[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド

2,628
-1

Published on

ソリューションセッション#5
AWSで構築する仮想プライベートクラウド

登壇者名・社名 荒木 靖宏(アマゾン データ サービス ジャパン 株式会社)

Published in: Technology
0 Comments
7 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,628
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
51
Comments
0
Likes
7
Embeds 0
No embeds

No notes for slide

[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド

  1. 1. ソリューションセッション#5AWSで構築する仮想プライベートクラウド荒木靖宏アマゾン データ サービス ジャパン株式会社プリンシパルソリューションアーキテクト
  2. 2. 自己紹介名前 • 荒木 靖宏所属 • アマゾンデータサービスジャパン株式会社 プリンシパルソリューションアーキテクトID • Twitter: ar1好きなAWSサービス • Amazon Virtual Private Cloud • AWS Direct Connect
  3. 3. アジェンダ「プライベートクラウド」欲求• ビジネスアジリティ対応• コスト競争力• セキュリティ&コンプライアンス事例現実として利用できること(技術)Amazon VPCがおこたえします
  4. 4. AWSプラットフォーム Deployment & Administration App ServicesCompute Storage Database Networking AWS Global Infrastructure
  5. 5. AWS のネットワークサービス Amazon Virtual Private Cloud VPN to Extend Your Network Topology to AWS Deployment & Administration AWS Direct Connect Private, Dedicated Connection to AWS App ServicesCompute Storage Database Amazon Route 53 Networking Scalable Domain Name Service AWS Global Infrastructure
  6. 6. Amazon VPCAWSクラウド上に仮想プライベートクラウドを構築オンプレミスとのハイブリッドが簡単に実現• AWSが社内インフラの一部に見える 社内システム、ソフトウェアの移行がより容易に 例:業務システム、バッチ処理、ファイルサーバ2011年8月から全リージョンで利用可能に
  7. 7. 企業ネットワークとAWSを統合: AMAZON VPC ルーター社内ネットワーク AWSパブリック クラウド環境 インターネット 経由での VPN接続 専用線接続 社外ユーザ
  8. 8. 企業内の情報処理で抱える悩み要件 ビジネス(本業)の俊敏性要求 データ処理要件(新規、バージョンアップ)の増加 データ量の加速度的増加 セキュリティ及びコンプライアンス対応が読めない ‥コスト 管理者の労力、工数 設備所有コスト ‥
  9. 9. 要件 vs コスト昔なら問題にならなかった
  10. 10. コンシューマライゼーション 時代の到来企業内のほうが不便な環境
  11. 11. クラウドコンピューティングの定義 NIST(米国立標準技術研究所)オンデマンド・セルフサービス広範なネットワークアクセスリソースのプーリング迅速な弾力的規模拡大・縮小測定されたサービスによるリソースの自律最適化大数に鍛えられたクラウドだけが持つ
  12. 12. クラウドで備えよ!
  13. 13. では、自社にクラウドをつくるとしたら?
  14. 14. プライベートクラウドへの要求ビジネスアジリティ対応コスト競争力セキュリティ&コンプライアンスAmazon VPCがおこたえします
  15. 15. 柔軟なネットワーク、サーバ構成 リージョン EC2内に分離し VPN たサブネットを自 EC2 専用線 由に作成 インターネットイントラ VPC ゲート ウェイ プライベート パブリック サブネット サブネット 複数のネットワークにそれぞれ 複数IPアドレスを使用可能 イーサネット接続可能1サーバあたり最大240個まで
  16. 16. AWS Direct Connect(専用線接続)AWSとデータセンター、オフィス、コロケーション環境間にプライベート接続を確立するサービス AWS Cloud 多くの国内キャリアと協業 EC2, S3などの Public サービス 相互接続ポイント 専用線 Amazon VPC お客様コロケへの専用線引き込みと違ってサーバ設置場所を限定しない。相互接続ポイントはサーバの置かれた建屋とは独立した場所
  17. 17. 広域LANサービスでの使用 一拠点としてAmazon Virtual AWS Private Cloud Direct AWSを追加 (VPC) Connect キャリアの 広域LANサービス
  18. 18. マルチホーム(cloudhub)本社 Internet VPN Internet VPN Internet VPN DirectConnect
  19. 19. プライベートクラウドへの要求ビジネスアジリティ対応コスト競争力セキュリティ&コンプライアンスAmazon VPCがおこたえします
  20. 20. Amazon.comの11月のトラフィック
  21. 21. キャパシティプランニングは下記赤線
  22. 22. 実際の利用したリソースの割合 76% 24%
  23. 23. AWSにおける価格の考え方Pay as you go (従量課金)• コミットメントや長期契約の必要無しPay less when you reserve (確保による値引き)• キャパシティを確保する事による値引きPay even less per unit by using more (ボリュームによる値引き)• 自動的なボリュームディスカウントPay even less as AWS grows (AWS成長による値引き)• 「規模の経済」による値引き (過去6年間で20回の値引き実績)
  24. 24. 参考:サーバ1台に対するTCO Dell PowerConnect 6224: $2,991 Dell PowerEdge Rack 4220: $2,252Dell PowerEdge R310:$1,838 3-year Dell ProSupport and NBD On-site Service: $216 (Server) 3-year Dell ProSupport and NBD On-site Service: $799 (Network) PUE of 2.5 and electricity price of $0.09 per kW hour $23,000 per kW of redundant IT power and $300 per square foot $120,000/年間/人、比率(サーバ:人) – 50:1AWSホワイトペーパー:The Total Cost of (Non) Ownership ofWeb Applications in the Cloud
  25. 25. プライベートクラウドへの要求ビジネスアジリティ対応コスト競争力セキュリティ&コンプライアンスAmazon VPCがおこたえします
  26. 26. AWSが取得した第三者認証/認定 クラウド専業のため、集中的に多くのセキュリティ 投資が可能 SSAE16/ISAE3402 (旧SAS-70 Type II) 認証 ISO27001認証 PCI DSS 認証(Payment Card Industry Data Security Standard) FISMA Moderateレベル日本語ホワイトペーパー公開中「リスクとコンプライアンス」「セキュリティプロセスの概要」http://aws.amazon.com/jp/whitepapers/
  27. 27. EC2 Dedicated Instance 通常のEC2VPC内で専用インスタンス 物理サーバー シングルテナント保証クラウドのメリット確保 従量課金 顧客A 顧客B 顧客C 柔軟にスケールアップ 瞬時に調達 Dedicated Instance規制に対応しなければい 物理サーバーけないお客様のご要望に応えるサービス 顧客A 顧客B 顧客C
  28. 28. ビジネスのためのセキュリティ考慮点コアビジネス以外は、AWSが対応 お客様のコアビジネス サーバ、データ機材 サーバ 構成および運用 サービス利用妨害 サービス侵入 ネットワーク ファシリティオペレーション ファシリティ ロケーション サイト はAWSが対応
  29. 29. Amazon VPCの成功例
  30. 30. ガリバーインターナショナル様 VPC
  31. 31. UMCエレクトロニクス様 外部からのメンテナンス用 踏み台サーバ Realtechベトナム 様 Elastic IP Internet接続用 Gateway Internet-VPN EC2 for SAP A1 NAT Instance Singtel様 Production IGW Global WAN Elastic IP Internet EC2 for SAP Dev/Test VPC Private Subnet VPC Public Subnet日本 中国 SAP様 AWS Singapore Region
  32. 32. PCI DSS取得に顧客むけのPC&モバイル向けウェブサービスチケット発行迅速なPCI DSS の取得にVPCが寄与レスポンス改善によるコンバージョンレート向上38%以上のコスト削減
  33. 33. オンプレミスとのハイブリッド環境にDATAPIPE社のサービス例 • Oracle DBをオンプレミスのデータセンタに設置 • 変化するリソースはAWS上
  34. 34. AWS利用例(DR環境) 既存データセンター 本番環境 DR環境 Direct Connect(専用線) Virtual Private Cloud (VPC) Amazon Elastic Compute Cloud (EC2) DR環境をAWS内で構築利用例 これからDR環境を整備するシステム 採用事例 コスト面でDRを整備出来なかったシステム(F/S等) 通常は休止または必要最小規模で稼働
  35. 35. Amazon VPCの利用の技術
  36. 36. Amazon VPCをどう考えるかこれからの標準になるものネットワークを仮想化するものネットワークにまつわる多くの要望への答え• サブネットを使った管理• 複数ネットワークインターフェース• 複数IPアドレス• IPアドレスの固定 37
  37. 37. パケットの出入り管理インスタンス単位でもセキュリティグループで 更にIN/OUTコントロールネットワークレイヤでIN/OUTをコントロール
  38. 38. Public subnet + Private subnet Public subnet内に位置 Internet インターネットとの通信が必 要ないなら不要 Internet Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private CloudDestination Target Destination Target10.0.0.0/16 local 10.0.0.0/16 local0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance
  39. 39. VPC with a Single Public SubnetEIPアドレスをパブリックインタフェースにアサイン適用メリット 高いセキュリティの中でWebアプリを稼働させる プライベートIPを用いて、インスタンスをまとめられる
  40. 40. VPC with Public and Private Subnetsパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスはインターネットから直接アクセスできない適用メリット Webサーバーをパブリックサブ ネットを稼働し、プライベートサ ブネット内のデータベースの読 み書きを行う
  41. 41. VPC with Public and Private Subnets and a VPN Connectionパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスにVPN経由でアクセス可能適用メリット VPCをインターネットに接続しつつ、 データセンターをクラウド上に拡張 42
  42. 42. VPC a Private Subnet and a VPN ConnectionVPC登場時はこの形態のみだった全てのトラフィックは社内データセンターのファイヤウォール経由で行われる適用メリット データセンターをクラウドに拡張しても、中 央集権的管理を維持する 43
  43. 43. プライベートクラウド4箇条ビジネスアジリティ対応コスト競争力セキュリティ&コンプライアンス現実として利用できること(技術)Amazon VPCがおこたえします
  44. 44. Amazon VPCで仮想プライベートクラウドを!Meet the SAコーナーでお待ちしています
  45. 45. バックアップ
  46. 46. アジェンダVPC概要VPCを理解するためのシナリオスタディ
  47. 47. Stage 1Stage 1VPCをつくってみる VPCをつくってみる
  48. 48. VPCを定義するリージョンを選択するIPブロックを設定する• 最大で16ビットDedicated Instanceにするかどうかを選択 VPC全体のIPブロック 最大は16ビット Virtual Private Cloud Region
  49. 49. Stage 2パブリックサブネットの作成
  50. 50. Public Subnet Virtual Private CloudVPC内にIPブロックを設定する• 最大で17ビットマスク• サブネット内の始めの4IPアドレ スはAWSが予約サブネットはAvailabilty Zone(AZ)をまたがない VPC Subnet Availability Zone サブネットを作成
  51. 51. 注意点デフォルト• サブネット内での通信のための経路のみ• Network Access Control List (NACL)はフル オープン
  52. 52. Internet Gateway (IGW) の追加 Internet内部のインスタンスのデフォルト経路はIGWに向ける経路はカスタマイズ可能 Internet GatewayVPC外部との通信はこのゲートウェイを通過する VPC Subnet Virtual Private Cloud
  53. 53. セキュリティグループとインスタンス InternetセキュリティグループではInbound, Outboundのフィルタ設定を行う• StatefulなフィルタインスタンスにはEIPを付 Internet Gateway与できる インスタンスEC2との違い Security Group• EC2ではInboundのみ VPC Subnet• いつでも(稼働中でも)セ キュリティグループとイン Virtual Private Cloud スタンスの組み合わせを変 更できる
  54. 54. VPC内のインスタンスとEC2との違いDedicated Instanceを選択することができるt1.micro は使うことができないVPC/subnet選ぶIPを固定できる• グローバルIPはEIPを使うといつでも付与、変更できる• プライベートIPを指定して起動できる
  55. 55. InstanceTypeの選択デフォルトではDedicated Instanceは選択されない。
  56. 56. インスタンス起動
  57. 57. プライベートIPアドレスを指定 プライベートアドレスを固定可能。 無指定時は勝手にアサイン
  58. 58. インスタンスの確認 パブリックアドレスなし プライベートアドレスを固定できる
  59. 59. EIPのひもづけ
  60. 60. EIPを確認
  61. 61. Stage 3Create a private subnet
  62. 62. Private SubnetPrivate Subnet間、Public Subnet間は自由に通信できる。Private Subnet内からインターネットへ接続するときのみ「NATインスタンス」が必要Main route table• subnetにRouteTableを紐づけない場合は、mainが適用
  63. 63. NATインスタンス プライベートサブネットから、イン ターネット接続するためのNAT 停止すると、プライベートサブネッ トからインターネット接続が不可能 になる • S3、SQSなども使用不可になる3
  64. 64. NATインスタンスの起動
  65. 65. Security Group をNAT用に作成
  66. 66. Disable Source / Destination Checking on NAT通常のインスタンスでは発信元か宛先のIPアドレスが自分のときのみ処理をする。NATではこのチェックが邪魔になる。
  67. 67. EIPをNATインスタンスにつける
  68. 68. Private Subnetのルーティング更新
  69. 69. 0.0.0.0/0の追加し、NAT instance-IDへ 向ける
  70. 70. Stage 4Connect a VPN
  71. 71. Public subnet + Private subnet + VPN GW Corporate = 172.16.0.0/16 Internet Gateway VPN Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16Destination Target Destination Target10.0.0.0/16 local 10.0.0.0/16 local0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance
  72. 72. ハードウェアVPNIPsec VPN• BGP (Border gateway protocol)• AES 128 bit の暗号化トンネルサポート対象• Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software• Juniper J-Series routers running JunOS 9.5 (or later) software• Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software• Yamaha RTX1200 routers (Rev. 10.01.16+)
  73. 73. Phase1:IKEconfigまで鍵ハッシュとしてSHA-1が使えるかどうか確認共通鍵としてDH-2が使えるかどうか確認AES 128ビット暗号が使えるかどうか確認Mainモードが使えるかどうか確認• AggressiveモードはID情報交換を暗号化しないため、使わない
  74. 74. Phase2: IPsec config暗号化方法がエンド同士で一致しているかどうか確認IPsec dead peer connectionが機能するかどうか確認ESPプロトコルの確認
  75. 75. Phase3: IPsecトンネルトンネルが設定される(オプション)最大MTUが1436バイトに設定される
  76. 76. Phase4: BGPピアリングカスタマLANとVPCサブネットをトンネルで接続Private ASNをつかってPrimary/secondaryのフェイルオーバー
  77. 77. Stage 5Advanced
  78. 78. VPCの制限について数字の制限• ひとつのVPNゲートウェイあたり10までのIPSec接続• 1リージョンあたり5つまでのVPNゲートウェイ機能の制限• ELB: VPC内部のインスタンスと組み合わせて使えない• インターネットゲートウェイを使えばEC2,S3などほとんどの機 能は利用可 続々拡張中 http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind ex.html?WhatsNew.html
  79. 79. DHCPオプションの活用
  80. 80. 想定利用ケース(w/ Direct Connect)Direct Connectを利用 転送帯域・速度を確保 大量の更新データを高頻度にスナップショット取得可能 Snapshots iSCSI Storage Gateway S3 Local Backup Direct Connect
  81. 81. Direct Connect Copyright © 2011 Amazon Web Services
  82. 82. AWS Direct Connectの論理接続論理的にはPublic向けと、VPC向けで異なる AWS Cloud EC2, S3などの Public サービス Zone A 専用線 相互接続ポイント Amazon VPC お客様 Zone B
  83. 83. AWS Direct Connect:Publicサービス AWS Cloud Public ASを使ったBGP接続 EC2, S3などの Public サービス Zone A 専用線 相互接続ポイント Amazon VPC お客様 Zone B Public ASを運用
  84. 84. AWS Direct Connect:VPCサービス Private ASを使ったBGP接続 AWS Cloud EC2, S3などの Public サービス Zone A 専用線 相互接続ポイント Amazon VPC お客様 Private ASを使用 Zone B == VPCをVPNで使う場合と同じ IPSecトンネルの代わりに専用線上 のVLANがあると考えればok
  85. 85. 注意点Public IP transitを行いません • 複数のカスタマ間のトラフィックを直接通信するこ とはできません • カスタマのインターネット接続は依然として必要で す • EC2インスタンスをProxyとして使うなどでは可能リージョン毎の契約です• 東京につないで、シンガポールを使うようなことは できませんVPCからインターネットゲートウェイを使えばPublicサービス (S3など)を使える 86
  86. 86. AWS Direct Connectの利用 のために
  87. 87. AWS DirectConnect 接続のステップ 検討開始 Publicサー ビスを直 接使う?DXSPに 自社で手 依頼 配する? Public AS PublicDXSP: を持って ASの取得Direct Connect Solution Provider いる? 回線業者選定 Public 接続 接続点 回線終端装置ラックを の置き場はあ VPCを使 契約 る? う? 利用開始 物理接続 VPC 接続
  88. 88. Direct Connect接続方法AWS Direct Connect Solution Providerに依頼する方法お客様が自分で相互接続ポイントに直接つなぐ方法
  89. 89. AWS DirectConnect 接続のステップ 検討開始 Publicサー ビスを直 接使う?DXSPに 自社で手 依頼 配する? Public AS PublicDXSP: を持って ASの取得Direct Connect Solution Provider いる? 回線業者選定 この面倒な手続が省力化されます Public 接続 接続点 回線終端装置ラックを の置き場はあ VPCを使 契約 る? う? 利用開始 物理接続 VPC 接続
  90. 90. 物理接続1Gbpsおよび10Gbpsの接続口を提供接続口はアベイラビリティゾーンとは独立した別の場所• 東京リージョンの場合は、Equinix TY2 (東京都 品川区)DXSPを使わない場合には原則 TY2にラックを契約して、必要な機器を設置して接続する
  91. 91. Equinixへラックを設置する方法 WANの終端装置、VLAN対応スイッチをラック内に設置 TY2では構内配線エンド キャリア AWS WAN終端 装置 お客様 AWS ラック ラック 802.1q R 1G/10G R Equinix TY2
  92. 92. 論理接続1Gbpsおよび10Gbpsの接続の上にVLANを設定Publicサービス向け1. VLANを定義2. Public ASとPrefixをAWSに通知VPC向け VPCでのIPSecトン1. VLANを定義 ネルに代わりVLAN2. VPCを作成3. VPNゲートウェイIDをAWSに通知
  93. 93. 論理接続形態 EC2,S3な どのPublic サービス VLAN VLAN Equinix TY2 VLAN ラック AWSラック VPC (ZoneA)キャリア 10G R Rバックボーン 1G VPC (ZoneB)End user (多数) AWSの責任範囲 ネットワークプロバイダ コロケーション Public向け またはEUの責任範囲 プロバイダ VLAN の責任範囲 (構内配線のみ)
  94. 94. AWS Direct Connect Solution Provider利用者がやるべきことを肩代わり/お手伝い• Equinix• KVH• NRI (野村総合研究所)• NTT Communications• Softbank Telecom自由に通信回線をご用意いただけます
  1. ¿Le ha llamado la atención una diapositiva en particular?

    Recortar diapositivas es una manera útil de recopilar información importante para consultarla más tarde.

×