VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-

AWSマイスターシリーズAWSマイスターシリーズ (VPC)～～Virtual Private Cloud (VPC)～ 2011年11月9日荒木靖宏 (@ar1 ) ソリューションアーキテクト玉川憲(@kentamagawa) エバンジェリスト

ほぼ週刊AWSマイスターシリーズへようこそ！~GoToMeetingの使い方～参加者は、自動的にミュートになっています質問を投げることができます！ GoToMeetingのChatの仕組みを使って、随時書き込んでくださいただし環境によっては、日本語の直接入力ができないので、お手数ですが、テキストエディタ等に打ち込んでから、貼り付けててください最後のＱ＆Ａの時間で、できるだけ回答させて頂きます書き込んだ質問は、主催者にしか見えませんオーガナイザーが書きこんだ場合には参加者全員から見えます。 Twitterのハッシュタグは#jawsugでどうぞ Copyright © 2011 Amazon Web Services

本日のベスト質問に対するプレゼントは！！ AWS本、つめあわせ

セミナーWebセミナーほぼ週刊AWSマイスターシリーズ（全回）ほぼ週刊マイスターシリーズ（全10回）マイスターシリーズ（全 11/9 第7回 VPC 11/16 第8回 RDS 11/22 第9回 Beanstalk 11/30 第10回 EMR 12/7 第11回 SES申し込みサイト http://aws.amazon.com/jp/event_schedule/

アジェンダVPC概要VPCを理解するためのシナリオスタディAmazon DirectConnect

Amazon VPC利用の典型AWSクラウド上にプライベートクラウドを構築オンプレミスとのハイブリッドが簡単に実現 AWSが社内インフラの一部に見える社内システム、ソフトウェアの移行がより容易に例：業務システム、バッチ処理、ファイルサーバ2011年8月から全リージョンで利用可能に 6

お客様のインフラをAWS上に延長するリージョン EC2内に分離し VPN たサブネットを自 EC2 接続由に作成インターネットイントラ VPC ゲートウェイプライベートパブリックサブネットサブネット NAT

EC2 Dedicated Instance 通常のEC2 通常の内で専用インスタンス VPC内で専用インスタンス物理サーバーシングルテナント保証クラウドのメリット確保従量課金顧客A 顧客B 顧客C 柔軟にスケールアップ Dedicated Instance 瞬時に調達物理サーバー規制に対応しなければいけないお客様のご要望に応えるサービス顧客A 顧客B 顧客C

パケットの出入り管理インスタンス単位でもセキュリティグループで更にIN/OUTコントロールネットワークレイヤでIN/OUTをコントロール

VPC with a Single Public Subnet EIPアドレスをパブリックインタフェースにアサイン適用メリット高いセキュリティの中でWebアプリを稼働させるプライベートIPを用いて、インスタンスをまとめられる 10

VPC with Publicand Private Subnetsパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスはインターネットから直接アクセスできない適用メリット Webサーバーをパブリックサブネットを稼働し、プライベートサブネット内のデータベースの読み書きを行う 11

VPC with Public and Private Subnets and a VPN Connectionパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスにVPN経由でアクセス可能適用メリット VPCをインターネットに接続しつつ、データセンターをクラウド上に拡張 12

VPC a PrivateSubnet and a VPNConnectionVPC登場時はこの形態のみだった全てのトラフィックは社内データセンターのファイヤウォール経由で行われる適用メリットデータセンターをクラウドに拡張しても、中央集権的管理を維持する 13

Amazon VPCをどう考えるかネットワークを仮想化するものネットワークにまつわる多くの要望への答え IPアドレスの固定サブネットを使った管理 14

Stage 1VPCをつくってみる

VPCを定義する Region Virtual Private Cloudリージョンを選択するIPブロックを設定する最大で16ビットDedicated Instanceにするかどうかを選択VPC全体のIPブロック最大は16ビット

Stage 2パブリックサブネットの作成

Public Subnet Virtual Private Cloud VPC内にIPブロックを設定する最大で17ビットマスクサブネット内の始めの4IP アドレスはAWSが予約サブネットはAvailabilty Zone (AZ)をまたがない VPC Subnet Availability Zone サブネットを作成

注意点デフォルトサブネット内での通信のための経路のみ Network Access Control List (NACL)はフルオープン

Internet Gateway (IGW) の追加 Internet 内部のインスタンスのデフォルト経路はIGWに向ける経路はカスタマイズ可能 Internet Gateway VPC外部との通信はこのゲートウェイを通過する VPC Subnet Virtual Private Cloud

セキュリティグループとインスタンス InternetセキュリティグループではInbound, Outboundのフィルタ設定を行う Statefulなフィルタ Internet GatewayインスタンスにはEIPを付与できるインスタンス Security GroupEC2との違い VPC Subnet EC2ではInboundのみ Virtual Private Cloud いつでも(稼働中でも)セキュリティグループとインスタンスの組み合わせを変更できる

VPC内のインスタンスとEC2との違いDedicated Instanceを選択することができるt1.micro は使うことができないVPC/subnet選ぶIPを固定できるグローバルIPはEIPを使うといつでも付与、変更できるプライベートIPを指定して起動できる

InstanceTypeの選択デフォルトではDedicated Instanceは選択されない。

インスタンス起動

プライベートIPアドレスを指定プライベートアドレスを固定可能。無指定時は勝手にアサイン

インスタンスの確認パブリックアドレスなしプライベートアドレスを固定できる

EIPのひもづけ

EIPを確認

Stage 3Create a private subnet

Public subnet + Private subnet デフォルトはm1.small Internet Public subnet内に位置インターネットとの通信が必要ないなら不要 Internet Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance

Private Subnet Private Subnet間、Public Subnet間は自由に通信できる。 Private Subnet内からインターネットへ接続するときのみ「NATインスタンス」が必要 Main route table subnetにRouteTableを紐づけない場合は、mainが適用

ＮＡＴインスタンスプライベートサブネットから、インターネット接続するためのＮＡＴプライベートサブネットから実態はAmazonLinux (amazon/ami-vpc-nat-1.0.0-beta.i386- ebs) カスタマイズAMIも可能手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFにインスタンスサイズ指定可能停止すると、プライベートサブネットからインターネット接続が不可停止すると、プライベートサブネットからインターネット接続が不可能になる能になる S3、RDSなども使用不可になる3

NATインスタンスの起動

Security Group をNAT用に作成

Disable Source / Destination Checking on NAT 通常のインスタンスでは発信元か宛先のIPアドレスが自分のときのみ処理をする。NATではこのチェックが邪魔になる。

EIPをNATインスタンスにつける

Private Subnetのルーティング更新

0.0.0.0/0の追加し、NAT instance-IDへ向ける

Stage 4Connect a VPN

Public subnet + Private subnet + VPN GW Corporate = 172.16.0.0/16 Internet Gateway VPN Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance

ハードウェアVPNIPsec VPN BGP (Border gateway protocol) AES 128 bit の暗号化トンネルサポート対象 Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software Juniper J-Series routers running JunOS 9.5 (or later) software Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software Yamaha RTX1200 routers (Rev. 10.01.16+)

Phase1:IKEconfigまで鍵ハッシュとしてSHA-1が使えるかどうか確認共通鍵としてDH-2が使えるかどうか確認 AES 128ビット暗号が使えるかどうか確認 Mainモードが使えるかどうか確認 AggressiveモードはID情報交換を暗号化しないため、使わない

Phase2: IPsec config 暗号化方法がエンド同士で一致しているかどうか確認 IPsec dead peer connectionが機能するかどうか確認 ESPプロトコルの確認

Phase3: IPsecトンネルトンネルが設定される（オプション）最大MTUが1436バイトに設定される

Phase4: BGPピアリングカスタマLANとVPCサブネットをトンネルで接続 Private ASNをつかってPrimary/secondaryのフェイルオーバー

Stage 5Advanced

VPCの制限について数字の制限ひとつのVPNゲートウェイあたり10までのIPSec接続 1リージョンあたり5つまでのVPNゲートウェイ機能の制限 ELB: VPC内部のインスタンスと組み合わせて使えないインターネットゲートウェイを使えばEC2,S3などほとんどの機能は利用可続々拡張中 http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind ex.html?WhatsNew.html

DHCPオプションの活用

マルチホーム(cloudhub)http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html?VPN_CloudHub.html

AWS Direct Connect Amazonの設備に物理的に接続コロケーションプロバイダのPOPにAmazonのポートを用意広帯域と低料金を実現 Equinix Ashburn (us-east, バージニア) で8月利用開始シリコンバレーも稼働済 2011年度中に拡大予定東京、ロサンゼルス、ロンドン、シンガポール

動作条件物理接続 – 1 Gbps or 10 Gbps port 冗長化のためには複数ポートを推奨 802.1q 物理接続毎に課金論理接続は二種類 To AWS Cloud (EC2, S3, RDS, etc.) • PublicなAS番号が必要 To a VPC • PrivateなAS番号を使用

利用上の注意点Public IP transitを行いません複数のカスタマ間のトラフィックを直接通信することはできません AWS以外との通信のためにインターネット接続は依然として必要です EC2インスタンスをProxyとして使うなどでは可能リージョン毎の契約です東京につないで、シンガポールを使うようなことはできませんマネージメントコンソールおよびAPIは準備中 55

参考URL VPC Document http://aws.amazon.com/documentation/vpc/ DirectConnect Document http://aws.amazon.com/documentation/directconnect/ VPCの中でスポットインスタンスも使える http://aws.typepad.com/aws_japan/2011/10/launch- ec2-spot-instances-in-a-virtual-private-cloud.html

参考URL VMimportを使って、既存VMイメージをVPCの中で立ち上げる http://aws.typepad.com/aws_japan/2011/08/additional- vm-import-functionality-windows-2003-xenserver- hyper-v.html VPC内でも、リザーブドインスタンスが買える、Windows Server 2008 R2サポートとWindows with SQL Serverも http://aws.typepad.com/aws_japan/2011/08/amazonvpc-far-more-than-everywhere.html

AWSプレミアムサポートアーキテクチャ設計に関するガイダンス、ベストプラクティスも日本語でご案内できます aws.amazon.com/jp/premiumsupport/ ブロンズシルバーゴールドプラチナ初回応答時間１２時間４時間１時間１５分サポート連絡先１人２人３人無制限対応24/365対応なしなしありあり可能TEL可能不可不可可能可能専任スタッフなしなしなしあり特別サポートなしなしなしあり AWS利用総額の AWS利用総額の $0~$10K: 10% AWS利用総額の 10%料金 $49 5% $10K~$80K: 7% $80K~: 5% （最低$15K）（最低$400） Copyright © 2011 Amazon Web Services

http://paper.li	65
http://debiancdn.wordpress.com	27
http://a0.twimg.com	10
http://us-w1.rockmelt.com	2

VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-

by 玉川憲 (Ken Tamagawa) - Amazon Web Services on Nov 09, 2011

Accessibility

Tags

Upload Details

Usage Rights

4 Embeds 104

Statistics

VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回- — Presentation Transcript