AWS Black Belt Online Seminar AWS へのネットワーク接続と AWS 上のネットワーク内部設計 アマゾンウェブサービスジャパン株式会社ソリューションアーキテクトネットワークスペシャリスト菊池之裕 2017.10.03
自己紹介 名前 : 菊池之裕 ( きくちゆきひろ ) 所属 : アマゾンウェブサービスジャパン株式会社ソリューションアーキテクトネットワークスペシャリスト ロール : Network 系サービスについてのご支援 経歴 : ISP,IXP,VPN 運用 開発を経てネットワーク機器 仮想ルータ販売会社のプリセールス プロダクトSEからAWSへ 好きな AWS サービス : Direct Connect,VPC,Market Place
内容についての注意点 本資料では 2017 年 10 月 3 日時点のサービス内容および価格についてご説明しています 最新の情報は AWS 公式ウェブサイト (http://aws.amazon.com) にてご確認ください 資料作成には十分注意しておりますが 資料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます 価格は税抜表記となっています 日本居住者のお客様が東京リージョンを使用する場合 別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
Agenda Direct Connectの冗長化 Direct Connect の提供形態とパートナー AWS 内部ネットワークの設計 ( 大規模 ) まとめ Transit VPC Hub-Spoke VPC peering & Proxy. Direct Connect 及び VPC に関する基本的な説明は割愛します
AWS Direct Connect AWS への専用線接続サービス 特徴 (http://aws.amazon.com/jp/directconnect/) Direct Connect 各リージョンへの専用線接続口 複数のVPCをのせられる キャリアは自由に選択可能提携キャリアも存在 $0.120 $0.100 $0.080 $0.060 $0.040 $0.020 $0.000 First 10TB Next 40TB Next 100TB Next 350TB 価格体系 (http://aws.amazon.com/jp/directconnect/pricing/) ポート利用時間 データ転送量 (OUT) はインターネットの3 分の1
AWS Direct Connect 各リージョンへの専用線接続口 複数の VPC または 複数のパブリック接続インターフェースをのせられる インターネットに比べて 安価なアウトバウンドトラフィック料金 ( インは同じく無料 ) 安定したパフォーマンス 複数のアカウントで共有可能 冗長接続を選択可能
Direct Connect の冗長化 Direct Connect は専用線サービス 1 本の接続では冗長性がない 複数接続を利用し 冗長を取るのがベストプラクティス 複数パートナーからの契約 拠点冗長 パートナー内での回線冗長などパートナー経由の冗長化も可能
冗長構成の考え方 VPC 上の VGW(Virtual Private Gateway) に複数の Direct Connect または VPN 接続を終端可能 AWS 上の設定ではなく お客様ルータの設定により経路制御を行う経路制御は BGP の一般的な考え方を適用 論理的には一つのオブジェクトに見えるが 実際には物理的に冗長化されている ebgp ebgp ibgp により同 AS 内の隣接ルータに BGP のパス属性値を伝達し どちらの経路を選択するか AS 内で総合的に判断 ibgp オンプレミス
BGP パス属性 BGP で経路交換している複数の経路から ベストな経路を選択するために評価する属性値 DX では LP(Local Preference) と AS-Path Prepend が有効 MED はサポートしていない 受信ルートに LP を付与し 送信トラフィックを制御 ベストパス オンプレミスルータ 送信ルートに AS-Path Prepend を付与し 受信トラフィックを制御 ( 隣接ルータに情報を与えている ) VGW LP:100 Prepend:2 つ LP:200 Prepend:1 つ LP:300 Prepend: なし
冗長構成 (Direct Connect x2, Active/Active) Direct Connect2 本の間でトラフィックをロードバランスし Active/Active として利用 Active Active トラフィックをロードバランス 障害時は片方の回線に迂回するため 回線の輻輳がおきないように帯域に注意が必要 CloudWatch の利用やルータの帯域を可視化して監視する このとき 2 つの経路の BGP 属性値 (LP, AS パス長 ) は等価である必要がある
冗長構成 (Direct Connect x2, Active/Standby) Active LP=200 Prepend なし Standby LP=100 Prepend あり 障害時に Standby へ切り替え Direct Connect2 本のどちらかを通常利用とし 障害時は片方の回線へ自動切り替えを行う それぞれのルータの BGP 属性値により Active/Standby を判断するように設定
冗長構成 (Direct Connect/VPN) Active LP=200 Prepend なし Standby LP=100 Prepend あり Standby 用にインターネット VPN を利用 Direct Connect 障害時のバックアップ回線としてインターネット VPN を利用 異なる回線種別のため フェールオーバー時にはパフォーマンスに影響が出る場合があるため注意
障害時のフェールオーバーに関する注意点 リンク断のタイミングで障害検知! AS1 AS2 スイッチの向こうのリンク断は検知できない スイッチ 切断発生 フェールオーバーまでの時間に発生したトラフィックは到達できない スイッチ すぐに切り替わる Hold timer の間切り替わらない
障害時のフェールオーバーは BGP ピア上の障害を いかに早く検知するかがカギ!
Keepalive と Hold Timer 隣接するルータはお互いに Keepalive を予め決められたインターバルで定期的に送信 Hold Timer( 待機時間 ) は Keepalive の 3 倍が設定されており Keepalive を受信すると 0 にリセットされる設定された Hold Timer を超過すると障害と認定隣接ルータ間ではそれぞれの時間が短い方を利用する反映には BGP ピアの soft リセットが必要 Keepalive Keepalive 60 秒 Keepalive 60 秒 Keepalive=60 Hold Timer=180 の場合 Hold Timer 0,1,2,3 0,1,2,3 0,1,2,3 180 Keepalive が到達すると Hold Timer をリセット Keepalive が到達しないので Hold Timer はカウントアップ Hold Timer のカウンタが超過すると BGP ピアを切断
対策 1: keepalive/hold Timer のチューニング お客様ルータの Keepalive と Hold Timer を短く設定することで フェールオーバーを検知する時間を短縮以下の例は Keepalive を 10 秒 Hold Timer を 30 秒に設定 Cisco router bgp CUSTOMER_BGP_ASN neighbor NEIGHBOR_IP_ADDRESS timers 10 30 Juniper edit protocols bgp group ebgp set hold-time 30 デフォルト値 Keepalive 60 秒 Hold Timer 180 秒 デフォルト値 Keepalive 30 秒 Hold Timer 90 秒
対策 2: BFD(Bidirectional Forwarding Direction) 経路上の障害を高速に検知し ルーティングプロトコル ( 今回は BGP) に通知する機能隣接ルータ同士でパケットをミリ秒単位で送受信する例は 50 ミリ秒で BFD パケットを送信 3 度受け取れない場合は障害とみなす Cisco bfd interval 50 min_rx 50 multiplier 3 router bgp CUSTOMER_BGP_ASN neighbor NEIGHBOR_IP_ADDRESS fall-over bfd Juniper edit interfaces ge-0/0/1 edit bfd-liveness-detection set minimum-inverval 50 set multiplier 3
オンプレミス内部のルーティング Direct Connect の BGP 接続から受信したルートを OSPF に再配布 OSPF VRRP/HSRP などで LAN 上のゲートウェイを冗長 コアスイッチ VRRP コアスイッチ コアスイッチは OSPF により AWS への経路を選択
Direct Connect の提供形態と パートナー
パートナー様の提供サービス ( 占有型 共有型 ) Direct Connect( 占有型 ) Connection をお客様へ提供 Virtual Interface はお客様側で自由に設定可能 Connection (1G または 10G) お客様アカウント Virtual Interface VLAN:101 Virtual Interface VLAN:102 お客様権限で自由に追加可能 Direct Connect( 共有型 ) Connection はパートナー様のアカウントで持つ Virtual Interface はお客様のリクエストベースでパートナー様が設定 パートナーアカウント Connection (1G または 10G) お客様アカウント Virtual Interface VLAN:101 アカウント : お客様 A Virtual Interface VLAN:102 アカウント : お客様 B リクエストに応じてパートナーが設定
パートナー様の提供サービス ( 共有型 Sub 1G) Direct Connect( 共有型 Sub 1G) Connectionはパートナー様のアカウントで持つ Hosted Connectionと呼ぶ仮想的なConnectionをお客様へ提供 Virtual InterfaceはHosted Connectionに紐付けされ追加可能 このモデルの場合 ポート時間料金はお客様に課金される パートナーアカウント Connection (1G または 10G) Hosted Connection VLAN:101 Speed 100Mbps Hosted Connection VLAN:102 Speed 200Mbps Hosted Connection VLAN:103 Speed 100Mbps リクエストに応じてパートナーが設定 お客様アカウント Virtual Interface VLAN:101 Speed 100Mbps Virtual Interface VLAN:102 Speed 200Mbps Hosted Connection と Virtual Interface は 1:1 お客様権限で自由に割り当て
パートナーにより拡張された AWS Direct Connect サービス 相互接続ポイントにおける接続装置等の設置場所 専用線とのパッケージ提供する場合も 10Mbps, 100Mbps 等 1Gbps よりも狭帯域のサービスお客様指定の場所から相互接続ポイントまでのアクセス広域 WANで複数拠点からAWSへの接続
パートナーの提供サービス DXが使えるDCの提供 相互接続ポイントにおけるコロケーション提供 相互接続ポイント込みの専用線サービス提供 相互接続ポイント込みの広域ネットワークサービス提供 相互接続ポイント込みのモバイル網への接続 ルータレンタル マネージドサービスなど各社により提供 https://aws.amazon.com/jp/directconnect/partners/#apac
パートナー経由の Direct Connect 共有モデル 1 契約あたり 1 バーチャルインターフェイスが基本 冗長化では 2 バーチャルインターフェイスが必要 ベストエフォートとギャランティ 通信料固定のものと従量のものがある ( 別途パートナーへご確認ください ) Sub1Gでは従量課金になる 専有モデル 1 契約で複数のバーチャルインターフェイスへの接続が可能 ( 最大 50) 1Gもしくは10G 接続料金は従量でAWSアカウントに請求される
パートナー経由の Direct Connect 経路はパートナーのサービス集約ルータから広報される お客様 相互接続ポイント パートナーレンタルルータ 自社所有ルータ モバイル機器 広域イーサネットサービス フレッツなど VPN サービス 専用線接続サービス モバイルサービス VRF-1 VRF-2 0.0.0.0/0 パートナー DX 集約ルータ パートナーレンタルルータ お客様申告の経路 172.16.0.0/16 お客様から広告された経路
パートナー経由の Direct Connect の注意点 VPC への経路広報のタイプが異なる エッジルータからの経路情報を VPC へそのままフォワードせず ある程度の集約がかかるサービスがある デフォルトが広報されるもの 申告した経路が集約されるもの 冗長を取る場合 経路の偏りの原因となるので サービスの確認を
Direct Connect と VPC の上限について BGP 経路数は VPC あたり 100 以下 (Hard Limit) 経路集約をおねがいします VPNの接続数はVPCあたり50まで Direct Connect あたりVLANは50まで (Hard Limit) 申請により上限緩和可能なパラメータもあります 最新は下記 URL 参照 http://docs.aws.amazon.com/ja_jp/general/latest/gr/aws_service_limits.html
Direct Connect を利用したユースケース
マルチ VPC 接続 人事 既存環境 専用線 Direct Connect 接続口 Win 営業支援 Win 監視ソフト 管理者 利用者 SSO DNS AD FW NTP Router#1 Router#2 Router#1 Router#2 Win 会計 BI 専用線または VPN Win 文書管理 保守業者 Router#1 Router#2 Win Proxy
クローズド WorkSpaces AS10124 画面転送のみパブリック接続またはインターネット経由 AS65001 S3 WorksSpaces 接続エンドポイント画面転送用 外部ネットワーク /DMZ パブリック接続 AS65000 プライベート接続 プライベートネットワーク 内部ネットワーク AD 等認証はプライベート接続経由
オンプレミス環境の Web サーバオフロード ロードバランサ オンプレミスのロードバランサーからEC2 上のサービスをターゲットに加えることが可能 (Proxyモード)
オンプレミス環境の Web サーバオフロード ロードバランサ ALB,NLBではオンプレミスのサーバがターゲティング可能に シームレスな移行が可能
東京 / 大阪での高可用性 Direct Connect 接続 Equinix TY2 ( 東京 ) Equinix OS1( 大阪 ) 相互接続ポイント自体を冗長化することが可能ポート料金 トラフィック料金は東阪どちらも同じ
AWS 内部ネットワークの設計
AWS 内部ネットワークの設計 Transit VPC Hub-Spoke VPC peering & Proxy.
Transit VPC
Transit VPC とは リージョン内 リージョン間のVPC 接続を自動化するソリューション 他アカウント Direct Connectとの接続も可能 ハブ スポークモデルで各拠点を接続 https://aws.amazon.com/jp/blogs/news/aws-solution-transit-vpc/
Transit VPC の構成 CloudFormationでテンプレートからインストール Transit VPC 内にマルチAZでCSR100Vを2 台起動 設定情報を蓄積するS3 VPCの追加 削除を監視する LambdaPoller 設定を行うLambda Configurator
Transit VPC の構築 CloudFormation でテンプレートからインストール Hub の VPC を作成 VGW を作成し CloudFormation 作成時に設定したタグを VGW に設定 自動で Hub にある CSR1000v とトンネルが張られる CSR へログイン不要
Hub Spork VPC Peering & Proxy
Hub Spork VPC Peering & Proxy とは Transit VPCのモデルをVPC Peeringで実現する設計 VPC PeeringはとなりのVPCのみ疎通が可能なので Hub VPCにProxy Serverを置く 各 VPCからHub VPCのProxyを経由することによりすべてのVPC 間で通信が可能
Hub-Spork VPC のメリット VPC Peering により完全閉域網が実現できるため よりセキュアなネットワークを構築可能 Transit VPC は VPC 間に VPN を利用する
HUB & Spoke VPC & Proxy Proxy Proxy
HUB & Spoke VPC & Proxy Proxy Proxy HUB VPC 上の Proxy インスタンスに Spoke VPC からアクセスすることにより 相互の VPC の通信が可能
まとめ Direct Connectの冗長化について解説 APNパートナー経由のDirect Connect の注意点の解説 AWS 内部ネットワークの設計例についてご紹介 Transit VPC HUB-Spoke VPC & Proxy
参考資料 AWS Black Belt Online Seminar 2017 Amazon VPC https://www.slideshare.net/amazonwebservicesjapan/aws-black-belt-onlineseminar-2017-amazon-vpc AWS Black Belt Online Seminar AWS DirectConnect https://www.slideshare.net/amazonwebservicesjapan/aws-black-belt-tech-awsdirect-connect AWS ソリューション Transit VPC https://aws.amazon.com/jp/blogs/news/aws-solution-transit-vpc/ 46
オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 http://aws.amazon.com/jp/aws-jp-introduction/ AWS Solutions Architect ブログ 最新の情報 セミナー中の Q&A 等が掲載されています http://aws.typepad.com/sajp/
公式 Twitter/Facebook AWS の最新情報をお届けします @awscloud_jp 検索 もしくは http://on.fb.me/1vr8ywm 最新技術情報 イベント情報 お役立ち情報 お得なキャンペーン情報などを日々更新しています!
AWS の導入 お問い合わせのご相談 AWS クラウド導入に関するご質問 お見積り 資料請求をご希望のお客様は以下のリンクよりお気軽にご相談ください https://aws.amazon.com/jp/contact-us/aws-sales/ AWS 問い合わせ で検索してください