AWS のネットワーク設計入門

Similar documents
そこが知りたい!AWSクラウドのセキュリティ

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

PowerPoint Presentation

PacnetでAPACをカバーする アマゾンのクラウドサービス

Amazon Web Servicesによる 仮想デスクトップサービス ~デスクトップも、クラウドで~

Slide 1

PowerPoint Presentation

よくある問題を解決する~ 5 分でそのままつかえるソリューション by AWS ソリューションズビルダチーム

Managed Firewall NATユースケース

PowerPoint Presentation

PowerPoint Presentation

エンタープライズ向けAWSクラウドデザインパターンのご紹介(ネットワーク編)

データベースの近代化:シンプルなクロスプラットフォーム、最小のダウンタイムで実現するクラウド移行

PowerPoint プレゼンテーション

Amazon Web Services 向け先進のセキュリティ! Amazon パブリック クラウド用仮想アプライアンス Public Cloud チェック ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました 2014 Check Poin

目次 要約... 3 ここで取り上げる内容... 6 開始する前に... 7 アーキテクチャ上の考慮事項... 8 Virtual Private Cloud... 8 Active Directory の設計 インスタンスの設定 デプロイ例のシナリオ #1:AWS クラウド

PowerPoint プレゼンテーション

AWSマイスターシリーズ ~CloudFront & Route53~

PowerPoint プレゼンテーション

仮想化,クラウドとセキュリティ

Microsoft Word - AWSBlueprint final.docx

AWS クラウド無料利用枠アマゾンウェブサービス (AWS) 無料利用枠では 実際の環境の AWS クラウドサービスを無料でお使いいただけます AWS 無料利用枠には AWS にサインアップした日から 12 ヶ月間お使いいただける無料利用枠が付いたサービスと 12 ヶ月間の無料利用期間終了後にも自動

10年オンプレで運用したmixiをAWSに移行した10の理由


2. +Canal AWS(Amazon Web Service) 上のクラウドサーバまでに直接接続し閉域網を提供します お客様が AWS を利用しセンター設備を構築する場合に インターネットを経由することなく センター設備までセキュアな通信を行います お客様専用の仮想 GW(VPG) を作成し お

更新履歴 Document No. Date Comments 次 D JP 2017/05/01 初版 1. 概要 はじめに 情報源 A10 Lightning Application Delivery Service(ADS) 導 構成 動作概要 構築概要 2. 事

AWS Deck Template

Leveraging Cloud Computing to launch Python apps

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2015 年 10 月 20 日 Version 1.6 bit- drive Version 1.6 リモートアクセス S

IBM 次世代クラウド・プラットフォーム コードネーム “BlueMix”ご紹介

FUJITSU Cloud Service for OSS プライベート接続 サービス仕様書

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

製品概要

R80.10_FireWall_Config_Guide_Rev1

シナリオ:DMZ の設定

PowerPoint Presentation

ExamTorrent Best exam torrent, excellent test torrent, valid exam dumps are here waiting for you

Amazon Route53

Microsoft Word - 楽天㇯ㅩ㇦ㅛIaaSㇵㅼã…fiã‡¹ä»Łæ§Ÿ.doc

ipv6-internet-kyokai

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

目次 1 本ドキュメントの目的 本ドキュメントのサポート範囲 将来における互換性について Amazon Web Services の概要 VPC 上で LifeKeeper を使う上での留意点 Amazon Web Services

アジェンダ はクラウド上でも十分使えます 1. の概要 とは の導入事例 で利用される構成 2. をクラウドで使う クラウドサービスの分類 Amazon Web Services による構成例 2

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

CDNを最大限活用する為の ZenlogicCDN導入チェックリスト

教えて!中堅企業の事例に学ぶ AWS 活用サクセスストーリー

PassSureExam Best Exam Questions & Valid Exam Torrent & Pass for Sure

Server and Cloud Platform template

PowerPoint Presentation

D. Amazon EC2 のインスタンスストアボリュームへ 1 時間ごとに DB のバックアップ取得を行うと共に Amazon S3 に 5 分ごとのトランザクションログを保管する 正解 = C 会社のマーケティング担当ディレクターから " 何気ない親切 " と思われる善行を目にしたら 80 文字

McAfee Web Gateway Cloud Service インストール ガイド

AWS Simple Monthly Calculator (簡易見積ツール) 使い方説明

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

InterSecVM/MWc V1.0 for Linux (Amazon EC2 用 ) セットアップ手順説明書 2015 年 9 月第 1 版

はじめてみよう AWS ~これだけでわかる、できる、AWS のコアサービスを活用した基本のシステム構成~

InfoFrame Relational Store V2.2 構築ガイド for Amazon Web Services RS J

DX_WhitePaper_web_2.0.indd

- 目 次 - 1 はじめに 本 資 料 について 目 的 対 象 凡 例 Citrix Networking for AWS の 基 本 的 な 考 え 方 AWS で 利 用 できる Citr

プロダクト仕様書 SLB

2

AWS によるマイクロソフトアーキテクチャの最適化

Hundreds of Thousands of Customers in 190 Countries

次 はじめに ブラウザーサポート デフォルトのIPアドレスについて

他の章は下記をクリックして PDF 一覧からお入り下さい IT ライブラリー (pdf 100 冊 ) 目次番号 270 番 Windows Server Enterprise 2008 R2 完全解説 ( 再入門 )

付録

PowerPoint プレゼンテーション

網設計のためのBGP入門

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

Microsoft Word - ID32.doc


AWS 認定 DevOps エンジニア - プロフェッショナルサンプル試験問題 1) あなたは Amazon EBS ボリュームを使用する Amazon EC2 上で実行されているアプリケーションサーバ ー向けに 自動データバックアップソリューションを導入する業務を担当しています 単一障害点を回避し

<Amazon Web Services 上 での     JobCenter 構築ガイド>

Hundreds of Thousands of Customers in 190 Countries

McAfee Web Gateway Cloud Service インストール ガイド

CLUSTERPRO X 4.0 Amazon Web Services向け HAクラスタ 構築ガイド (Windows版)

Microsoft Word - VPNConnectionInstruction-rev1.3.docx

PowerPoint プレゼンテーション

Presentation Title Here

Master'sONEセキュアモバイル定額通信サービス(MF120)設定手順書(Ver1_2).doc

Oracle Cloud Adapter for Oracle RightNow Cloud Service

Microsoft PowerPoint Windows-DNS.pptx

MPサーバ設置構成例

Best Practices for Deploying Amazon WorkSpaces

目次事前準備 コントロールパネルのアクセス方法と概要 ログイン 初回設定 コントロールパネルメニュー コントロールパネルの概要 ダッシュボード ユーザー画面 設

TinyVPN による PC 対 PC の接続方法 直接接続環境編 PU-M TinyVPN による PC 対 PC の接続方法 ( 直接接続環境編 ) Version 1. シモウサ システムズ (C) Shimousa Systems Corporation. Al

クラスタ構築手順書

HyConnect/ オープンパブリックトライアルサービスサービス仕様書 2016 年 1 月 13 日 本トライアルサービスは全て無料で利用可能です 1. リージョンについて本トライアルサービスでは 仮想システムを東日本リージョン 1 東日本リージョン 2 西日本リージョン 1 の 3 リージョン

PowerPoint プレゼンテーション

OS5.2_SSLVPN設定手順書

アライドテレシス ディストリビューションスイッチ x610シリーズで実現するVRF-Lite + Tagging + EPSR for x610

PowerPoint Presentation

Amazon WorkSpaces

提案書

実務に役立つサーバー運用管理の基礎 CompTIA Server+ テキスト SK0-004 対応

Mobile Access簡易設定ガイド

Alibaba Cloud [ ナレッジドキュメント ] VPN 経由での AWS S3 から AlibabaCloud OSS へのマイグレーション手順 VPN 経由でのAWS S3から Alibaba Cloud OSSへのマイグレーション手順 Ver SB Cloud Cor

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

Enterprise Cloud + 紹介資料

Transcription:

AWS のネットワーク設計入門 アマゾンウェブサービスジャパン株式会社ソリューションアーキテクト岡本京 2017/5/31 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

自己紹介 岡本京 ( おかもとひろし ) 所属と職種 アマゾンウェブサービスジャパン株式会社技術統括本部ストラテジックソリューション部ソリューションアーキテクト 経歴 プリセールスエンジニア ( ネットワーク ) AWS 好きな AWS サービス Amazon VPC

本セッションの内容 AWS 上でシステムを構築するにあたり ネットワーク面ではどのような検討や設計が必要なのかをお伝えします 機能の詳細や操作手順ではなく 考え方やデザインの説明にフォーカスさせて頂きます IP アドレスのサブネッティング ルーティング DNS などの基本的な知識を前提とさせていただきます

目次 はじめに プライベートネットワーク設計のステップ ユースケース別ネットワーク設計例 更なる活用に向けて まとめ

AWS上でのネットワーク設計のポイント 物理設計の 検討 構築が不要 マネージドサービス による運用負荷の軽減 プログラマブルな 作成 管理 展開 aws ec2 create-vpc --cidr-block 10.0.0.0/16

AWS のネットワーク関連サービス Amazon Virtual Private Cloud (VPC) AWS 上にプライベートネットワークを構築 AWS Direct Connect (DX) AWS と自社拠点 /DC の専用線接続 Amazon Route 53 パブリック / プライベートに対応したマネージド DNS サービス

2017 年 5 月現在 AWS インフラストラクチャとネットワーク関連サービス AZ Transit AZ AZ AZ AZ Transit リージョンの配置図 リージョンの構成 US East (Northern Virginia) の例 アベイラビリティゾーンの構成 16 のリージョン - 42 のアベイラビリティゾーン (AZ) で構成 53 の Direct Connect ロケーション - リージョンとお客様拠点の相互接続ポイント - 日本は東京 大阪の 2 箇所 77 のエッジロケーション - CDN(CloudFront) エッジサーバーなどが配置 VPC はリージョン内で稼働 DX は DX ロケーションで物理接続 Route 53 はエッジロケーション内で稼働

設計をはじめましょう AWS 上で何をしますか? 話題のサーバーレスでサービスを作ってみたい 社内システムの開発環境を構築したい AI や機械学習を試してみたい AWS 上でのネットワークの検討ポイントは 使いたいサービスによって異なります

AWS サービスのネットワーク観点での分類 プライベート IP アドレス空間上で使用するサービス VPC を用いてアドレス空間を構成 インスタンスの配置をお客様が意識して管理 例 ) パブリック IP アドレス空間 お客様毎のプライベート IP アドレス空間 パブリック IP アドレス空間上で使用するサービス 抽象度が高く お客様は構成を意識せずにサービスを使用 AWS マネジメントコンソール 各 API エンドポイントもここに存在 例 ) EC2 RDS Redshift EMR アベイラビリティゾーン アベイラビリティゾーン リージョン S3 Lambda DynamoDB CloudWatch Lambda は VPC 内での起動も選択可能

システム要件とネットワーク関連サービスのマッピング 要件を実現するための AWS サービスの選定 / 組み合わせは是非 SA にご相談ください! システムの構成要素 社内環境との通信要件 プライベート IP アドレス空間で使用するサービスを含む例 ) EC2 や RDS を使用した社内システム 本セッションのフォーカス プライベート IP アドレス空間で使用するサービスは不要例 ) S3 へのデータバックアップ Lambda, API Gateway, DynamoDB によるサーバーレス Web アプリ VPC サービスのパブリック DNS 名を使用 大量のデータ連携閉域網での接続が必要コスト重視で検討特になし大量のデータ連携閉域網での接続が必要コスト重視で検討特になし DX プライベート接続 VPC VPN 接続 HTTPS/SSH アクセス DX パブリック接続 HTTPS/SSH アクセス ドメインと名前解決 独自ドメイン名で公開サービスを展開する 独自ドメイン名で社内サービスを展開する 独自ドメイン名を使用せずサービスを展開する Route 53 パブリックホストゾーン Route 53 プライベートホストゾーン VPC Amazon DNS Server

プライベートネットワーク設計のステップ 1. VPCの作成 2. サブネットの作成 3. VPCコンポーネントの配置とルーティング設定 4. インスタンスの配置 5. 名前解決の検討

ステップ 1. VPC の作成 1. VPC の作成 2. サブネットの作成 3. VPC コンポーネントの配置とルーティング設定 4. インスタンスの配置 使用する CIDR ブロックを決定する 大きさは /28 から /16 レンジは RFC1918 を推奨 5. 名前解決の検討 作成後は変更不可のため大きめに /16 が推奨 オンプレミスや他 VPC のレンジと重複させない 相互接続する可能性を見越して Prod VPC (10.1.0.0/16) 東京リージョン

ステップ 2. サブネットの作成 1. VPC の作成 2. サブネットの作成 3. VPC コンポーネントの配置とルーティング設定 4. インスタンスの配置 VPC の CIDR ブロックの範囲から IP アドレスレンジを切り出す 必要な IP アドレス数を見積もる /24 が標準的 サブネット分割はルーティングポリシーに応じて行う インターネットアクセスの有無 拠点アクセスの有無など FrontSubnet1 (10.1.1.0/24) DBSubnet1 (10.1.11.0/24) 5. 名前解決の検討 FrontSubnet2 (10.1.2.0/24) DBSubnet2 (10.1.12.0/24) サブネットは AZ の中に作成される 高可用性のために 2 つ以上の AZ の使用を推奨 Availability zone 1 Availability zone 2 Prod VPC (10.1.0.0/16) 東京リージョン

サブネットのサイズの検討 サブネットマスク /16 の VPC 内に作成可能なサブネット数 サブネットあたりの IP アドレス総数 2^(32-mask) -2 ホストに割り当て可能な IP アドレス数総数 - 3 /18 4 16382 16379 /20 16 4094 4091 /22 64 1022 1019 推奨 /24 256 254 251 /26 1024 62 59 /28 16384 14 11 サブネットに割り当てられた IP アドレスのうち下記は割り当て不可.1 : VPC ルータ (VPC 内のインスタンスにルーティング機能を提供 ).2 : Amazon DNS サーバーのため予約.3 : 将来用途のための予約

ステップ 3. VPC コンポーネントの配置とルーティング設定 1. VPCの作成 2. サブネットの作成 3. VPCコンポーネントの配置とルーティング設定 4. インスタンスの配置 VPC コンポーネントを配置する インターネットに疎通が必要な場合は IGW 社内に接続が必要な場合は VGW など サブネット毎のルートテーブルを編集する デフォルトで VPC 内宛ての経路は作成済み IGW などに向けた経路を作成 プライベートサブネットとパブリックサブネットの大別 5. 名前解決の検討 IGW 10.1.0.0/16 はVPC VPC 内内 その他はインターネットへ 10.1.0.0/16 は VPC 内内 Availability zone 1 Availability zone 2 Prod VPC (10.1.0.0/16) 東京リージョン

VPC コンポーネントの種類 ( 抜粋 ) VPC 単位で配置するコンポーネント VGW の接続先 カスタマーゲートウェイ (CGW) VPN 接続 AWS Direct Connect (DX) 専用線接続 仮想プライベートゲートウェイ (VGW) 拠点との接続 インターネットゲートウェイ (IGW) インターネット接続 VPC ピア接続 他 VPC との接続 サブネット単位で配置するコンポーネント VPC ルータ ルートテーブルに基づいたルーティング ( 自動的に配置 ) NAT ゲートウェイ プライベートサブネットに NAT 機能を提供 インスタンス単位で配置するコンポーネント Elastic IP (EIP) 固定パブリック IP アドレス VPC エンドポイント (VPCE) VPC 外の AWS サービスとの接続 S3 に対応 抽象化された VPC コンポーネントを活用することで管理工数を削減 自動化を促進

1. VPCの作成 ステップ4. インスタンスの配置 2. サブネットの作成 3. VPCコンポーネントの配置とルーティング設定 4. インスタンスの配置 サブネット インスタンスのセキュ リティポリシーを決定する 5. 名前解決の検討 全てのHTTPSインバウンド通信を許可 セキュリティグループとネット ワークACLの作成 インスタンスを配置する プライベートIPアドレスはデフォ ルトで自動割り当て インターネットに直接アクセスさ せるインスタンスにはパブリック IPアドレスを付与 動的 又は EIP ELBからのHTTPインバウンド通信を許可 ELBからのHTTPインバウンド通信を許可 SSHインバウンド通信を許可 SSHインバウンド通信を許可 Availability zone 1 Availability zone 2 Web WebServerからのMySQLインバウンド通信を許可 ServerからのMySQLインバウンド通信を許可 Prod VPC (10.1.0.0/16) 東京リージョン

VPC のセキュリティコントロール セキュリティグループ インスタンスに適用 ホワイトリスト型 Allow のみを指定可能インバウンド / アウトバウンドに対応 ステートフル戻りのトラフィックは自動的に許可 全てのルールを適用 ネットワーク ACL サブネットに適用 ブラックリスト型 Allow/Deny を指定可能インバウンド / アウトバウンドに対応 ステートレス戻りのトラフィックも明示的に許可設定する 番号の順序通りに適用 例えば下記のような形で相補的に使用 セキュリティグループ : インスタンスレベルで必要な通信を許可 通常運用でメンテナンス ネットワーク ACL : サブネットレベルでの不要な通信を拒否 メンテナンスは構築時など最小限に まずはセキュリティグループのインバウンド方向でデザイン

1. VPCの作成 ステップ5. 名前解決の検討 2. サブネットの作成 3. VPCコンポーネントの配置とルーティング設定 4. インスタンスの配置 5. 名前解決の検討 自動割り当てのDNS名を活用する AWSではIPアドレスでなくDNS 名を活用してアプリの設計を行 うことを推奨 VPCでは暗黙的にDNSが動作 インスタンスには自動でDNS名 が割り当てられる Amazon DNS (パブリック) Route 53 Amazon DNS (VPC内) 独自DNS名の管理 解決 AWS自動割り当てのDNS名を解決 独自DNS名を使用する Route 53により独自DNS名を割 り当て 管理することが可能 Availability zone 1 Availability zone 2 Prod VPC (10.1.0.0/16) 東京リージョン

ユースケース別ネットワーク設計例 1. 公開サービス基盤 - 管理拠点と VPN 接続 2. 社内システム基盤 - オンプレミスとハイブリッド運用

例 1. 公開サービス基盤 Web サービス基盤 管理用に VPN で拠点接続 IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 ELB ELBSubnet1 (10.0.1.0/24) ELBSubnet2 (10.0.2.0/24) Web Server 1 WebSubnet1 (10.0.11.0/24) Web Server 2 WebSubnet2 (10.0.12.0/24) DB Server (Active) DBSubnet1(10.0.21.0/24) Availability zone 1 VPC (10.0.0.0/16) 東京リージョン DB Server (Standby) DBSubnet2(10.0.22.0/24) Availability zone 2 VGW vgw-bbb IPSec VPN CGW 172.16.1.0/24 システム管理拠点

例 1. 公開サービス基盤 Web サービス基盤 管理用に VPN で拠点接続 IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 ポイント ELB ELBSubnet1 (10.0.1.0/24) ELBSubnet2 (10.0.2.0/24) パブリックサブネットは必要最低限に パブリックサブネット Web Server 1 WebSubnet1 (10.0.11.0/24) Web Server 2 WebSubnet2 (10.0.12.0/24) プライベートサブネット DB Server (Active) DBSubnet1(10.0.21.0/24) Availability zone 1 VPC (10.0.0.0/16) 東京リージョン DB Server (Standby) DBSubnet2(10.0.22.0/24) Availability zone 2 VGW vgw-bbb IPSec VPN CGW 172.16.1.0/24 システム管理拠点

例 1. 公開サービス基盤 Web サービス基盤 管理用に VPN で拠点接続 IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 ポイント ELB ELBSubnet1 (10.0.1.0/24) ELBSubnet2 (10.0.2.0/24) パブリックサブネットは必要最低限に 管理拠点と VPN 接続 Web Server 1 WebSubnet1 (10.0.11.0/24) Web Server 2 WebSubnet2 (10.0.12.0/24) DB Server (Active) DBSubnet1(10.0.21.0/24) Availability zone 1 VPC (10.0.0.0/16) 東京リージョン DB Server (Standby) DBSubnet2(10.0.22.0/24) Availability zone 2 VGW vgw-bbb IPSec VPN CGW 172.16.1.0/24 システム管理拠点

例 1. 公開サービス基盤 Web サービス基盤 管理用に VPN で拠点接続 IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 ポイント ELB ELBSubnet1 (10.0.1.0/24) ELBSubnet2 (10.0.2.0/24) パブリックサブネットは必要最低限に 管理拠点と VPN 接続 Web Server 1 WebSubnet1 (10.0.11.0/24) Web Server 2 WebSubnet2 (10.0.12.0/24) Web サイトのアセットを S3 に保存しているので VPC エンドポイントを活用 DB Server (Active) DBSubnet1(10.0.21.0/24) Availability zone 1 VPC (10.0.0.0/16) 東京リージョン DB Server (Standby) DBSubnet2(10.0.22.0/24) Availability zone 2 VGW vgw-bbb IPSec VPN CGW 172.16.1.0/24 システム管理拠点

例 1. 公開サービス基盤 Web サービス基盤 管理用に VPN で拠点接続 ルートテーブル IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 送信先 ターゲット 10.0.0.0/16 local 0.0.0.0/0 igw-aaa ELB ELBSubnet1 (10.0.1.0/24) ELBSubnet2 (10.0.2.0/24) Web Server 1 WebSubnet1 (10.0.11.0/24) Web Server 2 WebSubnet2 (10.0.12.0/24) 送信先 ターゲット 10.0.0.0/16 local 172.16.1.0/24 vgw-bbb S3 Prefix list vpce-ccc 送信先 ターゲット 10.0.0.0/16 local DB Server (Active) DBSubnet1(10.0.21.0/24) Availability zone 1 VPC (10.0.0.0/16) 東京リージョン CGW DB Server (Standby) DBSubnet2(10.0.22.0/24) Availability zone 2 VGW vgw-bbb IPSec VPN 172.16.1.0/24 システム管理拠点

例 1. 公開サービス基盤 Web サービス基盤 管理用に VPN で拠点接続 ルートテーブル 通信フロー ユーザーアクセス 管理者アクセス EC2からS3へ IGW igw-aaa インターネット VPC Endpoint vpce-ccc Amazon S3 送信先 ターゲット 10.0.0.0/16 local 0.0.0.0/0 igw-aaa ELB ELBSubnet1 (10.0.1.0/24) ELBSubnet2 (10.0.2.0/24) Web Server 1 WebSubnet1 (10.0.11.0/24) Web Server 2 WebSubnet2 (10.0.12.0/24) 送信先 ターゲット 10.0.0.0/16 local 172.16.1.0/24 vgw-bbb S3 Prefix list vpce-ccc 送信先 ターゲット 10.0.0.0/16 local DB Server (Active) DBSubnet1(10.0.21.0/24) Availability zone 1 VPC (10.0.0.0/16) 東京リージョン CGW DB Server (Standby) DBSubnet2(10.0.22.0/24) Availability zone 2 VGW vgw-bbb IPSec VPN 172.16.1.0/24 システム管理拠点

名前解決フロー 例1. 公開サービス基盤 インターネット ユーザーアクセス Webサービス基盤 管理用にVPNで拠点接続 VPC内 オンプレミスからVPC内 パブリックホストゾーン example.com クライアント ユーザー VPC Amazon DNS S3 Amazon Endpoint VPC内 vpce-ccc IGW igw-aaa ELB ELBSubnet1 (10.0.1.0/24) DNS キャッシュ サーバー ELBSubnet2 (10.0.2.0/24) クライアント VPC内 Web Server 1 WebSubnet1 (10.0.11.0/24) DB Server (Active) オンプレミスからVPC内の名前解決が必要な場合は VPC上に別途構築したDNSサーバーを通じてフォ ワーディングする VPC内のAmazon DNSはVPC内からの名前解決リク エストにのみ応答する仕様のため DBSubnet1(10.0.21.0/24) Availability zone 1 VPC (10.0.0.0/16) 東京リージョン Web Server 2 WebSubnet2 (10.0.12.0/24) DB Server (Standby) DBSubnet2(10.0.22.0/24) Availability zone 2 VGW vgw-bbb IPSec VPN オンプレミス CGW DNS キャッシュサーバー クライアント システム 管理者 172.16.1.0/24 管理拠点

Route 53 と AWS サービスの連携を活用する ユーザーアクセス 平常時 アプリケーション障害時 ALIAS レコード AWS のサービスエンドポイントの IP アドレスを直接返答する仮想リソースレコード CNAME と比較してクエリ回数を削減できレスポンスが高速化 ELB と連携した DNS フェイルオーバー Route 53 のヘルスチェック機能と ELB が連携 アプリケーションの障害時に Sorry ページに切り替える場合などに活用可能 S3 の静的 Web サイトホスティング機能との組み合わせも有効 パブリックホストゾーン example.com S3 バケット ( 静的 Web サイトをホスト ) DNS 名 タイプ 値 ルーティングポリシー フェイルオーバーレコードタイプ www.example.com A Alias <ELB の DNS 名 > Failover Primary www.example.com A Alias <S3 静的 Web サイトの DNS 名 > Failover Secondary

例 2. 社内システム基盤オンプレミスから移行しハイブリッドで運用 ユーザー拠点 172.16.1.0/24 データセンター拠点 192.168.1.0/24 閉域網 DX VGW vgw-bbb IGW igw-aaa NAT GW nat-ccc PublicSubnet1 (10.0.1.0/24) PublicSubnet2 (10.0.2.0/24) ELB NAT GW nat-ddd WebSubnet1 (10.0.11.0/24) WebSubnet2 (10.0.12.0/24) DBSubnet1 (10.0.21.0/24) DBSubnet2 (10.0.22.0/24) Availability zone 1 Availability zone 2 VPC (10.0.0.0/16) 東京リージョン

例 2. 社内システム基盤オンプレミスから移行しハイブリッドで運用 ユーザー拠点 172.16.1.0/24 データセンター拠点 192.168.1.0/24 ポイント DX パートナー様のサービスにより閉域網と AWS リージョンを専用線接続 DX VGW vgw-bbb 閉域網 IGW igw-aaa NAT GW nat-ccc PublicSubnet1 (10.0.1.0/24) PublicSubnet2 (10.0.2.0/24) ELB NAT GW nat-ddd WebSubnet1 (10.0.11.0/24) WebSubnet2 (10.0.12.0/24) DBSubnet1 (10.0.21.0/24) DBSubnet2 (10.0.22.0/24) Availability zone 1 Availability zone 2 VPC (10.0.0.0/16) 東京リージョン

例 2. 社内システム基盤オンプレミスから移行しハイブリッドで運用 ユーザー拠点 172.16.1.0/24 データセンター拠点 192.168.1.0/24 ポイント DX パートナー様のサービスにより閉域網と AWS リージョンを専用線接続 DX VGW vgw-bbb 閉域網 IGW igw-aaa プライベートサブネットのサーバーがインターネットに接続するために NAT ゲートウェイを利用 NAT GW nat-ccc PublicSubnet1 (10.0.1.0/24) PublicSubnet2 (10.0.2.0/24) ELB NAT GW nat-ddd WebSubnet1 (10.0.11.0/24) WebSubnet2 (10.0.12.0/24) DBSubnet1 (10.0.21.0/24) DBSubnet2 (10.0.22.0/24) Availability zone 1 Availability zone 2 VPC (10.0.0.0/16) 東京リージョン

例 2. 社内システム基盤オンプレミスから移行しハイブリッドで運用 ルートテーブル ユーザー拠点 172.16.1.0/24 データセンター拠点 192.168.1.0/24 送信先 ターゲット 10.0.0.0/16 local 0.0.0.0/0 igw-aaa 送信先 ターゲット 10.0.0.0/16 local 172.16.1.0/24 vgw-bbb 送信先 ターゲット 192.168.1.0/24 vgw-bbb 10.0.0.0/16 local 0.0.0.0/0 nat-ccc 172.16.1.0/24 vgw-bbb 192.168.1.0/24 vgw-bbb 0.0.0.0/0 nat-ddd DX VGW vgw-bbb NAT GW nat-ccc ELB WebSubnet1 (10.0.11.0/24) 閉域網 IGW igw-aaa NAT GW nat-ddd PublicSubnet1 (10.0.1.0/24) PublicSubnet2 (10.0.2.0/24) WebSubnet2 (10.0.12.0/24) 送信先 10.0.0.0/16 local ターゲット DBSubnet1 (10.0.21.0/24) DBSubnet2 (10.0.22.0/24) Availability zone 1 Availability zone 2 VPC (10.0.0.0/16) 東京リージョン

例 2. 社内システム基盤 ユーザーアクセスオンプレミスから移行しハイブリッドで運用 ルートテーブル 通信フロー システム間通信 EC2 からインターネットへ ユーザー拠点 172.16.1.0/24 データセンター拠点 192.168.1.0/24 送信先 ターゲット 10.0.0.0/16 local 0.0.0.0/0 igw-aaa 送信先 ターゲット 10.0.0.0/16 local 172.16.1.0/24 vgw-bbb 送信先 ターゲット 192.168.1.0/24 vgw-bbb 10.0.0.0/16 local 0.0.0.0/0 nat-ccc 172.16.1.0/24 vgw-bbb 192.168.1.0/24 vgw-bbb 0.0.0.0/0 nat-ddd DX VGW vgw-bbb NAT GW nat-ccc ELB WebSubnet1 (10.0.11.0/24) 閉域網 IGW igw-aaa NAT GW nat-ddd PublicSubnet1 (10.0.1.0/24) PublicSubnet2 (10.0.2.0/24) WebSubnet2 (10.0.12.0/24) 送信先 10.0.0.0/16 local ターゲット DBSubnet1 (10.0.21.0/24) DBSubnet2 (10.0.22.0/24) Availability zone 1 Availability zone 2 VPC (10.0.0.0/16) 東京リージョン

名前解決フロー 例2. 社内システム基盤 オンプレミス DNS権威サーバー オンプレミスからVPC内 オンプレミスから移行しハイブリッドで運用 example1.com VPC内からオンプレミス ルートテーブル 送信先 ターゲット 10.0.0.0/16 local 0.0.0.0/0 igw-aaa プライベートホストゾーンはAmazon DNSからのみ 送信先 ターゲット vgw-bbb 参照可能 10.0.0.0/16 local 192.168.1.0/24 vgw-bbb Amazon DNSにはフォワーディング設定はできない 172.16.1.0/24 vgw-bbb VPCのDHCPオプションセットによりEC2インスタン 0.0.0.0/0 nat-ccc 192.168.1.0/24 vgw-bbb スには任意のDNSサーバーを設定可能 172.16.1.0/24 送信先 10.0.0.0/16 nat-ddd プライベートホストゾーン ターゲット local クライアント オンプレミス 172.16.1.0/24 オンプレミス 192.168.1.0/24 DNS キャッシュサーバー DX local 0.0.0.0/0 データセンター拠点 閉域網 オンプレミス環境とAWS環境を別のドメインで運用 する場合の例 送信先 ターゲット 10.0.0.0/16 ユーザー拠点 example2.com IGW igw-aaa VGW vgw-bbb DNS NAT GW nat-ccc PublicSubnet1 (10.0.1.0/24) NAT GW キャッシュ nat-ddd サーバー PublicSubnet2 (10.0.2.0/24) ELB WebSubnet1 (10.0.11.0/24) クライアント WebSubnet2 (10.0.12.0/24) VPC内 Amazon DNS VPC内 DBSubnet1 (10.0.21.0/24) DBSubnet2 (10.0.22.0/24) Availability zone 1 Availability zone 2 VPC (10.0.0.0/16) 東京リージョン

更なる活用に向けて

VPC ピア接続 (VPC Peering) 2 つの VPC 間でルーティング 異なる AWS アカウントの VPC とも接続可能 同一リージョン内のみ CIDR の重複は不可 直接ピア接続している VPC にのみルーティング Subnet1 (10.1.1.0/24) App A VPC (10.1.0.0/16) 送信先 ターゲット 10.1.0.0/16 local 10.2.0.0/16 pcx-xxx pcx-xxx Subnet1 (10.2.1.0/24) App B VPC (10.2.0.0/16) VPC CIDR: 送信先 10.1.0.0 ターゲット /16 10.2.0.0/16 local 10.1.0.0/16 pcx-xxx

共通機能 VPC をハブとした大規模 AWS 環境の構成例 192.168.1.0/24 10.0.0.0/16 10.1.0.0/16 ポイント VPC のハブアンドスポーク構成 ハブ VPC に共通機能や VPC コンポーネントを集約 ハブ VPC のプロキシサーバによりスポーク VPC と拠点 / インターネットとを通信可能とする VPC Peering pcx-aaa VPC Peering pcx-bbb プロキシサーバ群 PublicSubnet1 (10.100.253.0/24) PublicSubnet2 (10.100.254.0/24) 共通サービスサーバ群 Amazon S3 ELB VPC Endpoint vpce-ccc インターネット閉域網 IGW igw-eee プロキシサーバ群 共通サービスサーバ群 PrivateSubnet1 (10.100.1.0/24) PrivateSubnet2 (10.100.2.0/24) Availability zone 1 Availability zone 2 VPC (10.100.0.0/16) 東京リージョン VGW vgw-ddd

共通機能 VPC をハブとした大規模 AWS 環境の構成例 ルートテーブル 送信先 ターゲット 10.0.0.0/16 local 0.0.0.0/0 pcx-aaa VPC Peering pcx-aaa 10.0.0.0/16 10.1.0.0/16 VPC Peering pcx-bbb Amazon S3 VPC Endpoint vpce-ccc 192.168.1.0/24 インターネット閉域網 IGW igw-eee 送信先 ターゲット 10.100.0.0/16 local 10.0.0.0/16 pcx-aaa 10.1.0.0/16 pcx-bbb S3 prefix list vpce-ccc 192.168.1.0/24 vgw-ddd 0.0.0.0/0 igw-eee プロキシサーバ群 PublicSubnet1 (10.100.253.0/24) PublicSubnet2 (10.100.254.0/24) 共通サービスサーバ群 ELB プロキシサーバ群 共通サービスサーバ群 PrivateSubnet1 (10.100.1.0/24) PrivateSubnet2 (10.100.2.0/24) Availability zone 1 Availability zone 2 VPC (10.100.0.0/16) 東京リージョン VGW vgw-ddd

通信内容の可視化: VPC Flow Logs ネットワークトラフィックをキャ プチャし CloudWatch Logsへ Publish セキュリティグループとネット ワークACLのルールで accepted/rejectされたトラ フィックログを取得 Elasticsearch Service上のKibana などでグラフィカルな表示 分析 も可能 version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action logstatus CloudWatch Logs Elasticsearch Service

IPv6 にも対応済み IPv4 IPv6 アドレス体系 32bit 128bit VPC での利用 CIDR ブロックサイズ サブネットブロックサイズ パブリック IP/ プライベート IP インスタンスタイプ アマゾン提供 DNS デフォルトで適用 16 28bit で選択自分で任意のアドレスを設定可能 オプトイン ( 自動適用ではなく任意 ) 56bit 固定 Amazon 保有の prefix から自動で 56bit CIDR がアサインされる ( 選べない ) 16 28bit で選択 64bit 固定 それぞれ存在 (NAT を介してパブリック IP をプライマリプライベート IP に MAP) 全てのインスタンスタイプ プライベート IP Elastic IP に対するそれぞれの DNS ホスト名を受信 パブリックのみ ( プライベートにするには Egress-only Internet Gateway を利用 ) M3 G2 を除く全ての現行世代のインスタンスタイプでサポート 提供される DNS ホスト名はなし 閉域接続 VPN DirectConnect DirectConnect のみ

まとめ AWS では ネットワークの設計 調達 構築 運用の工数を削減し やりたいことに集中できる VPC, Direct Connect, Route 53 を活用するとシステム要件に沿ったネットワーク環境を構築可能 まずは 1 つのシステムを稼働してみましょう すぐに始められます! VPC 作成ウィザードで数クリックで作成 無料利用枠の活用 (VPC 自体はそもそも無料 ) https://aws.amazon.com/jp/free/

ご参考資料 / 情報 サービス毎の詳細説明資料 VPC, DX, Route 53 https://aws.amazon.com/jp/aws-jp-introduction/#networking 機能 ステップバイステップの実機操作解説など クラウド活用資料集 で検索するとトップに表示されます AWS 専用線アクセス体験ラボ sponsored by Intel https://aws.amazon.com/jp/dx_labo/ Direct Connect の接続を無料で体験学習できます!

本セッションの Feedback をお願いします 受付でお配りしたアンケートに本セッションの満足度やご感想などをご記入くださいアンケートをご提出いただきました方には もれなく素敵な AWS オリジナルグッズをプレゼントさせていただきます アンケートは受付 パミール 3F の EXPO 展示会場内にて回収させて頂きます

Thank you!

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック