) Asia Pacific (Singapore) AWS GovCloud (US) EU (Frankfurt) South America (Sao Paulo) Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B
サブネットに対して AZ とアドレスを選択 172.31.0.0/16 推奨 : 各 AZ に Subnet を設定 ap-northeast-1a ap-northeast-1c 172.31.0.0/24 172.31.1.0/24 推奨 : Subnet に /24 設定 (251 個 ) VPC subnet Availability Zone VPC subnet Availability Zone
サブネットを作成 ネームタグ VPC アベイラビリティゾーン IPv4 CIDR block を指定して作成
サブネットで利用できない IP アドレス ホストアドレス 用途.0 ネットワークアドレス.1 VPC ルータ.2 Amazon が提供する DNS サービス.3 AWS で予約.255 ブロードキャストアドレス (VPC ではブロードキャストはサポートされていない )
インターネット接続 VPC のステップ ➀ 2 3 4 アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択 における Subnet を選択 経路を設定 トラフィックを許可
VPC 内におけるルーティング ルートテーブルはパケットがどこに向かえば良いかを示すもの VPC 作成時にデフォルトで 1 つルートテーブルが作成される VPC 内は作成時に指定した CIDR アドレス ( プライベートアドレス ) でルーティングされる
ルートテーブルの確認 送信先が同一のセグメントであれば同一セグメントに送信 ( VPC 作成時にデフォルトで作成 )
インターネットゲートウェイを作成 VPC にアタッチ VPC からインターネットへの接続がアタッチされた
仮想ルータとルートテーブルの関係 ( ルート Look up) EC2 インスタンス EC2 ➀ パケット送信 データ データ 送信元 172.31.1.10 送信元 172.31.1.10 送信先 172.31.1.20 送信先 54.230.0.1 2 パケット到着 仮想ルータ データ データ 送信元 172.31.1.10 送信先 172.31.1.20 4 ターゲットへパケット転送 Local 3 テーブル Look Up 送信元 172.31.1.10 送信先 54.230.0.1 インターネットゲートウェイ igw-29454e4c 送信先 172.31.1.20 はこっち行けば良い 送信先 54.230.0.1 はこっち行けば良い
ルートテーブルにインターネットゲートウェイを追加 0.0.0.0/0( デフォルトルート ) に対して作成したインターネットゲートウェイへのルートをターゲットに追加
パブリックサブネットとプライベートサブネット EC2 の OS で確認できるのはプライベート IP のみ パブリックサブネットの IP が IGW 経由でインターネットまたは AWS クラウドと通信するときにパブリック IP を利用 プライベート IP: 172.31.0.100 プライベート IP で通信 プライベート IP: 172.31.1.100 パブリック IP: 54.0.0.100 パブリック IP で通信 EC2 EC2 Internet 172.31.0.0/24 172.31.1.0/24 プライベートサブネット パブリックサブネット VPC CIDR: 172.16.31.0/16
インターネット接続 VPC のステップ ➀ 2 3 4 アドレスレンジを Availability Zone インターネットへの VPC への IN/OUT 選択 における Subnet を選択 経路を設定 トラフィックを許可
セキュリティグループ = ステートフル Firewall デフォルトで許可されているのは同じセキュリティグループ内通信のみ ( 外からの通信は禁止 ) その為 必要な通信例えば WEB 公開する場合はインターネット (0.0.0.0/0) から 80 ポートを許可
Network ACLs = ステートレス Firewall サブネット単位で適用される デフォルトでは全ての送信元 IP を許可
VPC セキュリティコントロール VPC 172.31.0.0/16 EC2 Instance 1 10.1.1.6 EC2 Instance 2 10.1.1.7 EC2 Instance 3 10.1.10.20 SG In SG Out SG In SG Out SG In SG Out Subnet 172.31.0.0/24 Subnet 172.31.1.0/24 Network ACL In Network ACL Out Network ACL In Network ACL Out Route Table Virtual Router Route Table インターネットゲートウェイ バーチャルプライベートゲートウェイ
ネットワーク ACL vs セキュリティグループ ネットワーク ACL サブネットレベルで効果 Allow/Deny を IN OUT で指定可能 ( ブラックリスト型 ) ステートレスなので 戻りのトラフィックも明示的に許可設定する 番号の順序通りに適用 サブネット内のすべてのインスタンスが ACL の管理下に入る セキュリティグループ サーバレベルで効果 Allow のみを IN OUT で指定可能 ( ホワイトリスト型 ) ステートフルなので 戻りのトラフィックを考慮しなくてよい 全てのルールを適用 インスタンス管理者がセキュリティグループを適用すればその管理下になる
VPC セットアップの補足
サブネット内の DHCP サブネット内の ENI(Elastic ネットワーク インタフェース ) に IP を自動割当て DHCP 機能 プライベート IP を固定にした場合は DHCP 経由で該当の IP が割当てられる EC2 ENI (eth0) MAC アドレスプライベート IP の割当て (EC2インスタンスのOS 上のNIC 設定はDHCP 設定とする ) サブネット
Amazon DNS サーバー データセンター Amazon が提供する DNS サービス Amazon Provided DNS 10.0.0.2 or 169.254.169.253 以下の 2 つのアドレスが利用可能 1VPC のネットワーク範囲 (CIDR) の アドレスに +2 をプラスした IP (10.0.0.0/16 の場合は 10.0.0.2) 2169.254.169.253 10.0.1.0/24 10.0.10.0/24 サブネット サブネット アベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16 VPC 内の EC2 インスタンスからのみ参照可能 (VPN や専用線経由では参照できない ) http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_dhcp_options.html#amazondns
DNS 機能の有効化とホストへの DNS 名割当て Enable DNS resolution. 基本は yes とする No にすると VPC の DNS 機能が無効となる Enable DNS hostname True にすると DNS 名が割り当てられる Enable DNS resolution を true にしないと有効にならない
IPv6 の対応 S3 CloudFront WAF Route53 に続き VPC ALB が IPv6 対応 10.0.0.0 /16 2001:db8:1234:1a00::/56 10.0.2.0/24 2001:db8:1234:1a01::/64 EC2 10.0.1.0/24 2001:db8:1234:1a00::/64 EC2 EC2 EC2 Application Load Balancer Amazon CloudFront Amazon Route 53 Amazon S3 Internet オフィスデータセンター Direct Connect Basion プライベートサブネット WEB パブリックサブネット AWS WAF Internet gateway Egress-only Internet Gateway Egress-only Gateway(EGW) を利用して IPv6 においてもプライベート利用が可能 上記のような構成を IPv4/IPv6 デュアルスタックで構築可能 https://aws.amazon.com/jp/blogs/news/new-ipv6-support-for-ec2-instances-in-virtual-private-clouds/
VPC における IPv4 と IPv6 の特徴と制限 IPv4 IPv6 アドレス体系 32bit 128bit VPC での利用 CIDR ブロックサイズ サブネットブロックサイズ パブリック IP/ プライベート IP インスタンスタイプ アマゾン提供 DNS デフォルトで適用 16~28bit で選択自分で任意のアドレスを設定可能 16~28bit で選択 それぞれ存在 (NAT を介してパブリック IP をプライマリプライベート IP に MAP) 全てのインスタンスタイプ プライベート IP Elastic IP に対するそれぞれの DNS ホスト名を受信 オプトイン ( 自動適用ではなく任意 ) 56bit 固定かつ自動で 56bit CIDR がアサインされる ( 選べない ) 64bit 固定 パブリックのみ ( プライベートにするには Egress-only Internet Gateway を利用 ) M3 G2 を除く全ての現行世代のインスタンスタイプでサポート 提供される DNS ホスト名はなし 閉域接続 VPN DirectConnect DirectConnect のみ http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc-ip-addressing.html
Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ
VPC とのプライベートネットワーク接続 VPN 接続 バーチャルプライベートゲートウェイを利用したサイト間 VPN 専用線接続 AWS Direct Connect を利用し 一貫性のあるネットワーク接続を実現本番サービス向け
VPN 接続構成 トンネル #1 トンネル #2 カスタマゲートウェイ 1つのVPN 接続は2つのIPsec トンネルで冗長化 ルーティングは静的 ( スタティック ) 動的 ( ダイナミック :BGP) が選択可能 バーチャルプライベートゲートウェイ VPN 接続
カスタマゲートウェイの要件 機能 RFC 機能 RFC Pre-shared キーを使用して IKE セキュリティ接続を確立する RFC2409 トンネルを論理インターフェイスに結合する ( 経路ベースの VPN) トンネルモードで IPsec セキュリティ接続を確立する RFC4301 暗号化前に IP パケットをフラグメント化する RFC4459 - AES 128 ビット暗号化または AES 256 ビットの暗号化機能を使用する RFC3602 ( オプション )BGP ピアを確立する RFC4271 SHA-1 または SHA-256 のハッシュ機能を使用する RFC2404 VPN トンネルに入る TCP パケットの最大セグメントサ イズを調整する RFC4459 Diffie-Hellman Perfect Forward Secrecy を使用します 以下のグループがサポートされます フェーズ 1 グループ : 2,14~18,22,23,24 フェーズ 2 グループ : 1,2,5,14~18,22,23,24 RFC2409 パケットの " フラグメント化しない " フラグをリセットする RFC791 IPsec Dead Peer Detection の利用 RFC3706 59
VPN 対応機器リスト 掲載機器以外でも要件を満たせば利用可能 静的ルーティングを使用する場合最新情報はWebのドキュメントを参照 Cisco ASA 500シリーズバーション8.2 移行 Cico ISR (IOS 12.4 以降 ) SonicOS5.8 以降を実行するDell SonicWALL 次世代ファイアウォール (TZ,NSA,SuperMassiveシリーズ) Juniper Jシリーズサービスルーター (JunOS 9.5 以降 ) Juniper SRXシリーズサービスゲートウェイ (JunOS 9.5 以降 ) ScreenOS 6.1もしくは6.2( またはそれ以降 ) のJuniper SSG/ISG Microsoft Windows Server 2008 R2 以降ヤマハ RTX1200 ルーター 動的ルーティングを使用する場合 Astaro Security Gateway/Security Gateway Essential Firewall Edition バージョン 8.3 以降 Cisco ISR (IOS 12.4 以降 ) SonicOS5.9 以降を実行する Dell SonicWALL 次世代ファイアウォール (TZ,NSA,SuperMassive シリーズ ) Fortinet Fortigate 40+ シリーズ (FortiOS 4.0 以降 ) Juniper J シリーズサービスルーター (JunOS 9.5 以降 ) Juniper SRX シリーズサービスゲートウェイ (JunOS 9.5 以降 ) ScreenOS 6.1 もしくは 6.2( またはそれ以降 ) の Juniper SSG/ISG Palo Alto Networks PA シリーズ (PANOS 4.1.2 以降 ) Vyatta network OS 6.5 以降ヤマハ RTX1200 ルーター https://aws.amazon.com/jp/vpc/faqs/#c9
カスタマゲートウェイのコンフィグレーション http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/networkadminguide/introduction.html! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.! crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash sha exit! The ISAKMP keyring stores the Pre Shared Key used to authenticate the! tunnel endpoints.!
VPN のアップデート (2015/10) カスタマゲートウェイの IP アドレスが再利用可能に NAT トラバーサルが利用可能に NAT ルータの背後にカスタマゲートウェイが設置可能 新しい暗号化オプション AES-256 フェーズ 1: DH groups 2, 14-18, 22, 23, and 24 フェーズ 2: DH groups 1, 2, 5, 14-18, 22, 23, and 24 http://aws.typepad.com/aws_japan/2015/10/vpc-vpn.html 62
専用線 (Direct Connect) 接続構成 バーチャルプライベートゲートウェイ 相互接続ポイント (Equinix TY2 or OS1) カスタマゲートウェイ AWS とお客様設備を専用線でネットワーク接続 相互接続ポイントへ専用線を敷設 し AWS のルータと相互接続 日本の相互接続ポイントは 東京 (Equinix TY2) 大阪 (Equinix OS1) ルーティングは BGP のみ 接続先は以下の 2 つ VPC( プライベート接続 ) AWS クラウド ( パブリック接続 ) VPN よりも一貫性がある 帯域のパフォーマンスも向上 ネットワークコストも削減
VPC からオンプレミスへのルート設定 10.0.0.0/16 VPC からオンプレミスへの通信を するためには各サブネットの ルートテーブルの設定が必要 伝達 宛先 : オンプレミスの IP ターゲット :VGW の ID 10.0.0.0/24 Route Table Destination Target 10.1.0.0/16 local 192.168.10.0/24 vgw 192.168.10.0/24 ルートテーブルで ルート伝達 ( プロパゲート ) を有効にすると VGWで受信したルート情報をルートテーブルに自動的に伝達 ( 頻繁にオンプレのルートが更新される場合はこちらを利用 )
インターネット VPN vs 専用線 コスト インターネット VPN 安価なベストエフォート回線も利用可能 専用線 キャリアの専用線サービスの契約が必要 リードタイム即時 ~ 数週間 ~ 帯域 品質 障害時の切り分け 暗号化のオーバーヘッドにより制限あり インターネットベースのため経路上のネットワーク状態の影響を受ける インターネットベースのため自社で保持している範囲以外での切り分けが難しい ~10Gbps キャリアにより高い品質が保証されている エンドツーエンドでどの経路を利用しているか把握できているため比較的容易
VPN と Direct Connect の冗長化 VPN と Direct Connect を同じ VGW に接続することが可能 Direct Connect = アクティブ VPN = スタンバイ 10.0.0.0/16 優先 Direct Connect 192.168.10.0/24 この場合 VPC から見た Outbound は必ず Direct Connect が優先 される (VPN を優先したい場合は VPN ルータから Direct Connect より長い Prefix を広告 ) 10.0.0.0/24 VPN VPN へのフェールオーバー時は レイテンシなど回線品質に注意
Transit VPC 日本本社 海外拠点 CloudFormation テンプレートとして提供 VPC をグローバルネットワーク転送センターとして機能 2 つ以上の AWS リージョンに渡るプライベートネットワークを構築可能 すべての AWS リージョンを定期にスキャンし VPN 接続がないスポーク VPC で適切にタグされた仮想プライベートゲートウェイを探す 発見すると各 VPC と TransitVPC(Cisco CSR on EC2) 間にて自動で VPN 作成および BGP 接続を行う 通常のインスタンスとネットワークの料金に加え Cisco CSR のライセンス料金が課金される (BYOL も可能 ) https://aws.amazon.com/jp/blogs/news/aws-solution-transit-vpc/
Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ
VPC 設計のポイント CIDR(IP アドレス ) は既存の VPC 社内の DC やオフィスと被らないアドレス帯をアサイン 複数のアベイラビリティゾーンを利用し 可用性の高いシステムを構築 パブリック / プライベートサブネットへのリソースの配置を慎重に検討 適切なセキュリティ対策を適用する システムの境界を明らかにし VPC をどのように分割するか将来を見据えてしっかりと検討する
AWS クラウドと VPC AWS クラウド SQS SNS DynamoDB IoT Kinesis パブリックサブネット Elasti Cache RDS Lambda パブリック / プライベートサブネット NAT ゲートウェイ EC2 Elastic SearchService Lambda アベイラビリティゾーン 1 アベイラビリティゾーン 2 S3 VPCエンドポイント ELB Redshift EMR パブリックサブネット ECS パブリック / プライベートサブネット VPC 内と外のどちらにリソースやエンドポイントが存在するかサービスに よって異なる VPC から AWS クラウドへのリソースは IGW 経由の通信となる プライベートサブネットからは NAT ゲートウェイ S3 であれば VPC エンドポイントの利用も可能パブリックサブネットからは 自動割当てまたは EIP のパブリック IP から直接アクセス S3 へのアクセスは VPC エンドポイント利用 可能 : 表示しているサービスは一部のみです データセンター 本社オフィス
VPC エンドポイント for S3 Route Table Destination 10.1.0.0/16 local pl-abcd1234 S3プレフィックス pl-abcd1234 アベイラビリティゾーン A Target vpce-abcd1234 EC2 サービス名 com.amazonaws.ap-northeast-1.s3 VPCエンドポイント vpce-abcd1234 VPC エンドポイントを VPC に作成し プライベートサブネットから AWS クラウド上の S3 バケットにアクセス が可能 VPC エンドポイントを作成すると ルート テーブルの宛先に S3 のプレフィックス ターゲットに VPC エンドポイントが自動で 設定され S3 への通信が VPC エンドポイント 経由となる VPC エンドポイントポリシーでアクセス 制御が可能 追加費用なし ( トラフィック課金もなし ) http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc-endpoints.html
VPC エンドポイントポリシー 72 { "Statement": [ } ] { } "Sid": "specific-bucket-only", "Principal": "*", "Action": [ ], "s3:getobject", "s3:putobject" "Effect": "Allow", VPC エンドポイントから特定のバケットへの Put/Get のみ許可 "Resource": ["arn:aws:s3:::mypics", "arn:aws:s3:::mypics/*"] S3プレフィックス pl-abcd1234 VPCエンドポイント vpce-abcd1234 EC2 アベイラビリティゾーン A
S3 バケットポリシー (VPC エンドポイント指定 ) 73 { "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::mypics", "Condition": { "arn:aws:s3:::mypics/*"], "StringNotEquals": { } "aws:sourcevpce": "vpce-abcd1234" } } ] } 特定の VPC エンドポイントからのアクセスを許可 S3プレフィックス pl-abcd1234 VPCエンドポイント vpce-abcd1234 EC2 アベイラビリティゾーン A
移行について VPC エンドポイント追加 パブリックサブネット : 10.0.0.0/24 NAT ゲートウェイ VPC エンドポイント ルートテーブルに VPC エンドポイントのエントリを追加送信先 :pl-abcd1234( プレフィックスリスト ) ターゲット :vpce-abcd1234(vpc エンドポイント ) S3 に通信中のトラフィックに影響が出るので注意! S3 Prefix Route Table EC2 Destination Target プライベートサブネット : 10.0.0.0/16 local 10.0.10.0/24 アベイラビリティゾーン A 0.0.0.0/0 NATゲートウェ イ pl-abcd1234 vpce-abcd1234 vpce-abcd1234 VPC エンドポイントを優先 ( ロンゲストマッチ ) pl-abcd1234
NAT ゲートウェイ パブリックサブネット 1 0/0 NAT-A パブリックサブネット 2 0/0 NAT-B AWSによるマネージドNATサービス プライベートサブネットのリソースがインターネットまたはAWSクラウドへ通信するために必要 EIPの割当て可能 高パフォーマンス( 最大 10Gbpsバースト ) 高可用性( ビルトインで冗長化 ) アベイラビリティゾーン毎に設置するのがベストプラクティス プライベートサブネット1 プライベートサブネット2 アベイラビリティゾーン 1 アベイラビリティゾーン 2 VPC Route Table Destination Target 10.0.0.0/16 local 0.0.0.0/0 NATゲートウェイ
VPC を分割するケース ( 例 ) アプリケーションによる分割 監査のスコープによる分割 リスクレベルによる分割 本番 / 検証 / 開発フェーズによる分割 部署による分割 共通サービスの切り出し AWS アカウントと VPC 分割パターンはお客様の IT オペレーションモデルに沿ったものである必要がある
フェーズによる VPC 分割 シングルアカウント シングル VPC IAM による権限分離 タグによるコスト管理 DEV LAN STG LAN PROD LAN DEV サブネット STG サブネット PROD サブネット データセンター
組織ごとの VPC 分割 マルチアカウント マルチ VPC モニタリングや認証などのコアサービスは共通 VPC と VPC ピアリングで接続 DEV DEV STG STG LOB1 DEV VPC LOB1 STG VPC LOB1 PROD VPC LOB1 DEV VPC LOB1 STG VPC LOB1 PROD VPC PROD PROD LOB 1 LAN LOB 2 LAN IT LAN 共通 VPC データセンター
VPC Peering (VPC ピア接続 ) VPC CIDR: 10.1.0.0 /16 VPC CIDR: 10.2.0.0 /16 pcx-xxxxxx EC2 EC2 10.1.1.0/24 10.2.1.0/24 アベイラビリティゾーン A アベイラビリティゾーン B Route Table Route Table Destination Target 10.0.0.0/16 local 0.0.0.0/0 pcx-xxxxxx VPC CIDR: 10.1.0.0 Destination /16 Target 10.2.0.0/16 local 0.0.0.0/0 pcx-xxxxxx 2つのVPC 間でトラフィックのルーティングが可能 同一のAWSアカウントはもちろん 異なるAWSアカウント間 ( クロスアカウント ) のVPC 間をピア接続することも可能 単一障害点や帯域幅のボトルネックは存在しない 以下の点に注意 MTU (VPC Peering 1,500byte) 直接 PeeringしているVPCとのみ通信可能 (2HOPは不可) Regionは跨げない http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc-peering.html
VPC ピアリング先のセキュリティグループが指定可能 172.31.0.0/16 10.55.0.0/16 VPC Peering ALLOW Orange Security Group Blue Security Group 80
Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ
VPC の実装方法 マネージメントコンソール AWS CLI AWS SDK サードパーティツール AWS CloudFormation aws ec2 create-vpc --cidr-block 10.0.0.0/16 from vpc.boto import VPCConnection c = VPCConnecction() vpc = c.create_vpc('10.0.0.0/16') resource "aws_vpc" "main" { cidr_block = "10.0.0.0/16" tags { Name = "main" } } { "AWSTemplateFormatVersion" : "2010-09-09", "Resources" : { "myvpc" : { "Type" : "AWS::EC2::VPC", "Properties" : { "CidrBlock" : "10.0.0.0/16", "EnableDnsSupport" : "false", "EnableDnsHostnames" : "false", "InstanceTenancy" : "dedicated", "Tags" : [ { "Key" : "foo", "Value" : "bar } ] } } } }
CLI - VPC 作成 10.10.1.0/24 AZ A 10.10.2.0/24 AZ B 10.10.0.0/16 aws ec2 create-vpc --cidr 10.10.0.0/16 aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.1.0/24 --a us-west-2a aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.2.0/24 --a us-west-2b
AWS CloudFormation JSON/YAML テンプレートを元に AWS 環境を構築 { "AWSTemplateFormatVersion" : "2010-09-09", "Resources" : { "myvpc" : { "Type" : "AWS::EC2::VPC", "Properties" : { "CidrBlock" : "10.0.0.0/16", "EnableDnsSupport" : "false", "EnableDnsHostnames" : "false", "InstanceTenancy" : "dedicated", "Tags" : [ { "Key" : "foo", "Value" : "bar } ] } } } } EC2 テンプレート (JSON 形式 ) CloudFormation AWS 環境 ( スタック ) が完成 テンプレートサンプル :http://docs.aws.amazon.com/ja_jp/awscloudformation/latest/userguide/chap_templatequickref.html
AWS CloudFormation デザイナー GUI でテンプレートの作成が可能
Agenda Amazon VPC とは? VPC のコンポーネント オンプレミスとのハイブリッド構成 VPC の設計 VPC の実装 VPC の運用 まとめ
VPC Flow Logs とは 10.10.1.0/24 10.10.2.0/24 10.10.0.0/16 ネットワークトラフィックをキャプチャし CloudWatch Logs へ Publish する機能 ネットワークインタフェースを送信元 / 送信先とするトラフィックが対象 セキュリティグループとネットワーク ACL のルールで accepted/reject されたトラフィックログを取得 キャプチャウインドウと言われる時間枠 ( 約 10 分間 ) で収集 プロセッシング 保存 RDS, Redshift ElasticCache WorkSpaces のネットワークインタフェーストラフィックも取得可能 追加料金はなし (CloudWatch Logs の標準料金は課金 )
実際のレコード 2 123456789010 eni-abc123de Version account-id interface-id 172.168.1.12 172.168.1.11 srcaddr dsraddr 49761 3389 6 20 4249 srcport dstport protocol packet bytes 1418530010 1418530070 REJECT OK start end action log-status
Flow Log レコードの項目 フィールド 説明 version VPC flow logsのバージョン account-id flow logを取得したawsアカウント interface-id ログストリームが適用されているネットワークインタフェースのID srcaddr 送信元アドレス ( ) dsraddr 送信先アドレス ( ) srcport 送信元ポート dsrport 送信先ポート protocol IANAで定義されたプロトコル番号 packets キャプチャウインドウの中で取得したパケット数 bytes start end action log-status キャプチャウインドウの中で取得したバイト数キャプチャウインドウ開始時のUNIX 時間キャプチャウインドウ終了時のUNIX 時間トラフィックのアクション (ACCEPT/REJECT) ログステータス (OK/NODATA/SKIPDATA) Flow Log レコード : http://docs.aws.amazon.com/amazonvpc/latest/userguide/flow-logs.html#flow-log-records
VPC Flow Logs で取得できない通信 Amazon DNS サーバーへのトラフィック ( 独自の DNS サーバーを使用する場合は その DNS サーバーへのすべてのトラフィックが記録される ) Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック インスタンスメタデータ用に 169.254.169.254 との間を行き来するトラフィック DHCP トラフィック デフォルトの VPC ルーターの予約済み IP アドレスへのトラフィック
利用例 :CloudWatch メトリックフィルターとアラート作成 22/tcp(SSH) で REJECT された通信をフィルタ [version, account, eni, source, destination, srcip, destip="22", protocol="6", packets, bytes, windowstart, windowend, action="reject", flowlogstatus] CloudWatch Logs Metric Filter 作成 CloudWatch Logs の Metric Filter で監視 トラフィックログ収集 アラート通知 VPC CloudWatch アラート http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/flow-logs.html#flow-logs-cw-alarm- example
利用例 :Elasticsearch Service + kibana による可視化 Elasticsearch へ PUT VPC CloudWatch Logs Elasticsearch Service kibana https://blogs.aws.amazon.com/security/post/tx246goznfiw79n/how-to- Optimize-and-Visualize-Your-Security-Groups
VPC のリミット関連 代表的な VPC のリミット リソース 数 リージョン当たりの VPC の数 5 VPC 当たりのサブネットの数 200 デフォルトの上限値が増加したものもあり http://docs.aws.amazon.com/amazonvp C/latest/UserGuide/VPC_Appendix_Limit s.html AWS アカウント当たり 1 リージョン内の Elastic IP 数 5 ルートテーブル当たりのルートの数 100 VPCあたりのセキュリティグループの数 500 セキュリティグループあたりのルール数 (In/Out) 50 ネットワークインタフェースあたりのセキュリティグループ 5 Web サイトから制限解除申請可能 http://aws.amazon.com/jp/contactus/vpc-request/ VPC 当たりのアクティブな VPC ピア接続 125 VPC あたり ( 仮想プライベートゲートウェイ ) の VPN 接続数 10 不明点は AWS サポートや担当営業までお問い合わせください
まとめ VPC により さまざまな要件に合わせたネットワークを簡単に作成可能 設計時には将来の拡張も見据えたアドレッシングや他ネットワークとの接続性も考慮する VPC 構成は自社の IT オペレーションモデルに合わせる VPC 単体ではなく VPC 全体の関係性も視野に入れる 実装や運用を補助するツールも有効利用
Q&A
オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 http://aws.amazon.com/jp/aws-jp-introduction/ AWS Solutions Architect ブログ 最新の情報 セミナー中の Q&A 等が掲載されています http://aws.typepad.com/sajp/
AWS の導入 お問い合わせのご相談 AWS クラウド導入に関するご質問 お見積り 資料請求をご希望のお客様は以下のリンクよりお気軽にご相談ください https://aws.amazon.com/jp/contact-us/aws-sales/ AWS 問い合わせ で検索してください
ご参加ありがとうございました
VPC アベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16 仮想データセンターをAWS 上に設定 VPC 内で利用するIPアドレスのブロックを設定 - 通常であればプライベートアドレス (RFC1918) を利用 - /28から/16のネットマスクを利用 複数のアベイラビリティゾーンを利用可能 作成後は VPC アドレスブロックは変更できないので注意!
サブネット 10.0.1.0/24 10.0.10.0/24 サブネット サブネット アベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16 VPCのIPアドレス範囲(CIDR) の中で設定 アベイラビリティゾーン毎に設定 ネットワークACL( アクセスリスト ) でネットワークレベルでのセキュリティを設定 サブネット毎にルーティングを設定 最小は/28(14IP) http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_subnets.html
Elastic ネットワークインタフェース ENI (eth0) EC2 EC2 ENI (eth0) 10.1.1.0/24 10.1.10.0/24 EC2 で利用するネットワークの仮想 インタフェース EC2 インスンタンス毎に仮想ネット ワークインタフェースを複数持つ ことが可能 以下を ENI に紐づけて維持可能 プライベート IP Elastic IP MAC アドレスセキュリティグループ 固定のプライベート IP を設定する ことが可能 VPC 内のマネージドサービスでも 暗黙的に利用されている http://docs.aws.amazon.com/ja_jp/awsec2/latest/userguide/using-eni.html
ENI を使ったフェールオーバー (Floating IP) アクティブ eth0 eth1 EC2 eth0 スタンバイ EC2 EC2 10.0.0.0/24 10.0.1.0/24
ENI を使ったフェールオーバー (Floating IP) アクティブ eth0 eth1 EC2 eth0 ENIを付替スタンバイ eth1 EC2 EC2 10.0.0.0/24 10.0.1.0/24 http://aws.clouddesignpattern.org/index.php/cdp:floating_ip%e3%83%91%e3%82%bf%e3%83%bc%e3%83%b3
インターネットゲートウェイ (IGW) AWS パブリック API エンドポイント 10.0.1.0/24 10.0.10.0/24 サブネット アベイラビリティゾーン A Internet インターネットゲートウェイ サブネット アベイラビリティゾーン B VPC 内のリソースにインターネットへの接続を提供 VPCにアタッチすることで利用可能 サブネットでルーティング指定 単一障害点や帯域幅のボトルネックは存在しない VPC CIDR: 10.0.0.0 /16 http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_internet_gateway.html
仮想ルータ Instance A 10.0.1.11 /24 Public Subnet Instance C 10.0.3.33 /24.1.1 Private Subnet アベイラビリティゾーン A.1.1 Instance A 10.0.2.11 /24 Public Subnet Instance C 10.0.4.33 /24 Private Subnet アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16 VPC 内のすべてのサブネット間は ネットワーク的に疎通可能 ( 制御したい場合はネットワーク ACL を利用 ) サブネットのネットワーク アドレス +1(.1) がすべての サブネットのゲートウェイと なる ユーザが操作するコンポーネント ではなく 暗黙的に動作している
ルートテーブル AWS パブリック API エンドポイント 10.0.1.0/24 10.0.10.0/24 サブネット アベイラビリティゾーン A Route Table Destination Internet Target 10.0.0.0/16 local インターネットゲートウェイ サブネット アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16 サブネット内の通信がどの宛先のネットワークに対してどのコンポーネントに転送されるべきかの定義を記述 ( 例 : インターネットへの通信はIGW) 各サブネットに1つ設定 1つのルーティングテーブルには複数のサブネットがマッピング可能 必ずVPCのCIDRが local として登録されている サブネットのデフォルト状態ではメインルートテーブルが設定されている 0.0.0.0/0 igw http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_route_tables.html
メインルートテーブルとカスタムルートテーブル メインルートテーブル VPC を作成したときに自動的に割当てられるルートテーブル サブネットでルートテーブルの指定が無い場合はメインルートテーブルが割当てられる カスタムルートテーブル 任意で作成したルートテーブル 明示的に各サブネットへ割り当てることが可能 カスタムルートテーブルをメインルートテーブルに変更することが可能 111
Web サービスの構成例 Internet Web NAT GW ELB パブリックサブネット : 10.0.1.0/24 Web NAT GW ELB パブリックサブネット : 10.0.2.0/24 Web プライベートサブネット : 10.1.11.0/24 Web プライベートサブネット : 10.0.12.0/24 DB プライベートサブネット : 10.0.21.0/24 アベイラビリティゾーン A DB プライベートサブネット : 10.0.22.0/24 アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16
パブリックサブネットの設定 Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 igw 自動で割当 固定で割当 サブネットに自動割当てを設定 デフォルトルートを igw に設定 ElasticIP をアタッチ 113
Elastic IP AWS パブリック API エンドポイント EIP EC2 10.0.1.0/24 アベイラビリティゾーン A Route Table Destination Internet Target 10.0.0.0/16 local インターネットゲートウェイ EC2 EIP 10.0.10.0/24 アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16 アカウントに紐付けられる固定のパブリックIP EC2インスタンスに割り当て可能 インスタンスあたり1EIPは無料 費用がかかるのは以下のケース - 追加でEIPを利用する場合 - 起動中のEC2インスタンスに割当てられていない場合 - アタッチされていないENIに割当てられている場合 - 1ヶ月間でリマップ ( 割当て 取り外し ) が100 回を超えた場合 0.0.0.0/0 igw http://docs.aws.amazon.com/ja_jp/awsec2/latest/userguide/elastic-ip-addresses-eip.html
ネットワークアクセスコントロールリスト EC2 EC2 VPC Subnet with ACL VPC Subnet with ACL アベイラビリティゾーン A アベイラビリティゾーン B ステートレスなのでinに対するout, outに対するinも設定が必要 サブネット毎に設定するフィルタ機能 インバウンド アウトバウンドをサブネット毎に制御 ステートレス デフォルトはすべて許可 ACL-in ACL-out http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_acls.html
セキュリティグループ EC2 EC2 Subnet: 10.0.1.0/24 Subnet: 10.0.10.0/24 アベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16 EC2インスタンスの仮想ファイアウォールとして機能 1つのEC2インスタンスあたり5つのセキュリティグループを設定可能 ステートフル デフォルトですべての通信は禁止 複数のEC2インスタンスをグルーピング可能 ステートフルなので in に対する out, out に対する in は設定しなくて OK SG-in EC2 SG-out http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_securitygroups.html
VPN 接続 データセンター VPN 接続 カスタマゲートウェイ バーチャルプライベートゲートウェイ VPC とオンプレミス間の VPN 接続 CGW と VGW の間で IPsec トンネル が設定される 10.0.1.0/24 10.0.10.0/24 サブネット アベイラビリティゾーン A サブネット アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16
バーチャルプライベートゲートウェイ (VGW) データセンターカスタマゲートウェイ VPN 接続バーチャルプライベートゲートウェイ 10.0.1.0/24 10.0.10.0/24 サブネットサブネットアベイラビリティゾーン A アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16 オフィスやデータセンターなどのオンプレミスとのVPN 接続のためのエンドポイントとなる仮想ルータ Direct Connect( 専用線 ) のエンドポイントとしても利用 1つのVPCあたり1つのVGWのみアタッチ可能 1つのVGWで複数のVPN Direct Connectのコネクションを終端 単一障害点や帯域幅のボトルネックは存在しない
カスタマゲートウェイ (CGW) データセンター VPN 接続 カスタマゲートウェイ バーチャルプライベートゲートウェイ AWS との VPN を接続する物理的または仮想的なルータ VGW と VPN 接続を行なう お客様にて準備 / 設定いただく サンプルコンフィグをダウンロード可能 10.0.1.0/24 10.0.10.0/24 サブネット アベイラビリティゾーン A サブネット アベイラビリティゾーン B VPC CIDR: 10.0.0.0 /16 http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/networkadminguide/introduction.html
リージョン間の VPC 間接続例 ソフトウェア VPN ルータを EC2 で構築し インターネット VPN で接続 通信したいサブネットのルートテーブルで別リージョンの VPC の CIDR を宛先 VPN ルータのインスタンスをターゲットとしたルートを設定 東京リージョン i-xxxxxx VPN パブリックサブネット : 10.1.0.0/24 EC2 インターネット VPN 片側の対向は VGW でも OK シンガポールリージョン i-yyyyyy VPN パブリックサブネット : 10.2.0.0/24 EC2 Route Table Destination Target 10.1.0.0/16 local プライベートサブネット : 10.1.10.0/24 アベイラビリティゾーン A Route Table Destination Target 10.1.0.0/16 local 10.1.0.0/16 i-yyyyyy プライベートサブネット : 10.2.10.0/24 アベイラビリティゾーン A 10.2.0.0/16 i-xxxxxx 10.1.0.0/16 10.2.0.0/16