Your SlideShare is downloading. ×
0
AWSマイスターリターンズ~Virtual Private Cloud (VPC)~                  2012年3月3日                  荒木 靖宏 (@ar1 )                  ソリュー...
アジェンダVPC概要VPCを理解するためのシナリオスタディ
Amazon VPC利用の典型AWSクラウド上にプライベートクラウドを構築オンプレミスとのハイブリッドが簡単に実現  AWSが社内インフラの一部に見える  社内システム、ソフトウェアの移行がより容易に  例:業務システム、バッチ処理、ファ...
お客様のインフラをAWS上に延長する             リージョン           EC2内に分離し       VPN                   たサブネットを自             EC2       接続     ...
EC2 Dedicated Instance                    通常のEC2 VPC内で専用インスタンス                     物理サーバー   シングルテナント保証 クラウドのメリット確保  従量課金  ...
パケットの出入り管理インスタンス単位でもセキュリティグループで     更にIN/OUTコントロールネットワークレイヤでIN/OUTをコントロール
VPC with a Single Public Subnet EIPアドレスをパブリックインタフェースにア サイン 適用メリット   高いセキュリティの中でWebアプリを稼働さ    せる   プライベートIPを用いて、インスタンスをまと...
VPC with Publicand Private Subnetsパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスはインターネットから直接アクセスできない適用メリット Webサーバーをパブリ...
VPC with Public  and Private Subnets and  a VPN Connectionパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスにVPN経由でアクセス可能適用...
VPC a PrivateSubnet and a VPNConnectionVPC登場時はこの形態のみだった全てのトラフィックは社内データセンターのファイヤウォール経由で行われる適用メリット データセンターをクラウドに拡張しても、中央  集...
Amazon VPCをどう考えるか これからの標準になるもの ネットワークを仮想化するもの ネットワークにまつわる多くの要望への答え  IPアドレスの固定  サブネットを使った管理                    11
アジェンダVPC概要VPCを理解するためのシナリオスタディ
Stage 1VPCをつくってみる
VPCを定義する                 Region                      Virtual Private Cloudリージョンを選択するIPブロックを設定する  最大で16ビットDedicated Instan...
Stage 2パブリックサブネットの作成
Public Subnet                     Virtual Private Cloud VPC内にIPブロックを設定 する   最大で17ビットマスク   サブネット内の始めの4IP    アドレスはAWSが予約 サ...
注意点デフォルト  サブネット内での通信のための経路のみ  Network Access Control List (NACL)はフルオープン
Internet Gateway (IGW) の追加                                  Internet 内部のインスタンスのデフォル ト経路はIGWに向ける 経路はカスタマイズ可能               ...
セキュリティグループとインスタンス                             InternetセキュリティグループではInbound, Outboundのフィルタ設定を行う  Statefulなフィルタ             ...
VPC内のインスタンスとEC2との違いDedicated Instanceを選択することができるt1.micro は使うことができないVPC/subnet選ぶIPを固定できる  グローバルIPはEIPを使うといつでも付与、変更できる  プラ...
InstanceTypeの選択 デフォルトではDedicated Instanceは選択されない。
インスタンス起動
プライベートIPアドレスを指定         プライベートアドレスを固定可能。         無指定時は勝手にアサイン
インスタンスの確認             パブリックアドレスなし            プライベートアドレスを固定できる
EIPのひもづけ
EIPを確認
Stage 3Create a private subnet
Public subnet + Private subnet                                              デフォルトはm1.small                  Internet      ...
Private Subnet Private Subnet間、Public Subnet間は自由に通信できる。 Private Subnet内からインターネットへ接続するときのみ 「NATインスタンス」が必要 Main route table ...
NATインスタンス     プライベートサブネットから、インターネット接続するためのNAT      実態はAmazonLinux カスタマイズAMIも可能      手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに    ...
NATインスタンスの起動
Security Group をNAT用に作成
Disable Source / Destination Checking on NAT 通常のインスタンスでは発信元か宛先のIPアドレスが自分の ときのみ処理をする。NATではこのチェックが邪魔になる。
EIPをNATインスタンスにつける
Private Subnetのルーティング更新
0.0.0.0/0の追加し、NAT instance-IDへ向ける
Stage 4Connect a VPN
Public subnet + Private subnet + VPN GW                                                          Corporate = 172.16.0.0/16...
ハードウェアVPNIPsec VPN  BGP (Border gateway protocol)  AES 128 bit の暗号化トンネルサポート対象  Cisco Integrated Services routers runnin...
Phase1:IKEconfigまで 鍵ハッシュとしてSHA-1が使えるかどうか確認 共通鍵としてDH-2が使えるかどうか確認 AES 128ビット暗号が使えるかどうか確認 Mainモードが使えるかどうか確認   Aggressiveモードは...
Phase2: IPsec config 暗号化方法がエンド同士で一致しているかどうか確認 IPsec dead peer connectionが機能するかどうか確認 ESPプロトコルの確認
Phase3: IPsecトンネル トンネルが設定される (オプション)最大MTUが1436バイトに設定される
Phase4: BGPピアリング カスタマLANとVPCサブネットをトンネルで接続 Private ASNをつかってPrimary/secondaryのフェイルオー バー
Stage 5Advanced
VPCの制限について数字の制限  ひとつのVPNゲートウェイあたり10までのIPSec接続  1リージョンあたり5つまでのVPNゲートウェイ機能の制限  ELB: VPC内部のインスタンスと組み合わせて使えない  インターネットゲートウ...
DHCPオプションの活用
マルチホーム(cloudhub)http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html?VPN_CloudHub.html
Upcoming SlideShare
Loading in...5
×

20120303 jaws summit-meister-07_vpc

880

Published on

2012.3.3 JAWS SUMMIT 2012 
マイスターリターンズにて紹介された資料です。

0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
880
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
50
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Transcript of "20120303 jaws summit-meister-07_vpc"

  1. 1. AWSマイスターリターンズ~Virtual Private Cloud (VPC)~ 2012年3月3日 荒木 靖宏 (@ar1 ) ソリューションアーキテクト
  2. 2. アジェンダVPC概要VPCを理解するためのシナリオスタディ
  3. 3. Amazon VPC利用の典型AWSクラウド上にプライベートクラウドを構築オンプレミスとのハイブリッドが簡単に実現  AWSが社内インフラの一部に見える  社内システム、ソフトウェアの移行がより容易に  例:業務システム、バッチ処理、ファイルサーバ2011年8月から全リージョンで利用可能に 3
  4. 4. お客様のインフラをAWS上に延長する リージョン EC2内に分離し VPN たサブネットを自 EC2 接続 由に作成 インターネットイントラ VPC ゲート ウェイ プライベート パブリック サブネット サブネット NAT
  5. 5. EC2 Dedicated Instance 通常のEC2 VPC内で専用インスタンス 物理サーバー シングルテナント保証 クラウドのメリット確保 従量課金 顧客A 顧客B 顧客C 柔軟にスケールアップ Dedicated Instance 瞬時に調達 物理サーバー 規制に対応しなければいけ ないお客様のご要望に応え るサービス 顧客A 顧客B 顧客C
  6. 6. パケットの出入り管理インスタンス単位でもセキュリティグループで 更にIN/OUTコントロールネットワークレイヤでIN/OUTをコントロール
  7. 7. VPC with a Single Public Subnet EIPアドレスをパブリックインタフェースにア サイン 適用メリット  高いセキュリティの中でWebアプリを稼働さ せる  プライベートIPを用いて、インスタンスをまと められる 7
  8. 8. VPC with Publicand Private Subnetsパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスはインターネットから直接アクセスできない適用メリット Webサーバーをパブリックサブネッ トを稼働し、プライベートサブネット 内のデータベースの読み書きを行 う 8
  9. 9. VPC with Public and Private Subnets and a VPN Connectionパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスにVPN経由でアクセス可能適用メリット VPCをインターネットに接続しつつ、 データセンターをクラウド上に拡張 9
  10. 10. VPC a PrivateSubnet and a VPNConnectionVPC登場時はこの形態のみだった全てのトラフィックは社内データセンターのファイヤウォール経由で行われる適用メリット データセンターをクラウドに拡張しても、中央 集権的管理を維持する 10
  11. 11. Amazon VPCをどう考えるか これからの標準になるもの ネットワークを仮想化するもの ネットワークにまつわる多くの要望への答え  IPアドレスの固定  サブネットを使った管理 11
  12. 12. アジェンダVPC概要VPCを理解するためのシナリオスタディ
  13. 13. Stage 1VPCをつくってみる
  14. 14. VPCを定義する Region Virtual Private Cloudリージョンを選択するIPブロックを設定する  最大で16ビットDedicated Instanceにするかどうかを選択VPC全体のIPブロック 最大は16ビット
  15. 15. Stage 2パブリックサブネットの作成
  16. 16. Public Subnet Virtual Private Cloud VPC内にIPブロックを設定 する  最大で17ビットマスク  サブネット内の始めの4IP アドレスはAWSが予約 サブネットはAvailabilty Zone (AZ)をまたがない VPC Subnet Availability Zone サブネットを作成
  17. 17. 注意点デフォルト  サブネット内での通信のための経路のみ  Network Access Control List (NACL)はフルオープン
  18. 18. Internet Gateway (IGW) の追加 Internet 内部のインスタンスのデフォル ト経路はIGWに向ける 経路はカスタマイズ可能 Internet Gateway VPC外部との通信はこのゲート ウェイを通過する VPC Subnet Virtual Private Cloud
  19. 19. セキュリティグループとインスタンス InternetセキュリティグループではInbound, Outboundのフィルタ設定を行う  Statefulなフィルタ Internet GatewayインスタンスにはEIPを付与できる インスタンス Security GroupEC2との違い VPC Subnet  EC2ではInboundのみ Virtual Private Cloud  いつでも(稼働中でも)セキュリ ティグループとインスタンスの 組み合わせを変更できる
  20. 20. VPC内のインスタンスとEC2との違いDedicated Instanceを選択することができるt1.micro は使うことができないVPC/subnet選ぶIPを固定できる  グローバルIPはEIPを使うといつでも付与、変更できる  プライベートIPを指定して起動できる
  21. 21. InstanceTypeの選択 デフォルトではDedicated Instanceは選択されない。
  22. 22. インスタンス起動
  23. 23. プライベートIPアドレスを指定 プライベートアドレスを固定可能。 無指定時は勝手にアサイン
  24. 24. インスタンスの確認 パブリックアドレスなし プライベートアドレスを固定できる
  25. 25. EIPのひもづけ
  26. 26. EIPを確認
  27. 27. Stage 3Create a private subnet
  28. 28. Public subnet + Private subnet デフォルトはm1.small Internet Public subnet内に位置 インターネットとの通信が 必要ないなら不要 Internet Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance
  29. 29. Private Subnet Private Subnet間、Public Subnet間は自由に通信できる。 Private Subnet内からインターネットへ接続するときのみ 「NATインスタンス」が必要 Main route table  subnetにRouteTableを紐づけない場合は、mainが適用
  30. 30. NATインスタンス プライベートサブネットから、インターネット接続するためのNAT  実態はAmazonLinux カスタマイズAMIも可能  手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに  インスタンスサイズ指定可能 停止すると、プライベートサブネットからインターネット接続が不可 能になる  S3、RDSなども使用不可になる3
  31. 31. NATインスタンスの起動
  32. 32. Security Group をNAT用に作成
  33. 33. Disable Source / Destination Checking on NAT 通常のインスタンスでは発信元か宛先のIPアドレスが自分の ときのみ処理をする。NATではこのチェックが邪魔になる。
  34. 34. EIPをNATインスタンスにつける
  35. 35. Private Subnetのルーティング更新
  36. 36. 0.0.0.0/0の追加し、NAT instance-IDへ向ける
  37. 37. Stage 4Connect a VPN
  38. 38. Public subnet + Private subnet + VPN GW Corporate = 172.16.0.0/16 Internet Gateway VPN Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance
  39. 39. ハードウェアVPNIPsec VPN  BGP (Border gateway protocol)  AES 128 bit の暗号化トンネルサポート対象  Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software  Juniper J-Series routers running JunOS 9.5 (or later) software  Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software  Yamaha RTX1200 routers (Rev. 10.01.16+)
  40. 40. Phase1:IKEconfigまで 鍵ハッシュとしてSHA-1が使えるかどうか確認 共通鍵としてDH-2が使えるかどうか確認 AES 128ビット暗号が使えるかどうか確認 Mainモードが使えるかどうか確認  AggressiveモードはID情報交換を暗号化しないため、使わない
  41. 41. Phase2: IPsec config 暗号化方法がエンド同士で一致しているかどうか確認 IPsec dead peer connectionが機能するかどうか確認 ESPプロトコルの確認
  42. 42. Phase3: IPsecトンネル トンネルが設定される (オプション)最大MTUが1436バイトに設定される
  43. 43. Phase4: BGPピアリング カスタマLANとVPCサブネットをトンネルで接続 Private ASNをつかってPrimary/secondaryのフェイルオー バー
  44. 44. Stage 5Advanced
  45. 45. VPCの制限について数字の制限  ひとつのVPNゲートウェイあたり10までのIPSec接続  1リージョンあたり5つまでのVPNゲートウェイ機能の制限  ELB: VPC内部のインスタンスと組み合わせて使えない  インターネットゲートウェイを使えばEC2,S3などほとんどの機 能は利用可 続々拡張中 http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind ex.html?WhatsNew.html
  46. 46. DHCPオプションの活用
  47. 47. マルチホーム(cloudhub)http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html?VPN_CloudHub.html
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×