[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect

18,094 views

Published on

Published in: Technology, Business
0 Comments
30 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
18,094
On SlideShare
0
From Embeds
0
Number of Embeds
1,753
Actions
Shares
0
Downloads
354
Comments
0
Likes
30
Embeds 0
No embeds

No notes for slide

[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect

  1. 1. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. AWSマイスターシリーズ Amazon VPC VPN+AWS DirectConnect 2013.09.04 アマゾン データ サービス ジャパン株式会社 荒木靖宏
  2. 2. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 2 今日のAgenda VPCとは? Amazon Direct Connect(DX)とは? VPC/VPN/Direct Connectの活用例 Q&A
  3. 3. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 3 Amazon VPC AWS上にプライベートネットワーク空間を構築 • 社内からVPN接続して閉域網でAWS利用 • 仮想ネットワーキング オンプレミスとのハイブリッドが簡単に実現 • AWSが社内インフラの一部に見える  社内システム、ソフトウェアの移行がより容易に
  4. 4. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 4 AWS上にプライベートのアドレス空間を作成し、 お客様のインフラをAWS上に延長する リージョン EC2 VPCイントラ プライベート サブネット パブリック サブネット Internet VPC内に分離し たサブネットを 自由に作成 VPN接続 専用線 ゲート ウェイ VPN DX
  5. 5. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 5 VPCを利用した3層Webシステム構成例 VPC 10.0.0.0/16 Availability Zone - B Availability Zone - A Internet Anyone Internet Gateway Public Subnet 10.0.0.0/24 Public Subnet 10.0.2.0/24 Private Subnet 10.0.1.0/24 Private Subnet 10.0.3.0/24 Amazon RDS Amazon RDS Web 10.0.0.7 EC2 Instance EC2 Instance Web 10.0.2.7 Corporate data center DB DB インターネットから もアクセス可能 DC/社内からのみ アクセス可能 VPN接続 DX専用線
  6. 6. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 6 VPC内のシステム構築の留意点 ネットワーク分割のベストプラクティス • ログインする必要のないELB,RDS, Elasticache用のサブネッ ト • 目的別には分けずに、/22や/24など、わかりやすく大きめのネッ トワークを指定する。 • ログインする必要のあるEC2は目的別に。 AWSのリソースは原則ホスト名を使ってアクセス
  7. 7. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 7 VPC内のシステム構築の留意点(2) AWSのAPI使用にはインターネット接続が必要 利用方法 • EIPを使用 • NATインスタンスまたはアプリケーションプロキシを使用 • オンプレ側インターネット線の使用
  8. 8. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 8 Public subnet + Private subnet + VPN GW Virtual Private Cloud = 10.0.0.0/16 Public Subnet Internet Gateway Security Group Private Subnet Security Group NAT instance Destination Target 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway Destination Target 10.0.0.0/16 local 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance VPN Gateway Corporate = 172.16.0.0/16
  9. 9. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 9 ハードウェアVPN IPsec VPN • AES 128 bit の暗号化トンネル • Pre-shared キーを使用して、IKE セキュリティ接続を確立る • SHA-1 ハッシュ • 「グループ2」モードでのDH Perfect Forward Secrecy 暗号化の前にパケットの断片化を実行する 経路 • BGP (Border gateway protocol) または • Static
  10. 10. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 10 対応ルータ http://aws.amazon.com/jp/vpc/faqs/#C9 対応ルータでは設定サンプルを提供 BGP • Astaro, Cisco, Fortigate, Juniper(J, SRX, SSG, ISG), PaloAlto, Vyatta, Yamaha RTX1200 Static • Cisco(ASA5500, ISR), Juniper (J, SRX, SSG, ISG), Microsoft windows server 2008R2以降、Yamaha RTX1200
  11. 11. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 11 事前の準備 ハードウェアルータ Public IPアドレス • Virtual Gateway (VGW)との通信に 使用 • VPCの数だけ必要。同一リージョン での重複はできない。 IKE(UDP port 500)とIPsec(IP Protocol 50)への通信が可能なこ と • ISPでの制限、FWの存在に注意 • NAT-T(UDP port 4500への fallback)は使用できません。
  12. 12. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 12 VPNの設定 12 「Hardware VPN Access」 があるWizardを選択 VPCダッシュボードから 「Start VPC Wizard」を選択
  13. 13. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 13 CustomerGatewayとプロトコル選択 13 拠点側のVPNルータのグロ ーバルIPアドレスを指定 VPN通信プロトコルを BGPかStaticかを選択 Staticの場合には、拠点側の Subnetを指定する ※「Add」を忘れずに
  14. 14. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 14 VPCとSubnetのCIDR指定及び確認 14 VPCとPrivateSegmentの SubnetのCIDRを 変更します 内容内容を確認後、「Create VPC」を押下
  15. 15. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 15 VPCとPrivate Segment作成処理中 15 作成完了後 拠点側のVPNルータに設定す るConfigをダウンロードするた め選択します
  16. 16. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 16 VPNルータ設定用Configダウンロード 16 拠点側のVPNルータの以下の 情報を選択します 1)ベンダー名 2)機種 3)OSバージョン 「Yes,Download」を選択し、Configをダウンロードします
  17. 17. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 17 AWS Direct Connectの特徴 帯域スループット向上 インターネットベースの接続よりも一貫性がある ネットワークコスト削減 お客様 AWS Cloud EC2, S3などの Public サービス Amazon VPC 相互接続ポイント 専用線 サービス
  18. 18. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 18 AWS Direct Connectの物理接続 お客様 AWS Cloud EC2, S3などの Public サービス Amazon VPC 相互接続ポイント 専用線 Zone A Zoneコロケへの専用線引き込みと違って サーバ設置場所を限定しない。 相互接続ポイントはサーバのある ゾーンではない場所
  19. 19. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 19 AWS Direct Connectの論理接続 論理的にはPublic向けと、VPC向けで異なる BGPによる接続 お客様 AWS Cloud EC2, S3などの Public サービス Amazon VPC 相互接続ポイント 専用線 Zone A Zone B 東京リージョンでは、 Equinix TY2 (東京都品川区)
  20. 20. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 20 AWS Direct Connect 詳細内容 AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供 リージョン毎に契約 多くの容量が必要な場合、複数の接続のプロビジョニングが可能 • 専用線サービスは、お客様が下記の2つの選択肢から選択 1. お客様自身がエクイニクス相互接続ポイントに専用線を直 接つなぐ 2. 通信事業者,APNの接続サービスを利用  Equinix  ソフトバンクテレコム  NRI  NTTコミュニケーションズ,NTTPC 日本でのサービス状況  KVH  TOKAI  cloudpack
  21. 21. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 21 APNにより拡張された AWS Direct Connectサービス 相互接続ポイント(東京リージョンではEquinix TY2) における接続装置等の設置場所 • 専用線とのパッケージ提供する場合も 10Mbps, 100Mbps等1Gbps よりも狭帯域のサービス お客様指定の場所から相互接続ポイントまでのアクセス 広域WANで複数拠点からAWSへの接続
  22. 22. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 22 AWS Direct Connect:Publicサービス お客様 AWS Cloud EC2, S3などの Public サービス Amazon VPC 相互接続ポイント 専用線 Zone A Zone Public IPを使ったBGP接続 Private ASの場合はそのIPアドレス はAWSとの通信専用になる
  23. 23. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 23 AWS Direct Connect:VPCサービス お客様 AWS Cloud EC2, S3などの Public サービス Amazon VPC 相互接続ポイント 専用線 Zone A Zone B Private ASを使ったBGP接続 Private ASを使用 == VPCをVPNで使う場合と同じ IPSecトンネルの代わりに専用線上 のVLANがあると考えればok
  24. 24. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 24 VPC (ZoneB) 論理接続形態 Equinix TY2 AWSラックラック 10G 1G キャリア バック ボーン R R VPC (ZoneA) VLANVLANVLAN Public向け VLAN End user (多数) AWSの責任範囲 ネットワークプロバイダ またはEUの責任範囲 コロケーション プロバイダ の責任範囲 (構内配線のみ) EC2,S3な どのPublic サービス ラックはEquinix,もしく はAPNから調達 回線終 端装置
  25. 25. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 25 AWS DirectConnect 接続のステップ 自社で手 配する? 検討開始 回線業者選定 回線終端装置 の置き場はあ る? 接続点 ラックを 契約 Publicサー ビスを直 接使う? DXSPに 依頼 物理接続 Public AS を持って いる? Public ASの取得 Public 接続 VPCを使 う? VPC 接続 利用開始 DXSP: Direct Connect Solution Provider 次ページにて 詳細説明
  26. 26. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 26 AWS DirectConnect 接続のステップ 詳細 Direct Connect 使用申請 LOAをお客様へ発行 LOAをEquinixへ 申請 物理結線 物理接続 物理接続 完了 Equinix様 作業 お客様作業 AWS作業 (営業) AWS NWチーム作業
  27. 27. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 27 DX設定 1
  28. 28. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 28 物理接続の申請 1
  29. 29. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 29
  30. 30. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 30 AWS DirectConnect 接続のステップ 詳細 お客様ルータ VLAN/BGP設定 AWSルータ VLAN/BGP設定 VPC 接続 VLAN ID決定 Private AS番号決定 VPC接続 完了 Public 接続 お客様ルータ VLAN/BGP設定 AWSルータ VLAN/BGP設定 VLAN ID決定 Public接続 完了 Equinix様 作業 お客様作業 AWS作業 (営業) AWS NWチーム作業 AS番号 /Prefix/VLANID/ LOAをMCで入力 AS番号 /Prefix/VLANID/ LOAをMCで入力
  31. 31. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 31 DX設定 1 2
  32. 32. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 32 Create Virtual Interface 2
  33. 33. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 33
  34. 34. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 34
  35. 35. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 35 DX設定 1 2 3
  36. 36. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 36 configの取得 3
  37. 37. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 37 DownloadしたConfig抜粋 interface GigabitEthernet0/1 no ip address interface GigabitEthernet0/1.3 description "Direct Connect to your Amazon VPC or AWS Cloud" encapsulation dot1Q 3 ip address 169.254.252.2 255.255.255.252 router bgp 65534 neighbor 169.254.252.1 remote-as 10124 neighbor 169.254.252.1 password X_wlwFyyPWLEToUQIU7CRrA1 network 0.0.0.0 exit パスワードはConfigをダウ ンロードしないとわからない
  38. 38. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 38 AWS DirectConnect 接続のステップ 詳細(物理結線のIDと利用者が異なる場合) お客様ルータ VLAN/BGP設定 AWSルータ VLAN/BGP設定 VPC 接続 VLAN ID決定 Private AS番号決定 VPC接続 完了 Public 接続 お客様ルータ VLAN/BGP設定 AWSルータ VLAN/BGP設定 VLAN ID決定 Public接続 完了 Equinix様 作業 お客様作業 AWS作業 (営業) AWS NWチーム作業 NWチームへ 作業依頼 NWチームへ 作業依頼 AS番号 /Prefix/VLANID/ LOAをAWSへ連絡 AS番号 /Prefix/VLANID/ LOAをAWSへ連絡 論理接続はWebでは できない
  39. 39. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 39 CloudHubのHubとしてのVPC Virtual Private Cloud 本社 Virtual Gateway VPN Connection AWS Direct Connect Router
  40. 40. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 40 ハイブリッド環境例 営業支援 会計 BI 文書管理 利用者 保守業者 管理者 AD 監視ソフト DNS Direct Connect 接続口 1 VPC 1 VPC 1 VPC 1 VPC 1 VPC I G W V G W V G W V G W I G W V G W V G W Router#1 Router#2 Router#1 Router#2 Router#1 Router#2 FW SSO NTP 既存環境 OracleWIN 人事 WIN WIN Oracle BI DB WIN Proxy 専用線 専用線 または VPN
  41. 41. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 41 オンプレミスとVPCの接続冗長化 DirectConnect+ DirectConnect DirectConnect+VPN VPN+VPN いずれの方法でも可能。VPNでも BGPによる接続を推奨 Active/Stand-ByのためにはBGP MEDもしくはAS−PREPEND等 Router#1 Router#2 Router#1 Router#2
  42. 42. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 42 Direct Connect 課金体系 月額利用料は下記の計算で課金されます AWS Direct Connectの月額利用料 = ① ポート使用料 + ② データ転送料
  43. 43. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 43 ポート使用料とデータ転送料 ポート使用料 • 1Gbps: 0.30 USD/時、10Gbps: 2.25 USD/時 データ転送料はリージョン毎で異なる • 東京リージョン • データイン:無料 • データアウト:0.045 USD/GB
  44. 44. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 44 AWS Direct Connect使用時 請求の注意点 AWS Direct Connect を介するデータ転送には、使用が 発生した同じ月に請求書が送られます。 他の AWS サービスの使用によって発生する標準のイン ターネットデータ転送使用量は、翌月の請求となります。 例: • 6月に AWS Direct Connect 経由で 500 GB、インターネット 経由で 1500 GB を転送した場合 • AWS Direct Connect のレートで 500 GB のデータ転送料金が 6月の請求書で請求され、標準インターネットのレートで 1,500 GB のデータ転送料金が7月の請求書で請求されます。
  45. 45. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 45 本日のまとめ VPN接続やDirect Connect(DX)を利用すること で、オンプレミス環境とのハイブリッドなど、 自由なネットワーク設計が可能です!
  46. 46. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 46 Appendix 参考資料 • Amazon VPC Documents http://aws.amazon.com/jp/documentation/vpc/ • Amazon VPC http://aws.amazon.com/jp/vpc/ • Amazon VPC FAQ http://aws.amazon.com/jp/vpc/faqs/

×