VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
-
Upload
-ken-tamagawa-amazon-web-services -
Category
Documents
-
view
19.766 -
download
8
description
Transcript of VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
AWSAWSAWSAWSマイスターシリーズマイスターシリーズマイスターシリーズマイスターシリーズ~~~~Virtual Private Cloud (VPC)Virtual Private Cloud (VPC)Virtual Private Cloud (VPC)Virtual Private Cloud (VPC)~~~~
2011年11月9日
荒木 靖宏 (@ar1 )
ソリューションアーキテクト
玉川憲(@kentamagawa)
エバンジェリスト
ほぼ週刊AWSマイスターシリーズへようこそ!~GoToMeetingの使い方~
参加者は、自動的にミュートになっています
質問を投げることができます!
� GoToMeetingのChatの仕組みを使って、随時書き込んでください
� ただし環境によっては、日本語の直接入力ができないので、
お手数ですが、テキストエディタ等に打ち込んでから、貼り付けててください
� 最後のQ&Aの時間で、できるだけ回答させて頂きます
� 書き込んだ質問は、主催者にしか見えません
� オーガナイザーが書きこんだ場合には参加者全員から見えます。
Twitterのハッシュタグは#jawsugでどうぞ
Copyright © 2011 Amazon Web Services
本日のベスト質問に対するプレゼントは!!
AWS本、つめあわせ
Webセミナーセミナーセミナーセミナーほぼ週刊ほぼ週刊ほぼ週刊ほぼ週刊AWSマイスターシリーズ(全マイスターシリーズ(全マイスターシリーズ(全マイスターシリーズ(全10回)回)回)回)
� 11/9 第7回 VPC
� 11/16 第8回 RDS
� 11/22 第9回 Beanstalk
� 11/30 第10回 EMR
� 12/7 第11回 SES
http://aws.amazon.com/jp/event_schedule/
申し込みサイト
アジェンダ
VPC概要
VPCを理解するためのシナリオスタディ
Amazon DirectConnect
Amazon VPC利用の典型
AWSクラウド上にプライベートクラウドを構築
オンプレミスとのハイブリッドが簡単に実現
� AWSが社内インフラの一部に見える
� 社内システム、ソフトウェアの移行がより容易に� 社内システム、ソフトウェアの移行がより容易に
� 例:業務システム、バッチ処理、ファイルサーバ
2011年8月から全リージョンで利用可能に
6
お客様のインフラをAWS上に延長する
リージョンリージョンリージョンリージョン
EC2
VPCイントライントライントライントラ
プライベートプライベートプライベートプライベートサブネットサブネットサブネットサブネット
パブリックパブリックパブリックパブリックサブネットサブネットサブネットサブネット
インターネットインターネットインターネットインターネット
EC2内に分離し
たサブネットを自由に作成
VPN接続
ゲートウェイ
NATサブネットサブネットサブネットサブネット サブネットサブネットサブネットサブネット
EC2 Dedicated Instance
クラウドのメリット確保クラウドのメリット確保クラウドのメリット確保クラウドのメリット確保
従量課金
柔軟にスケールアップ
顧客A
物理サーバー
通常の通常の通常の通常のEC2
顧客B 顧客C
Dedicated Instance
VPC内で専用インスタンス内で専用インスタンス内で専用インスタンス内で専用インスタンス
シングルテナント保証シングルテナント保証シングルテナント保証シングルテナント保証
柔軟にスケールアップ
瞬時に調達
規制に対応しなければいけないお客様のご要望に応えるサービス 顧客A
物理サーバー
顧客B 顧客C
Dedicated Instance
パケットの出入り管理
インスタンス単位でもセキュリティグループで更にIN/OUTコントロール
ネットワークレイヤでIN/OUTをコントロール
VPC with a Single Public Subnet
EIPアドレスをパブリックインタフェースにアサイン
適用メリット
� 高いセキュリティの中でWebアプリを稼働させる
� プライベートIPを用いて、インスタンスをまとめられる
10
VPC with Public and Private Subnets
パブリックサブネットのインスタンスには、EIPをアサインできる
プライベートサブネットのインスタンスはインターネットから直接アクセスできないクセスできない
適用メリット� Webサーバーをパブリックサブネッ
トを稼働し、プライベートサブネット内のデータベースの読み書きを行う
11
VPC with Public and Private Subnets and a VPN Connection
パブリックサブネットのインスタンスには、EIPをアサインできる
プライベートサブネットのインスタンスにVPN経由でアクセス可能スにVPN経由でアクセス可能
適用メリット
� VPCをインターネットに接続しつつ、データセンターをクラウド上に拡張
12
VPC a Private Subnet and a VPN Connection
VPC登場時はこの形態のみだった
全てのトラフィックは社内データセンターのファイヤウォール経由で行われる
適用メリット適用メリット
� データセンターをクラウドに拡張しても、中央集権的管理を維持する
13
Amazon VPCをどう考えるか
ネットワークを仮想化するもの
ネットワークにまつわる多くの要望への答え
� IPアドレスの固定� IPアドレスの固定
� サブネットを使った管理
14
アジェンダ
VPC概要
VPCを理解するためのシナリオスタディ
Amazon DirectConnect
Stage 1
VPCをつくってみる
VPCを定義する
リージョンを選択する
IPブロックを設定する
� 最大で16ビット
Virtual Private Cloud
Region
Dedicated Instanceにするかどうかを選択
VPC全体のIPブロック最大は16ビット
Stage 2
パブリックサブネットの作成
Public Subnet
VPC内にIPブロックを設定する
� 最大で17ビットマスク
� サブネット内の始めの4IPアドレスはAWSが予約
Virtual Private Cloud
サブネットはAvailabiltyZone (AZ)をまたがない
VPC Subnet
サブネットを作成
Availability Zone
注意点
デフォルト
� サブネット内での通信のための経路のみ
� Network Access Control List (NACL)はフルオープン
Internet Gateway (IGW) の追加
内部のインスタンスのデフォルト経路はIGWに向ける
経路はカスタマイズ可能Internet Gateway
Internet
VPC外部との通信はこのゲートウェイを通過する
Virtual Private Cloud
VPC Subnet
セキュリティグループとインスタンス
セキュリティグループではInbound, Outboundのフィルタ設定を行う
� Statefulなフィルタ
インスタンスにはEIPを付与でInternet Gateway
Internet
きる
EC2との違い
� EC2ではInboundのみ
� いつでも(稼働中でも)セキュリティグループとインスタンスの組み合わせを変更できる
Virtual Private Cloud
VPC Subnet
Security Group
インスタンス
VPC内のインスタンスとEC2との違い
Dedicated Instanceを選択することができる
t1.micro は使うことができない
VPC/subnet選ぶ
IPを固定できる
� グローバルIPはEIPを使うといつでも付与、変更できる� グローバルIPはEIPを使うといつでも付与、変更できる
� プライベートIPを指定して起動できる
InstanceTypeの選択
デフォルトではDedicated Instanceは選択されない。
インスタンス起動
プライベートIPアドレスを指定
プライベートアドレスを固定可能。無指定時は勝手にアサイン
インスタンスの確認
プライベートアドレスを固定できる
パブリックアドレスなし
EIPのひもづけ
EIPを確認
Stage 3
Create a private subnet
Public subnet + Private subnet
Internet Gateway
Internetデフォルトはm1.smallPublic subnet内に位置
インターネットとの通信が必要ないなら不要
Virtual Private Cloud
Public Subnet
Security Group
Private Subnet
Security Group
NAT
instance
Destination Target10.0.0.0/16 local0.0.0.0/0 Internt Gateway
Destination Target10.0.0.0/16 local0.0.0.0/0 NAT Instance
Private Subnet
Private Subnet間、Public Subnet間は自由に通信できる。
Private Subnet内からインターネットへ接続するときのみ「NATインスタンス」が必要
Main route table
� subnetにRouteTableを紐づけない場合は、mainが適用� subnetにRouteTableを紐づけない場合は、mainが適用
NATインスタンス
プライベートサブネットかプライベートサブネットかプライベートサブネットかプライベートサブネットからららら、インターネット接続するためのNAT、インターネット接続するためのNAT、インターネット接続するためのNAT、インターネット接続するためのNAT
� 実態はAmazonLinux (amazon/ami-vpc-nat-1.0.0-beta.i386-ebs)
� カスタマイズAMIも可能
� 手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに
� インスタンスサイズ指定可能
停止停止停止停止すると、プライベートサブネットからインターネット接続が不可すると、プライベートサブネットからインターネット接続が不可すると、プライベートサブネットからインターネット接続が不可すると、プライベートサブネットからインターネット接続が不可能に能に能に能になるなるなるなる
� S3、RDSなども使用不可になる
3
NATインスタンスの起動
Security Group をNAT用に作成
Disable Source / Destination Checking on NAT
通常のインスタンスでは発信元か宛先のIPアドレスが自分のときのみ処理をする。NATではこのチェックが邪魔になる。
EIPをNATインスタンスにつける
Private Subnetのルーティング更新
0.0.0.0/0の追加し、NAT instance-IDへ向ける
Stage 4
Connect a VPN
Public subnet + Private subnet + VPN GW
Internet GatewayVPN Gateway
Corporate = 172.16.0.0/16
Virtual Private Cloud = 10.0.0.0/16
Public Subnet
Security Group
Private Subnet
Security Group
NAT
instance
Destination Target10.0.0.0/16 local0.0.0.0/0 Internt Gateway
Destination Target10.0.0.0/16 local172.16.0.0/16 VPN Gateway0.0.0.0/0 NAT Instance
ハードウェアVPN
IPsec VPN
� BGP (Border gateway protocol)
� AES 128 bit の暗号化トンネル
サポート対象
� Cisco Integrated Services routers running Cisco IOS � Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software
� Juniper J-Series routers running JunOS 9.5 (or later) software
� Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software
� Yamaha RTX1200 routers (Rev. 10.01.16+)
Phase1:IKEconfigまで
鍵ハッシュとしてSHA-1が使えるかどうか確認
共通鍵としてDH-2が使えるかどうか確認
AES 128ビット暗号が使えるかどうか確認
Mainモードが使えるかどうか確認
� AggressiveモードはID情報交換を暗号化しないため、使わない� AggressiveモードはID情報交換を暗号化しないため、使わない
Phase2: IPsec config
暗号化方法がエンド同士で一致しているかどうか確認
IPsec dead peer connectionが機能するかどうか確認
ESPプロトコルの確認
Phase3: IPsecトンネル
トンネルが設定される
(オプション)最大MTUが1436バイトに設定される
Phase4: BGPピアリング
カスタマLANとVPCサブネットをトンネルで接続
Private ASNをつかってPrimary/secondaryのフェイルオーバー
Stage 5
Advanced
VPCの制限について
数字の制限
� ひとつのVPNゲートウェイあたり10までのIPSec接続
� 1リージョンあたり5つまでのVPNゲートウェイ
機能の制限機能の制限
� ELB: VPC内部のインスタンスと組み合わせて使えない
� インターネットゲートウェイを使えばEC2,S3などほとんどの機能は利用可
続々拡張中http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind
ex.html?WhatsNew.html
DHCPオプションの活用
マルチホーム(cloudhub)
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html?VPN_CloudHub.html
アジェンダ
VPC概要
VPCを理解するためのシナリオスタディ
Amazon DirectConnect
AWS Direct Connect
Amazonの設備に物理的に接続
コロケーションプロバイダのPOPにAmazonのポートを用意
広帯域と低料金を実現
Equinix Ashburn (us-east, バージニア) で8月利用開始� シリコンバレーも稼働済� シリコンバレーも稼働済
2011年度中に拡大予定
� 東京、ロサンゼルス、ロンドン、シンガポール
動作条件動作条件動作条件動作条件
物理接続 – 1 Gbps or 10 Gbps port
� 冗長化のためには複数ポートを推奨
� 802.1q
� 物理接続毎に課金
論理接続は二種類
� To AWS Cloud (EC2, S3, RDS, etc.)
• PublicなAS番号が必要
� To a VPC
• PrivateなAS番号を使用
利用上の注意点利用上の注意点利用上の注意点利用上の注意点
Public IP transitを行いません
� 複数のカスタマ間のトラフィックを直接通信することはできません
� AWS以外との通信のためにインターネット接続は依然として必要ですて必要です
� EC2インスタンスをProxyとして使うなどでは可能
リージョン毎の契約です
� 東京につないで、シンガポールを使うようなことはできません
マネージメントコンソールおよびAPIは準備中
55
参考URL
VPC Document
� http://aws.amazon.com/documentation/vpc/
DirectConnect Document
� http://aws.amazon.com/documentation/directconnect/
VPCの中でスポットインスタンスも使えるVPCの中でスポットインスタンスも使える
� http://aws.typepad.com/aws_japan/2011/10/launch-ec2-spot-instances-in-a-virtual-private-cloud.html
参考URL
VMimportを使って、既存VMイメージをVPCの中で立ち上げる
� http://aws.typepad.com/aws_japan/2011/08/additional-vm-import-functionality-windows-2003-xenserver-hyper-v.html
VPC内でも、リザーブドインスタンスが買える、Windows VPC内でも、リザーブドインスタンスが買える、Windows Server 2008 R2サポートとWindows with SQL Serverも
� http://aws.typepad.com/aws_japan/2011/08/amazon-vpc-far-more-than-everywhere.html
AWSプレミアムサポートアーキテクチャ設計に関するガイダンス、ベストプラクティスも日本語でご案内できますaws.amazon.com/jp/premiumsupport/
ブロンズブロンズブロンズブロンズ シルバーシルバーシルバーシルバー ゴールドゴールドゴールドゴールド プラチナプラチナプラチナプラチナ
初回応答時間初回応答時間初回応答時間初回応答時間 12時間 4時間 1時間 15分
サポート連絡先サポート連絡先サポート連絡先サポート連絡先 1人 2人 3人 無制限
Copyright © 2011 Amazon Web Services
24/365対応対応対応対応 なし なし あり あり
TEL可能可能可能可能 不可 不可 可能 可能
専任スタッフ専任スタッフ専任スタッフ専任スタッフ なし なし なし あり
特別サポート特別サポート特別サポート特別サポート なし なし なし あり
料金料金料金料金 $49AWS利用総額の
5%
AWS利用総額の$0~$10K: 10%$10K~$80K: 7%$80K~: 5%(最低$400)
AWS利用総額の10%
(最低$15K)
Q & A
Copyright © 2011 Amazon Web Services
ご参加ありがとうございましたございました
Copyright © 2011 Amazon Web Services