20120303 jaws summit-meister-07_vpc

  • 830 views
Uploaded on

2012.3.3 JAWS SUMMIT 2012  …

2012.3.3 JAWS SUMMIT 2012 
マイスターリターンズにて紹介された資料です。

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
830
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
48
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. AWSマイスターリターンズ~Virtual Private Cloud (VPC)~ 2012年3月3日 荒木 靖宏 (@ar1 ) ソリューションアーキテクト
  • 2. アジェンダVPC概要VPCを理解するためのシナリオスタディ
  • 3. Amazon VPC利用の典型AWSクラウド上にプライベートクラウドを構築オンプレミスとのハイブリッドが簡単に実現  AWSが社内インフラの一部に見える  社内システム、ソフトウェアの移行がより容易に  例:業務システム、バッチ処理、ファイルサーバ2011年8月から全リージョンで利用可能に 3
  • 4. お客様のインフラをAWS上に延長する リージョン EC2内に分離し VPN たサブネットを自 EC2 接続 由に作成 インターネットイントラ VPC ゲート ウェイ プライベート パブリック サブネット サブネット NAT
  • 5. EC2 Dedicated Instance 通常のEC2 VPC内で専用インスタンス 物理サーバー シングルテナント保証 クラウドのメリット確保 従量課金 顧客A 顧客B 顧客C 柔軟にスケールアップ Dedicated Instance 瞬時に調達 物理サーバー 規制に対応しなければいけ ないお客様のご要望に応え るサービス 顧客A 顧客B 顧客C
  • 6. パケットの出入り管理インスタンス単位でもセキュリティグループで 更にIN/OUTコントロールネットワークレイヤでIN/OUTをコントロール
  • 7. VPC with a Single Public Subnet EIPアドレスをパブリックインタフェースにア サイン 適用メリット  高いセキュリティの中でWebアプリを稼働さ せる  プライベートIPを用いて、インスタンスをまと められる 7
  • 8. VPC with Publicand Private Subnetsパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスはインターネットから直接アクセスできない適用メリット Webサーバーをパブリックサブネッ トを稼働し、プライベートサブネット 内のデータベースの読み書きを行 う 8
  • 9. VPC with Public and Private Subnets and a VPN Connectionパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスにVPN経由でアクセス可能適用メリット VPCをインターネットに接続しつつ、 データセンターをクラウド上に拡張 9
  • 10. VPC a PrivateSubnet and a VPNConnectionVPC登場時はこの形態のみだった全てのトラフィックは社内データセンターのファイヤウォール経由で行われる適用メリット データセンターをクラウドに拡張しても、中央 集権的管理を維持する 10
  • 11. Amazon VPCをどう考えるか これからの標準になるもの ネットワークを仮想化するもの ネットワークにまつわる多くの要望への答え  IPアドレスの固定  サブネットを使った管理 11
  • 12. アジェンダVPC概要VPCを理解するためのシナリオスタディ
  • 13. Stage 1VPCをつくってみる
  • 14. VPCを定義する Region Virtual Private Cloudリージョンを選択するIPブロックを設定する  最大で16ビットDedicated Instanceにするかどうかを選択VPC全体のIPブロック 最大は16ビット
  • 15. Stage 2パブリックサブネットの作成
  • 16. Public Subnet Virtual Private Cloud VPC内にIPブロックを設定 する  最大で17ビットマスク  サブネット内の始めの4IP アドレスはAWSが予約 サブネットはAvailabilty Zone (AZ)をまたがない VPC Subnet Availability Zone サブネットを作成
  • 17. 注意点デフォルト  サブネット内での通信のための経路のみ  Network Access Control List (NACL)はフルオープン
  • 18. Internet Gateway (IGW) の追加 Internet 内部のインスタンスのデフォル ト経路はIGWに向ける 経路はカスタマイズ可能 Internet Gateway VPC外部との通信はこのゲート ウェイを通過する VPC Subnet Virtual Private Cloud
  • 19. セキュリティグループとインスタンス InternetセキュリティグループではInbound, Outboundのフィルタ設定を行う  Statefulなフィルタ Internet GatewayインスタンスにはEIPを付与できる インスタンス Security GroupEC2との違い VPC Subnet  EC2ではInboundのみ Virtual Private Cloud  いつでも(稼働中でも)セキュリ ティグループとインスタンスの 組み合わせを変更できる
  • 20. VPC内のインスタンスとEC2との違いDedicated Instanceを選択することができるt1.micro は使うことができないVPC/subnet選ぶIPを固定できる  グローバルIPはEIPを使うといつでも付与、変更できる  プライベートIPを指定して起動できる
  • 21. InstanceTypeの選択 デフォルトではDedicated Instanceは選択されない。
  • 22. インスタンス起動
  • 23. プライベートIPアドレスを指定 プライベートアドレスを固定可能。 無指定時は勝手にアサイン
  • 24. インスタンスの確認 パブリックアドレスなし プライベートアドレスを固定できる
  • 25. EIPのひもづけ
  • 26. EIPを確認
  • 27. Stage 3Create a private subnet
  • 28. Public subnet + Private subnet デフォルトはm1.small Internet Public subnet内に位置 インターネットとの通信が 必要ないなら不要 Internet Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance
  • 29. Private Subnet Private Subnet間、Public Subnet間は自由に通信できる。 Private Subnet内からインターネットへ接続するときのみ 「NATインスタンス」が必要 Main route table  subnetにRouteTableを紐づけない場合は、mainが適用
  • 30. NATインスタンス プライベートサブネットから、インターネット接続するためのNAT  実態はAmazonLinux カスタマイズAMIも可能  手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに  インスタンスサイズ指定可能 停止すると、プライベートサブネットからインターネット接続が不可 能になる  S3、RDSなども使用不可になる3
  • 31. NATインスタンスの起動
  • 32. Security Group をNAT用に作成
  • 33. Disable Source / Destination Checking on NAT 通常のインスタンスでは発信元か宛先のIPアドレスが自分の ときのみ処理をする。NATではこのチェックが邪魔になる。
  • 34. EIPをNATインスタンスにつける
  • 35. Private Subnetのルーティング更新
  • 36. 0.0.0.0/0の追加し、NAT instance-IDへ向ける
  • 37. Stage 4Connect a VPN
  • 38. Public subnet + Private subnet + VPN GW Corporate = 172.16.0.0/16 Internet Gateway VPN Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance
  • 39. ハードウェアVPNIPsec VPN  BGP (Border gateway protocol)  AES 128 bit の暗号化トンネルサポート対象  Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software  Juniper J-Series routers running JunOS 9.5 (or later) software  Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software  Yamaha RTX1200 routers (Rev. 10.01.16+)
  • 40. Phase1:IKEconfigまで 鍵ハッシュとしてSHA-1が使えるかどうか確認 共通鍵としてDH-2が使えるかどうか確認 AES 128ビット暗号が使えるかどうか確認 Mainモードが使えるかどうか確認  AggressiveモードはID情報交換を暗号化しないため、使わない
  • 41. Phase2: IPsec config 暗号化方法がエンド同士で一致しているかどうか確認 IPsec dead peer connectionが機能するかどうか確認 ESPプロトコルの確認
  • 42. Phase3: IPsecトンネル トンネルが設定される (オプション)最大MTUが1436バイトに設定される
  • 43. Phase4: BGPピアリング カスタマLANとVPCサブネットをトンネルで接続 Private ASNをつかってPrimary/secondaryのフェイルオー バー
  • 44. Stage 5Advanced
  • 45. VPCの制限について数字の制限  ひとつのVPNゲートウェイあたり10までのIPSec接続  1リージョンあたり5つまでのVPNゲートウェイ機能の制限  ELB: VPC内部のインスタンスと組み合わせて使えない  インターネットゲートウェイを使えばEC2,S3などほとんどの機 能は利用可 続々拡張中 http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind ex.html?WhatsNew.html
  • 46. DHCPオプションの活用
  • 47. マルチホーム(cloudhub)http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html?VPN_CloudHub.html