PowerPoint プレゼンテーション

Similar documents
そこが知りたい!AWSクラウドのセキュリティ

PacnetでAPACをカバーする アマゾンのクラウドサービス

エンタープライズ向けAWSクラウドデザインパターンのご紹介(ネットワーク編)

PowerPoint Presentation

初めてのBFD

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

Amazon Web Servicesによる 仮想デスクトップサービス ~デスクトップも、クラウドで~

Amazon Web Servicesによる 仮想デスクトップサービス ~デスクトップも、クラウドで~

AWS のネットワーク設計入門

Microsoft Azure Microsoft Corporation Global Blackbelt Sales Japan OSS TSP Rio Fujita

PowerPoint Presentation

PowerPoint Presentation

Amazon Web Servicesによる 仮想デスクトップサービス ~デスクトップも、クラウドで~

よくある問題を解決する~ 5 分でそのままつかえるソリューション by AWS ソリューションズビルダチーム

オージス総研0707セミナー

目次 1 本ドキュメントの目的 本ドキュメントのサポート範囲 将来における互換性について Amazon Web Services の概要 VPC 上で LifeKeeper を使う上での留意点 Amazon Web Services

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

CLUSTERPRO X 4.0 Amazon Web Services向け HAクラスタ 構築ガイド (Windows版)

PowerPoint プレゼンテーション

PowerPoint Presentation

AWSマイスターシリーズ ~CloudFront & Route53~

クラウドネイティブにセキュリティを 活用する!API を連携して実装する方法

CLUSTERPRO X 4.0 Amazon Web Services向け HAクラスタ 構築ガイド (Linux版)

仮想化,クラウドとセキュリティ

Microsoft Word - AWSBlueprint final.docx

FUJITSU Cloud Service for OSS プライベート接続 サービス仕様書

R80.10_FireWall_Config_Guide_Rev1

前提情報

_AWS-Blackbelt-Organizations

クラウド開発者のためのCloud Design Pattern 入門

改版履歴 版数改版日付内容 /01/29 新規作成

R76/Gaia ブリッジ構成設定ガイド

本 のアジェンダ Amazon Web Services(AWS)を 取 り 巻 く 現 状 AWSをご 採 頂 いている 理 由 Red Hat 社 とのパートナーシップ Red Hat on AWSが 実 現 するソリューション まとめ

Office 365 とのドメイン間フェデレーション

Startup_on_AWS_usecases_StartupDay

2014 QBR: Campaign Marketing

網設計のためのBGP入門

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

ループ防止技術を使用して OSPFv3 を PE-CE プロトコルとして設定する

PowerPoint Presentation

AWS Deck Template

ip nat outside source list コマンドを使用した設定例

PowerPoint Presentation


Mobile Access簡易設定ガイド

シナリオ:DMZ の設定

データセンター SDN ソリューション

Alibaba Cloud [ ナレッジドキュメント ] VPN 経由での AWS S3 から AlibabaCloud OSS へのマイグレーション手順 VPN 経由でのAWS S3から Alibaba Cloud OSSへのマイグレーション手順 Ver SB Cloud Cor

WebSAM MCOperations Amazon Web Services 向け構築ガイド 2015 年 5 月 日本電気株式会社

Openconfigを用いたネットワーク機器操作

サービス仕様 1. 提供機能一覧楽天クラウド IaaS では以下の機能をユーザに対し提供します 機能名 1 管理コンソール 2 仮想マシン 概要 ユーザが楽天クラウド IaaS の各機能を操作するための Web インターフェースです 以下の全ての機能を操作できます ユーザが占有でき

非エンジニアだからこそおさえておくべき AWS の世界


VPN 接続の設定

Microsoft PowerPoint irs14-rtbh.ppt

Alibaba Cloud [ ナレッジドキュメント ] AWS S3 から AlibabaCloud OSS へのマイグレーション手順 AWS S3 からAlibaba Cloud OSS への マイグレーション手順 Ver SB Cloud Corp Al

Symantec AntiVirus の設定

PowerPoint プレゼンテーション

Juniper Networks Corporate PowerPoint Template

ASA ネットワーク アドレス変換構成のトラブルシューティング

Presentation Title Here

fusion.PDF

FileMaker Cloud App FileMaker Pro FileMaker Go FileMaker WebDirect App FileMaker Cloud Amazon Web Services (AWS) Marketplace AWS FileMaker Server File

10年オンプレで運用したmixiをAWSに移行した10の理由

製品概要

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

CEM 用の Windows ドメイン コントローラ上の WMI の設定

Transcription:

Tokyo

TA-08: Tech Deep Dive by Amazon ネットワーク Deep Dive アマゾンデータサービスジャパン株式会社 ソリューションアーキテクト 吉田英世

Gold Sponsors Global Sponsors Silver Sponsors

Bronze Sponsors Global Tech Sponsors Logo Sponsors

ハッシュタグ #AWSSummit で 皆さんのツイートが展示エリアの大画面に表示されます 公式アカウント @awscloud_jp をフォローすると ロゴ入りコースターをプレゼント コースター配布場所 メイン展示会場 メイン会場 1F 受付 デベロッパーカンファレンス会場

自己紹介 吉田英世 ソリューションアーキテクトストラテジックソリューション部 ( エンタープライズ ) ネットワーク SME (Amazon VPC, AWS Direct Connect)

アジェンダ VPC ベストプラクティス Direct Connect ベストプラクティス ネットワークのコード化 6

AWS のサービス Support Professional Services Partner Ecosystem Training & Certification Solutions Architect s Account Management Security & Pricing Reports Technical & Business Support Virtual Desktop Sharing & Collaboration Business Email Enterprise Applications Analytics App Services Developer Tools & Operations Mobile Services Hadoop Queuing & Notifications Transcoding Deployment Resource Templates Identity Real-time Streaming Data Data Warehouse Data Pipelines Workflow App Streaming Email Search DevOps Application Lifecycle Management Container s Event-driven Computing Sync Mobile Analytics Push Notifications Platform Services Identity Management Access Control Resource & Usage Auditing Key Management & Storage Monitoring & Logs Administration & Security Compute (VMs, Auto-scaling & Load Balancing) Storage (Object, Block and Archival) CDN Databases (Relational, NoSQL, Caching) Networking (VPC, DX, DNS) Core Services Regions Availability Zones Points of Presence Infrastructure 7http://aws.amazon.com/jp/products/

VPC ベストプラクティス

AWS Marketplace を活用する ファイアウォール ロードバランサ WAF (Web Application Firewall) ルータ 236 のネットワーク製品が利用可能! (6/1 現在 ) ネットワーク高速化 9 ネットワークの製品 https://aws.amazon.com/marketplace/b/2649366011/ref=gtw_navlft_node_2649366011?page =1&category=2649366011

MarketPlace 製品の利用 10

VPC Peering を利用する VPC CIDR: 10.1.0.0 /16 VPC CIDR: 10.2.0.0 /16 pcx-xxxxxx Subnet: 10.1.1.0/24 Availability Zone A Subnet: 10.2.1.0/24 Availability Zone A Route Table Destination Target 10.1.0.0/16 local 10.2.0.0/16 pcx-xxxxxx Route Table Destination Target 10.2.0.0/16 local 10.1.0.0/16 pcx-xxxxxx 11

企業間コラボレーション例 決済サービス会社 決済サービス VPC Peering で即座に通信が可能 モニタリング会社 モニタリングサービス ユーザのシステム データ解析会社 データ解析サービス 12

セキュリティ機能の共有例 セキュリティチーム アプリケーション運用チーム APIs Amazon S3 API へのアクセスに制限 Proxy Service (HTTP/S) VPC Peering Web App (HTTP/S) Web App (HTTP/S) エンドユーザ WAF Service (HTTP/S) Web App (HTTP/S) Web App (HTTP/S) 13

VPC のルーティングとセキュリティ ルーティング Route Table IGW VGW Customer Gateway VPC Peering セキュリティ Security Group Network ACL 14

VPC のルーティング VPC 内のルーティングはすべてルートテーブルに基づく IP レベルでの接続性を確保が目的 どのオブジェクトにトラフィックを転送すればよいかを設定 VPC Peering Internet 15 VGW Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 NAT 192.168.0.0/16 VGW 10.0.0.0/16 pcx-xxxx Private Subnet: 10.1.10.0/24 Availability Zone A Public Subnet: 10.1.0.0/24 IGW Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 IGW

主なルーティングのエントリ Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 NAT 192.168.0.0/16 VGW 10.100.0.0/16 pcx-xxxx VPC 内の CIDR 内のトラフィックはすべて直接ルーティング インターネットへのトラフィック ( デフォルトルート ) は プライベートサブネットは NAT インスタンス パブリックサブネットは IGW へルーティング オンプレミスのトラフィックは VGW へルーティング プライベートサブネットのルートテーブル 他 VPC へのトラフィックは Peering Connection へルーティング 16

ネットワーク ACL vs セキュリティグループ ネットワーク ACL サブネットレベルで効果 Allow/Deny を IN OUT で指定可能 ( ブラックリスト型 ) ステートレスなので 戻りのトラフィックも明示的に許可設定する番号の順序通りに適用 サブネット内のすべてのインスタンスが ACL の管理下に入る セキュリティグループ サーバレベルで効果 AllowのみをIN OUTで指定可能 ( ホワイトリスト型 ) ステートフルなので 戻りのトラフィックを考慮しなくてよい全てのルールを適用 インスタンス管理者がセキュリティグループを適用すればその管理下になる ネットワーク構築時に不要な通信を禁止 普段の運用時に必要な通信を許可 17

ルーティングとセキュリティ 1. ルーティングで疎通性を確保しておく 2. 全体ポリシーで不必要な通信をネットワーク ACL で禁止 ( 構築時 ) 3. 個別に必要な通信をセキュリティグループで許可 ( 運用時 ) 18

VPC エンドポイントを利用する S3 Prefix pl-xxxxxxxx vpc endpoint Public Subnet: 10.2.10.0/24 vpce-xxxxxxxx Route Table Destination Target Private Subnet: 10.1.10.0/24 Route Table Destination Target Private Subnet: 10.1.10.0/24 Availability Zone A 10.1.0.0/16 local 0.0.0.0/0 NAT Availability Zone A 10.1.0.0/16 local pl-xxxxxxxx vpce-xxxxxxxx 19

エンドポイントポリシー { "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:getobject", "s3:putobject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"] } ] } 20

移行について Public Subnet: 10.1.0.0/24 S3 Prefix Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 NATインスタンス pl-xxxxxxxx vpce-xxxxxxxx Private Subnet: 10.1.10.0/24 Availability Zone A vpc endpoint vpce-xxxxxxxx VPC endpoint を優先 pl-xxxxxxxx 21

VPC エンドポイントの注意事項 リージョンをまたいで AWS クラウドへ通信することはできない VPN AWS Direct Connect VPC Peering ClassicLink の接続先から VPC エンドポイントを利用することはできない 22

Direct Connect ベストプラクティス

AWS の BGP の動作 ルートに BGP 属性値は付与しない お客様ルータの BGP 属性値を評価 ロードシェアリング可能 ( マルチパスが有効 ) プライベート接続では VPC のプレフィックス (CIDR) を広告 パブリック接続ではリージョン内の AWS クラウドのプレフィックスを広告 BFD は有効 24

回線のフェールオーバーを高速化する デフォルトではフェールオーバーまで 90~180 秒 25

BFD(Bidirectional Forwarding Detection) 高速な障害検出を行なう機能 (RFC5880) ミリ sec レベルの BFD パケットの送受信 ルーティングプロトコル ( 今回は BGP) へ障害通知 音声や映像などを扱っている場合におすすめ BFD 対応ルータを利用 BFD パケット 26 Cisco のコマンド例 : BFD パケット interface GigabitEthernet x/x bfd interval < 送信 ms> min_rx < 受信 ms> multipllier < 受信回数 > router bgp <AS 番号 > neighbor < ネイバー IP> fall-over bfd

Keepalive と Holdtime BGP の機能の一部 ( すべての BGP ルータで利用 ) Keepalive パケットを指定した間隔で送受信 Keepalive が Holdtime 時間ないに受信できないと障害と判定 Holdtime のデフォルト値は 90~180 秒が多い 値を比較 低い値でネゴシエーションされる Keepalive パケット Keepalive パケット Cisco のコマンド例 : 27 neighbor < ピア IP> timers <Keepalive 間隔 ( 秒 )> <Hold time( 秒 )>

Direct Connect のトラフィック設定 Active/Standby Active/Active 28

Active/Standby の構成 Active LP=200 AS Path Prepend= なし オンプレの受信トラフィックは AS Path Prepend のパス長が短い方を優先 オンプレからの送信トラフィックは Local Preference 値が高い方が優先 29 Standby LP=100 AS path Prepend= 65001 65001

Active/Standby 利用時の注意点 どちらの回線が Active なのかをきちんと管理 VPN やベストエフォート回線が Active にならないように 上りと下りのトラフィックを意識 BGP 属性値の設定によっては上りと下りが違う非対称ルートになることもある 30

Active/Active の構成 AWS からオンプレミスへの方向は 広告経路が等価であればセッションベースでロードバランスを行なう マルチパスにより複数経路に対して送信トラィックをロードバランスすることが可能 31

Active/Active 利用時の注意点 回線の切断時 正常な回線にトラフィックが移動するため帯域あふれに注意 マルチパスのペアをもう一つ準備する Active/Standby 構成とする トラフィックの偏りに注意 きれいにロードバランスされるかはアルゴリズム次第 パケットベースの場合は2つの回線の遅延差が懸念 32

占有型と共有型 物理線を占有 他のお客様と物理線を共有 会社 A 会社 A 会社 B 占有型 共有型 会社 C 33

Direct Connect の構成 Customer Interface 0/1.101 VLAN Tag 101 Private Virtual Interface 1 VLAN Tag 101 VGW 1 VPC 1 10.1.0.0/16 BGP ASN 65001 BGP ASN 10124 Customer Internal Network Route Table Destination Target BGP Announce Customer Internal Interface IP 169.254.251.2/30 VLAN 101 BGP Announce 10.1.0.0/16 Interface IP 169.254.251.1/30 VGW 2 VPC 2 10.2.0.0/16 10.1.0.0/16 PVI 1 10.2.0.0/16 PVI 2 10.3.0.0/16 PVI 3 AWS Cloud PVI 5 Customer Switch + Router VLAN 102 VLAN 103 VLAN 501 VGW 3 VPC 3 10.3.0.0/16 NAT / PAT Security Layer Virtual Interface Connection Public AWS Region 34

占有型 VS 共有型 35 ユーザの管理単位 占有型 Connections ( 物理接続単位 ) 1 契約で接続できる VPC 数複数 (VLAN の数だけ ) 1 つ 共有型 Virtual Interface ( 論理接続単位 ) トポロジ ポイントツーポイント ポイントツーマルチポイン ト IP-VPNなどの閉域網 お客様ルータの管理 自社 ( マネージド契約可 ) キャリア側 利用できる帯域 1Gbps, 10Gbps ~1Gbps ベストエフォートも有 リードタイム遅い ( 数ヶ月 ) 早い 1 契約あたりの単価高安

キャリア閉域網の共用型の例 キャリアの閉域網を利用する場合 エンドユーザには 1 契約あたり 1 つの Virtual Interface の提供となり 1 つの VPC に接続 BGP の終端 キャリア閉域網 VGW 物理接続 PE Virtual Interface の提供 36

ネットワークのコード化 (Infrastrucute as Code)

コード化について Internet 手順書 手動オペレーション Subnet: Availability Zone A コードの実行 38 コード インフラの構成をコードで管理

コード化するツール CloudFormation JSON テンプレートを元に AWS リソースの構築を自動化 レイヤーを分けて定義も可 (ex. ネットワークレイヤー ) 複製やアップデート バージョン管理が容易 AWS CLI/Powershell は AWS の操作をコマンドラインで行なうツール AWS CLI AWS SDK Powershell AWS SDK はいろいろなプログラミング言語に調整された API を利用して AWS の操作を行なう 39

CloudFormation "Resources" : { "VPC" : { "Type" : "AWS::EC2::VPC", "Properties" : { "CidrBlock" : 10.0.0.0/16, "Tags" : [ { "Key" : Name", "Value" : VPCName } ] } }, "PublicSubnet" : { "Type" : "AWS::EC2::Subnet", "Properties" : { "VpcId" : { "Ref" : "VPC" }, "CidrBlock" : 10.0.1.0/24, "Tags" : [ { "Key" : "Network", "Value" : "Public" } ] } } } VPC 作成 サブネット作成 40 サンプルコード & テンプレート : http://aws.amazon.com/jp/cloudformation/aws-cloudformation-templates/

CloudFormation のワークフロー 1. JSON を編集 2. CloudFormation に JSON ファイルをロード 3. スタックの完成 41

CloudFormer を利用したテンプレート作成 1. CloudFormer のスタックを起動 2. CloudFormer の UI にアクセスし テンプレート化したいリソースを選択 4. カスタマイズ ( パラメータやリソースのプロパティ ) 5. 新しいスタックの作成 42 6. スタックの完成 CloudFormer: https://docs.aws.amazon.com/ja_jp/awscloudformation/latest/userguide/cfn-using-cloudformer.html

AWS CLI (VPC とサブネット作成 削除 ) #!/bin/sh export AWS_DEFAULT_REGION= ap-northeast-1" VPC_ID=`aws ec2 create-vpc --cidr-block 10.0.0.0/16 --output text awk '{print $6;}'` SUBNET_ID=`aws ec2 create-subnet --vpc-id $VPC_ID --cidr-block 10.0.1.0/24 --output text awk '{print $6;}'` echo "Created $VPC_ID & $SUBNET_ID" #Clean up aws ec2 delete-subnet --subnet-id $SUBNET_ID aws ec2 delete-vpc --vpc-id $VPC_ID 43

AWS CLI ( 動的な処理 ) aws ec2 create-vpc --cidr-block 10.0.0.0/16 aws ec2 replace-route --route-table-id $ROUTE_TABLE_ID --destination-cidr-block 0.0.0.0/0 --instance-id $INSTANCE_ID aws ec2 attach-network-interface --network-interface-id $ENI --instance-id $INSTANCE_ID --device-index 1 aws ec2 assign-private-ip-addresses --network-interface-id $ENI --private-ip-addresses 10.0.0.100 44

AWS SDK Python (VPC とサブネット作成 削除 ) #!/usr/bin/python import boto.vpc Region= ap-northeast-1 conn = boto.vpc.vpcconnection(region) vpc = conn.create_vpc( 10.0.0.0/16 ) subnet = conn.create_subnet(vpc.id, 10.0.1.0/24 ) print ("created %s & %s" %(vpc.id, subnet.id)) #Clean up conn.delete_subnet(subnet.id) conn.delete_vpc(vpc.id) 45

タグによる動的 NAT 制御 NAT NAT This subnet needs AZspecific NAT Public Subnet 1 TAG NATAZ AZ1 TAG NATAZ AZ2 Public Subnet 2 This subnet needs AZspecific NAT Private Subnet 1 Private Subnet 2 Availability Zone 1 Availability Zone 2 46 AWS Region

タグによる動的 NAT 制御 #!/bin/bash INSTANCE_ID=`/usr/bin/curl --silent http://169.254.169.254/latest/meta-data/instance-id` AZ=`/usr/bin/curl --silent http://169.254.169.254/latest/meta-data/placement/availability-zone` REGION="${AZ%?}" MAC=`curl --silent http://169.254.169.254/latest/meta-data/network/interfaces/macs/` VPC_ID=`curl --silent http://169.254.169.254/latest/meta-data/network/interfaces/macs/$mac/vpc-id` ROUTE_TABLES=`aws ec2 describe-route-tables --region $REGION --output text --filters "Name=tag:NATAZ,Values=any,$AZ" grep ROUTETABLES awk '{print $2}'` # Parse through RouteTables that need to be modified for MY_RT_ID in $ROUTE_TABLES; do aws ec2 replace-route --route-table-id $MY_RT_ID --destination-cidr-block 0.0.0.0/0 --instance-id $INSTANCE_ID` --region $REGION done 47

参考資料 ドキュメント http://aws.amazon.com/jp/documentation/vpc/ http://aws.amazon.com/jp/documentation/direct-connect/ Blackbelt Tech Webinar http://www.slideshare.net/amazonwebservicesjapan/aws-black-belt-tech-amazon-vpc-47025202 http://www.slideshare.net/amazonwebservicesjapan/aws-black-belt-tech-aws-direct-connect re:invent 2014 [SDD422] VPC Deep Dive http://www.slideshare.net/amazonwebservices/sdd422-amazon-vpc-deep-dive-aws-reinvent-2014 https://www.youtube.com/watch?v=hexrvfuiy1k re:invent 2015 [ARC401] Black-Belt Networking for the Cloud Ninja http://www.slideshare.net/amazonwebservices/arc401-blackbelt-networking-for-the-cloud-ninja-aws-reinvent-2014 https://www.youtube.com/watch?v=-klyaq9r0xu Black-Belt Networking for the Cloud Ninja サンプルコード http://s3.amazonaws.com/reinvent-arc401/index.html 48

http://aws.amazon.com/jp/dx_labo/ 49 学べる! 試せる!

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック