• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
20120303 jaws summit-meister-07_vpc
 

20120303 jaws summit-meister-07_vpc

on

  • 1,044 views

2012.3.3 JAWS SUMMIT 2012 

2012.3.3 JAWS SUMMIT 2012 
マイスターリターンズにて紹介された資料です。

Statistics

Views

Total Views
1,044
Views on SlideShare
1,044
Embed Views
0

Actions

Likes
2
Downloads
47
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    20120303 jaws summit-meister-07_vpc 20120303 jaws summit-meister-07_vpc Presentation Transcript

    • AWSマイスターリターンズ~Virtual Private Cloud (VPC)~ 2012年3月3日 荒木 靖宏 (@ar1 ) ソリューションアーキテクト
    • アジェンダVPC概要VPCを理解するためのシナリオスタディ
    • Amazon VPC利用の典型AWSクラウド上にプライベートクラウドを構築オンプレミスとのハイブリッドが簡単に実現  AWSが社内インフラの一部に見える  社内システム、ソフトウェアの移行がより容易に  例:業務システム、バッチ処理、ファイルサーバ2011年8月から全リージョンで利用可能に 3
    • お客様のインフラをAWS上に延長する リージョン EC2内に分離し VPN たサブネットを自 EC2 接続 由に作成 インターネットイントラ VPC ゲート ウェイ プライベート パブリック サブネット サブネット NAT
    • EC2 Dedicated Instance 通常のEC2 VPC内で専用インスタンス 物理サーバー シングルテナント保証 クラウドのメリット確保 従量課金 顧客A 顧客B 顧客C 柔軟にスケールアップ Dedicated Instance 瞬時に調達 物理サーバー 規制に対応しなければいけ ないお客様のご要望に応え るサービス 顧客A 顧客B 顧客C
    • パケットの出入り管理インスタンス単位でもセキュリティグループで 更にIN/OUTコントロールネットワークレイヤでIN/OUTをコントロール
    • VPC with a Single Public Subnet EIPアドレスをパブリックインタフェースにア サイン 適用メリット  高いセキュリティの中でWebアプリを稼働さ せる  プライベートIPを用いて、インスタンスをまと められる 7
    • VPC with Publicand Private Subnetsパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスはインターネットから直接アクセスできない適用メリット Webサーバーをパブリックサブネッ トを稼働し、プライベートサブネット 内のデータベースの読み書きを行 う 8
    • VPC with Public and Private Subnets and a VPN Connectionパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスにVPN経由でアクセス可能適用メリット VPCをインターネットに接続しつつ、 データセンターをクラウド上に拡張 9
    • VPC a PrivateSubnet and a VPNConnectionVPC登場時はこの形態のみだった全てのトラフィックは社内データセンターのファイヤウォール経由で行われる適用メリット データセンターをクラウドに拡張しても、中央 集権的管理を維持する 10
    • Amazon VPCをどう考えるか これからの標準になるもの ネットワークを仮想化するもの ネットワークにまつわる多くの要望への答え  IPアドレスの固定  サブネットを使った管理 11
    • アジェンダVPC概要VPCを理解するためのシナリオスタディ
    • Stage 1VPCをつくってみる
    • VPCを定義する Region Virtual Private Cloudリージョンを選択するIPブロックを設定する  最大で16ビットDedicated Instanceにするかどうかを選択VPC全体のIPブロック 最大は16ビット
    • Stage 2パブリックサブネットの作成
    • Public Subnet Virtual Private Cloud VPC内にIPブロックを設定 する  最大で17ビットマスク  サブネット内の始めの4IP アドレスはAWSが予約 サブネットはAvailabilty Zone (AZ)をまたがない VPC Subnet Availability Zone サブネットを作成
    • 注意点デフォルト  サブネット内での通信のための経路のみ  Network Access Control List (NACL)はフルオープン
    • Internet Gateway (IGW) の追加 Internet 内部のインスタンスのデフォル ト経路はIGWに向ける 経路はカスタマイズ可能 Internet Gateway VPC外部との通信はこのゲート ウェイを通過する VPC Subnet Virtual Private Cloud
    • セキュリティグループとインスタンス InternetセキュリティグループではInbound, Outboundのフィルタ設定を行う  Statefulなフィルタ Internet GatewayインスタンスにはEIPを付与できる インスタンス Security GroupEC2との違い VPC Subnet  EC2ではInboundのみ Virtual Private Cloud  いつでも(稼働中でも)セキュリ ティグループとインスタンスの 組み合わせを変更できる
    • VPC内のインスタンスとEC2との違いDedicated Instanceを選択することができるt1.micro は使うことができないVPC/subnet選ぶIPを固定できる  グローバルIPはEIPを使うといつでも付与、変更できる  プライベートIPを指定して起動できる
    • InstanceTypeの選択 デフォルトではDedicated Instanceは選択されない。
    • インスタンス起動
    • プライベートIPアドレスを指定 プライベートアドレスを固定可能。 無指定時は勝手にアサイン
    • インスタンスの確認 パブリックアドレスなし プライベートアドレスを固定できる
    • EIPのひもづけ
    • EIPを確認
    • Stage 3Create a private subnet
    • Public subnet + Private subnet デフォルトはm1.small Internet Public subnet内に位置 インターネットとの通信が 必要ないなら不要 Internet Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance
    • Private Subnet Private Subnet間、Public Subnet間は自由に通信できる。 Private Subnet内からインターネットへ接続するときのみ 「NATインスタンス」が必要 Main route table  subnetにRouteTableを紐づけない場合は、mainが適用
    • NATインスタンス プライベートサブネットから、インターネット接続するためのNAT  実態はAmazonLinux カスタマイズAMIも可能  手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに  インスタンスサイズ指定可能 停止すると、プライベートサブネットからインターネット接続が不可 能になる  S3、RDSなども使用不可になる3
    • NATインスタンスの起動
    • Security Group をNAT用に作成
    • Disable Source / Destination Checking on NAT 通常のインスタンスでは発信元か宛先のIPアドレスが自分の ときのみ処理をする。NATではこのチェックが邪魔になる。
    • EIPをNATインスタンスにつける
    • Private Subnetのルーティング更新
    • 0.0.0.0/0の追加し、NAT instance-IDへ向ける
    • Stage 4Connect a VPN
    • Public subnet + Private subnet + VPN GW Corporate = 172.16.0.0/16 Internet Gateway VPN Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance
    • ハードウェアVPNIPsec VPN  BGP (Border gateway protocol)  AES 128 bit の暗号化トンネルサポート対象  Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software  Juniper J-Series routers running JunOS 9.5 (or later) software  Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software  Yamaha RTX1200 routers (Rev. 10.01.16+)
    • Phase1:IKEconfigまで 鍵ハッシュとしてSHA-1が使えるかどうか確認 共通鍵としてDH-2が使えるかどうか確認 AES 128ビット暗号が使えるかどうか確認 Mainモードが使えるかどうか確認  AggressiveモードはID情報交換を暗号化しないため、使わない
    • Phase2: IPsec config 暗号化方法がエンド同士で一致しているかどうか確認 IPsec dead peer connectionが機能するかどうか確認 ESPプロトコルの確認
    • Phase3: IPsecトンネル トンネルが設定される (オプション)最大MTUが1436バイトに設定される
    • Phase4: BGPピアリング カスタマLANとVPCサブネットをトンネルで接続 Private ASNをつかってPrimary/secondaryのフェイルオー バー
    • Stage 5Advanced
    • VPCの制限について数字の制限  ひとつのVPNゲートウェイあたり10までのIPSec接続  1リージョンあたり5つまでのVPNゲートウェイ機能の制限  ELB: VPC内部のインスタンスと組み合わせて使えない  インターネットゲートウェイを使えばEC2,S3などほとんどの機 能は利用可 続々拡張中 http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind ex.html?WhatsNew.html
    • DHCPオプションの活用
    • マルチホーム(cloudhub)http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html?VPN_CloudHub.html