Your SlideShare is downloading. ×
0
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

20111109 07 aws-meister-vpc-public

1,510

Published on

ほぼ週間AWSマイスターシリーズのAmazon Virtual Private Cloudの回の資料です。

ほぼ週間AWSマイスターシリーズのAmazon Virtual Private Cloudの回の資料です。

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,510
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
96
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. AWSマイスターシリーズ~Virtual Private Cloud (VPC)~ 2011年11月9日 荒木 靖宏 (@ar1 ) ソリューションアーキテクト 玉川憲(@kentamagawa) エバンジェリスト
  • 2. アジェンダVPC概要VPCを理解するためのシナリオスタディAmazon DirectConnect
  • 3. Amazon VPC利用の典型AWSクラウド上にプライベートクラウドを構築オンプレミスとのハイブリッドが簡単に実現  AWSが社内インフラの一部に見える  社内システム、ソフトウェアの移行がより容易に  例:業務システム、バッチ処理、ファイルサーバ2011年8月から全リージョンで利用可能に 3
  • 4. お客様のインフラをAWS上に延長する リージョン EC2内に分離し VPN たサブネットを自 EC2 接続 由に作成 インターネットイントラ VPC ゲート ウェイ プライベート パブリック サブネット サブネット NAT
  • 5. EC2 Dedicated Instance 通常のEC2 VPC内で専用インスタンス 物理サーバー シングルテナント保証 クラウドのメリット確保 従量課金 顧客A 顧客B 顧客C 柔軟にスケールアップ Dedicated Instance 瞬時に調達 物理サーバー 規制に対応しなければいけ ないお客様のご要望に応え るサービス 顧客A 顧客B 顧客C
  • 6. パケットの出入り管理インスタンス単位でもセキュリティグループで 更にIN/OUTコントロールネットワークレイヤでIN/OUTをコントロール
  • 7. VPC with a Single Public Subnet EIPアドレスをパブリックインタフェースにア サイン 適用メリット  高いセキュリティの中でWebアプリを稼働さ せる  プライベートIPを用いて、インスタンスをまと められる 7
  • 8. VPC with Publicand Private Subnetsパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスはインターネットから直接アクセスできない適用メリット Webサーバーをパブリックサブネッ トを稼働し、プライベートサブネット 内のデータベースの読み書きを行 う 8
  • 9. VPC with Public and Private Subnets and a VPN Connectionパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスにVPN経由でアクセス可能適用メリット VPCをインターネットに接続しつつ、 データセンターをクラウド上に拡張 9
  • 10. VPC a PrivateSubnet and a VPNConnectionVPC登場時はこの形態のみだった全てのトラフィックは社内データセンターのファイヤウォール経由で行われる適用メリット データセンターをクラウドに拡張しても、中央 集権的管理を維持する 10
  • 11. Amazon VPCをどう考えるか ネットワークを仮想化するもの ネットワークにまつわる多くの要望への答え  IPアドレスの固定  サブネットを使った管理 11
  • 12. アジェンダVPC概要VPCを理解するためのシナリオスタディAmazon DirectConnect
  • 13. Stage 1VPCをつくってみる
  • 14. VPCを定義する Region Virtual Private Cloudリージョンを選択するIPブロックを設定する  最大で16ビットDedicated Instanceにするかどうかを選択VPC全体のIPブロック 最大は16ビット
  • 15. Stage 2パブリックサブネットの作成
  • 16. Public Subnet Virtual Private Cloud VPC内にIPブロックを設定 する  最大で17ビットマスク  サブネット内の始めの4IP アドレスはAWSが予約 サブネットはAvailabilty Zone (AZ)をまたがない VPC Subnet Availability Zone サブネットを作成
  • 17. 注意点デフォルト  サブネット内での通信のための経路のみ  Network Access Control List (NACL)はフルオープン
  • 18. Internet Gateway (IGW) の追加 Internet 内部のインスタンスのデフォル ト経路はIGWに向ける 経路はカスタマイズ可能 Internet Gateway VPC外部との通信はこのゲート ウェイを通過する VPC Subnet Virtual Private Cloud
  • 19. セキュリティグループとインスタンス InternetセキュリティグループではInbound, Outboundのフィルタ設定を行う  Statefulなフィルタ Internet GatewayインスタンスにはEIPを付与できる インスタンス Security GroupEC2との違い VPC Subnet  EC2ではInboundのみ Virtual Private Cloud  いつでも(稼働中でも)セキュリ ティグループとインスタンスの 組み合わせを変更できる
  • 20. VPC内のインスタンスとEC2との違いDedicated Instanceを選択することができるt1.micro は使うことができないVPC/subnet選ぶIPを固定できる  グローバルIPはEIPを使うといつでも付与、変更できる  プライベートIPを指定して起動できる
  • 21. InstanceTypeの選択 デフォルトではDedicated Instanceは選択されない。
  • 22. インスタンス起動
  • 23. プライベートIPアドレスを指定 プライベートアドレスを固定可能。 無指定時は勝手にアサイン
  • 24. インスタンスの確認 パブリックアドレスなし プライベートアドレスを固定できる
  • 25. EIPのひもづけ
  • 26. EIPを確認
  • 27. Stage 3Create a private subnet
  • 28. Public subnet + Private subnet デフォルトはm1.small Internet Public subnet内に位置 インターネットとの通信が 必要ないなら不要 Internet Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance
  • 29. Private Subnet Private Subnet間、Public Subnet間は自由に通信できる。 Private Subnet内からインターネットへ接続するときのみ 「NATインスタンス」が必要 Main route table  subnetにRouteTableを紐づけない場合は、mainが適用
  • 30. NATインスタンス プライベートサブネットから、インターネット接続するためのNAT  実態はAmazonLinux (amazon/ami-vpc-nat-1.0.0-beta.i386- ebs)  カスタマイズAMIも可能  手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに  インスタンスサイズ指定可能 停止すると、プライベートサブネットからインターネット接続が不可 能になる  S3、RDSなども使用不可になる3
  • 31. NATインスタンスの起動
  • 32. Security Group をNAT用に作成
  • 33. Disable Source / Destination Checking on NAT 通常のインスタンスでは発信元か宛先のIPアドレスが自分の ときのみ処理をする。NATではこのチェックが邪魔になる。
  • 34. EIPをNATインスタンスにつける
  • 35. Private Subnetのルーティング更新
  • 36. 0.0.0.0/0の追加し、NAT instance-IDへ向ける
  • 37. Stage 4Connect a VPN
  • 38. Public subnet + Private subnet + VPN GW Corporate = 172.16.0.0/16 Internet Gateway VPN Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance
  • 39. ハードウェアVPNIPsec VPN  BGP (Border gateway protocol)  AES 128 bit の暗号化トンネルサポート対象  Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software  Juniper J-Series routers running JunOS 9.5 (or later) software  Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software  Yamaha RTX1200 routers (Rev. 10.01.16+)
  • 40. Phase1:IKEconfigまで 鍵ハッシュとしてSHA-1が使えるかどうか確認 共通鍵としてDH-2が使えるかどうか確認 AES 128ビット暗号が使えるかどうか確認 Mainモードが使えるかどうか確認  AggressiveモードはID情報交換を暗号化しないため、使わない
  • 41. Phase2: IPsec config 暗号化方法がエンド同士で一致しているかどうか確認 IPsec dead peer connectionが機能するかどうか確認 ESPプロトコルの確認
  • 42. Phase3: IPsecトンネル トンネルが設定される (オプション)最大MTUが1436バイトに設定される
  • 43. Phase4: BGPピアリング カスタマLANとVPCサブネットをトンネルで接続 Private ASNをつかってPrimary/secondaryのフェイルオー バー
  • 44. Stage 5Advanced
  • 45. VPCの制限について数字の制限  ひとつのVPNゲートウェイあたり10までのIPSec接続  1リージョンあたり5つまでのVPNゲートウェイ機能の制限  ELB: VPC内部のインスタンスと組み合わせて使えない  インターネットゲートウェイを使えばEC2,S3などほとんどの機 能は利用可 続々拡張中 http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind ex.html?WhatsNew.html
  • 46. DHCPオプションの活用
  • 47. マルチホーム(cloudhub)http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html?VPN_CloudHub.html
  • 48. アジェンダVPC概要VPCを理解するためのシナリオスタディAmazon DirectConnect
  • 49. AWS Direct Connect Amazonの設備に物理的に接続 コロケーションプロバイダのPOPにAmazonのポートを用意 広帯域と低料金を実現 Equinix Ashburn (us-east, バージニア) で8月利用開始  シリコンバレーも稼働済 2011年度中に拡大予定  東京、ロサンゼルス、ロンドン、シンガポール
  • 50. 動作条件物理接続 – 1 Gbps or 10 Gbps port 冗長化のためには複数ポートを推奨 802.1q 物理接続毎に課金論理接続は二種類 To AWS Cloud (EC2, S3, RDS, etc.) • PublicなAS番号が必要  To a VPC • PrivateなAS番号を使用
  • 51. 利用上の注意点Public IP transitを行いません  複数のカスタマ間のトラフィックを直接通信することはでき ません  AWS以外との通信のためにインターネット接続は依然とし て必要です  EC2インスタンスをProxyとして使うなどでは可能リージョン毎の契約です  東京につないで、シンガポールを使うようなことはできま せんマネージメントコンソールおよびAPIは準備中 52
  • 52. 参考URL VPC Document  http://aws.amazon.com/documentation/vpc/ DirectConnect Document  http://aws.amazon.com/documentation/directconnect/ VPCの中でスポットインスタンスも使える  http://aws.typepad.com/aws_japan/2011/10/launch- ec2-spot-instances-in-a-virtual-private-cloud.html
  • 53. 参考URL VMimportを使って、既存VMイメージをVPCの中で立ち上げ る  http://aws.typepad.com/aws_japan/2011/08/additional- vm-import-functionality-windows-2003-xenserver- hyper-v.html VPC内でも、リザーブドインスタンスが買える、Windows Server 2008 R2サポートとWindows with SQL Serverも  http://aws.typepad.com/aws_japan/2011/08/amazon- vpc-far-more-than-everywhere.html
  • 54. AWSプレミアムサポート アーキテクチャ設計に関するガイダンス、ベストプラク ティスも日本語でご案内できます aws.amazon.com/jp/premiumsupport/ ブロンズ シルバー ゴールド プラチナ初回応答時間 12時間 4時間 1時間 15分サポート連絡先 1人 2人 3人 無制限24/365対応 なし なし あり ありTEL可能 不可 不可 可能 可能専任スタッフ なし なし なし あり特別サポート なし なし なし あり AWS利用総額の AWS利用総額の $0~$10K: 10% AWS利用総額の 10%料金 $49 5% $10K~$80K: 7% $80K~: 5% (最低$15K) (最低$400) Copyright © 2011 Amazon Web Services
  • 55. ご参加ありがとう ございました Copyright © 2011 Amazon Web Services

×