• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
 

VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-

on

  • 18,653 views

 

Statistics

Views

Total Views
18,653
Views on SlideShare
18,495
Embed Views
158

Actions

Likes
37
Downloads
624
Comments
0

10 Embeds 158

http://paper.li 65
http://debiancdn.wordpress.com 50
http://d.hatena.ne.jp 17
http://a0.twimg.com 10
https://twitter.com 8
http://webcache.googleusercontent.com 3
http://us-w1.rockmelt.com 2
http://www.techgig.com 1
https://si0.twimg.com 1
http://s.deeeki.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回- VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回- Presentation Transcript

    • AWSマイスターシリーズAWSマイスターシリーズ (VPC)~~Virtual Private Cloud (VPC)~ 2011年11月9日 荒木 靖宏 (@ar1 ) ソリューションアーキテクト 玉川憲(@kentamagawa) エバンジェリスト
    • ほぼ週刊AWSマイスターシリーズへようこそ!~GoToMeetingの使い方~ 参加者は、自動的にミュートになっています 質問を投げることができます! GoToMeetingのChatの仕組みを使って、随時書き込んでください ただし環境によっては、日本語の直接入力ができないので、 お手数ですが、テキストエディタ等に打ち込んでから、貼り付けててください 最後のQ&Aの時間で、できるだけ回答させて頂きます 書き込んだ質問は、主催者にしか見えません オーガナイザーが書きこんだ場合には参加者全員から見えます。 Twitterのハッシュタグは#jawsugでどうぞ Copyright © 2011 Amazon Web Services
    • 本日のベスト質問に対するプレゼントは!! AWS本、つめあわせ
    • セミナーWebセミナーほぼ週刊AWSマイスターシリーズ(全 回)ほぼ週刊 マイスターシリーズ(全10回) マイスターシリーズ(全 11/9 第7回 VPC 11/16 第8回 RDS 11/22 第9回 Beanstalk 11/30 第10回 EMR 12/7 第11回 SES申し込みサイト http://aws.amazon.com/jp/event_schedule/
    • アジェンダVPC概要VPCを理解するためのシナリオスタディAmazon DirectConnect
    • Amazon VPC利用の典型AWSクラウド上にプライベートクラウドを構築オンプレミスとのハイブリッドが簡単に実現 AWSが社内インフラの一部に見える 社内システム、ソフトウェアの移行がより容易に 例:業務システム、バッチ処理、ファイルサーバ2011年8月から全リージョンで利用可能に 6
    • お客様のインフラをAWS上に延長する リージョン EC2内に分離し VPN たサブネットを自 EC2 接続 由に作成 インターネットイントラ VPC ゲート ウェイ プライベート パブリック サブネット サブネット NAT
    • EC2 Dedicated Instance 通常のEC2 通常の 内で専用インスタンス VPC内で専用インスタンス 物理サーバー シングルテナント保証 クラウドのメリット確保 従量課金 顧客A 顧客B 顧客C 柔軟にスケールアップ Dedicated Instance 瞬時に調達 物理サーバー 規制に対応しなければいけ ないお客様のご要望に応え るサービス 顧客A 顧客B 顧客C
    • パケットの出入り管理インスタンス単位でもセキュリティグループで 更にIN/OUTコントロールネットワークレイヤでIN/OUTをコントロール
    • VPC with a Single Public Subnet EIPアドレスをパブリックインタフェースにア サイン 適用メリット 高いセキュリティの中でWebアプリを稼働さ せる プライベートIPを用いて、インスタンスをまと められる 10
    • VPC with Publicand Private Subnetsパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスはインターネットから直接アクセスできない適用メリット Webサーバーをパブリックサブネッ トを稼働し、プライベートサブネット 内のデータベースの読み書きを行 う 11
    • VPC with Public and Private Subnets and a VPN Connectionパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスにVPN経由でアクセス可能適用メリット VPCをインターネットに接続しつつ、 データセンターをクラウド上に拡張 12
    • VPC a PrivateSubnet and a VPNConnectionVPC登場時はこの形態のみだった全てのトラフィックは社内データセンターのファイヤウォール経由で行われる適用メリット データセンターをクラウドに拡張しても、中央 集権的管理を維持する 13
    • Amazon VPCをどう考えるか ネットワークを仮想化するもの ネットワークにまつわる多くの要望への答え IPアドレスの固定 サブネットを使った管理 14
    • アジェンダVPC概要VPCを理解するためのシナリオスタディAmazon DirectConnect
    • Stage 1VPCをつくってみる
    • VPCを定義する Region Virtual Private Cloudリージョンを選択するIPブロックを設定する 最大で16ビットDedicated Instanceにするかどうかを選択VPC全体のIPブロック 最大は16ビット
    • Stage 2パブリックサブネットの作成
    • Public Subnet Virtual Private Cloud VPC内にIPブロックを設定 する 最大で17ビットマスク サブネット内の始めの4IP アドレスはAWSが予約 サブネットはAvailabilty Zone (AZ)をまたがない VPC Subnet Availability Zone サブネットを作成
    • 注意点デフォルト サブネット内での通信のための経路のみ Network Access Control List (NACL)はフルオープン
    • Internet Gateway (IGW) の追加 Internet 内部のインスタンスのデフォル ト経路はIGWに向ける 経路はカスタマイズ可能 Internet Gateway VPC外部との通信はこのゲート ウェイを通過する VPC Subnet Virtual Private Cloud
    • セキュリティグループとインスタンス InternetセキュリティグループではInbound, Outboundのフィルタ設定を行う Statefulなフィルタ Internet GatewayインスタンスにはEIPを付与できる インスタンス Security GroupEC2との違い VPC Subnet EC2ではInboundのみ Virtual Private Cloud いつでも(稼働中でも)セキュリ ティグループとインスタンスの 組み合わせを変更できる
    • VPC内のインスタンスとEC2との違いDedicated Instanceを選択することができるt1.micro は使うことができないVPC/subnet選ぶIPを固定できる グローバルIPはEIPを使うといつでも付与、変更できる プライベートIPを指定して起動できる
    • InstanceTypeの選択 デフォルトではDedicated Instanceは選択されない。
    • インスタンス起動
    • プライベートIPアドレスを指定 プライベートアドレスを固定可能。 無指定時は勝手にアサイン
    • インスタンスの確認 パブリックアドレスなし プライベートアドレスを固定できる
    • EIPのひもづけ
    • EIPを確認
    • Stage 3Create a private subnet
    • Public subnet + Private subnet デフォルトはm1.small Internet Public subnet内に位置 インターネットとの通信が 必要ないなら不要 Internet Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance
    • Private Subnet Private Subnet間、Public Subnet間は自由に通信できる。 Private Subnet内からインターネットへ接続するときのみ 「NATインスタンス」が必要 Main route table subnetにRouteTableを紐づけない場合は、mainが適用
    • NATインスタンス プライベートサブネットから、インターネット接続するためのNAT プライベートサブネットから 実態はAmazonLinux (amazon/ami-vpc-nat-1.0.0-beta.i386- ebs) カスタマイズAMIも可能 手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに インスタンスサイズ指定可能 停止すると、プライベートサブネットからインターネット接続が不可 停止すると、プライベートサブネットからインターネット接続が不可 能になる 能になる S3、RDSなども使用不可になる3
    • NATインスタンスの起動
    • Security Group をNAT用に作成
    • Disable Source / Destination Checking on NAT 通常のインスタンスでは発信元か宛先のIPアドレスが自分の ときのみ処理をする。NATではこのチェックが邪魔になる。
    • EIPをNATインスタンスにつける
    • Private Subnetのルーティング更新
    • 0.0.0.0/0の追加し、NAT instance-IDへ向ける
    • Stage 4Connect a VPN
    • Public subnet + Private subnet + VPN GW Corporate = 172.16.0.0/16 Internet Gateway VPN Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance
    • ハードウェアVPNIPsec VPN BGP (Border gateway protocol) AES 128 bit の暗号化トンネルサポート対象 Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software Juniper J-Series routers running JunOS 9.5 (or later) software Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software Yamaha RTX1200 routers (Rev. 10.01.16+)
    • Phase1:IKEconfigまで 鍵ハッシュとしてSHA-1が使えるかどうか確認 共通鍵としてDH-2が使えるかどうか確認 AES 128ビット暗号が使えるかどうか確認 Mainモードが使えるかどうか確認 AggressiveモードはID情報交換を暗号化しないため、使わない
    • Phase2: IPsec config 暗号化方法がエンド同士で一致しているかどうか確認 IPsec dead peer connectionが機能するかどうか確認 ESPプロトコルの確認
    • Phase3: IPsecトンネル トンネルが設定される (オプション)最大MTUが1436バイトに設定される
    • Phase4: BGPピアリング カスタマLANとVPCサブネットをトンネルで接続 Private ASNをつかってPrimary/secondaryのフェイルオー バー
    • Stage 5Advanced
    • VPCの制限について数字の制限 ひとつのVPNゲートウェイあたり10までのIPSec接続 1リージョンあたり5つまでのVPNゲートウェイ機能の制限 ELB: VPC内部のインスタンスと組み合わせて使えない インターネットゲートウェイを使えばEC2,S3などほとんどの機 能は利用可 続々拡張中 http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind ex.html?WhatsNew.html
    • DHCPオプションの活用
    • マルチホーム(cloudhub)http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html?VPN_CloudHub.html
    • アジェンダVPC概要VPCを理解するためのシナリオスタディAmazon DirectConnect
    • AWS Direct Connect Amazonの設備に物理的に接続 コロケーションプロバイダのPOPにAmazonのポートを用意 広帯域と低料金を実現 Equinix Ashburn (us-east, バージニア) で8月利用開始 シリコンバレーも稼働済 2011年度中に拡大予定 東京、ロサンゼルス、ロンドン、シンガポール
    • 動作条件物理接続 – 1 Gbps or 10 Gbps port 冗長化のためには複数ポートを推奨 802.1q 物理接続毎に課金論理接続は二種類 To AWS Cloud (EC2, S3, RDS, etc.) • PublicなAS番号が必要 To a VPC • PrivateなAS番号を使用
    • 利用上の注意点Public IP transitを行いません 複数のカスタマ間のトラフィックを直接通信することはでき ません AWS以外との通信のためにインターネット接続は依然とし て必要です EC2インスタンスをProxyとして使うなどでは可能リージョン毎の契約です 東京につないで、シンガポールを使うようなことはできま せんマネージメントコンソールおよびAPIは準備中 55
    • 参考URL VPC Document http://aws.amazon.com/documentation/vpc/ DirectConnect Document http://aws.amazon.com/documentation/directconnect/ VPCの中でスポットインスタンスも使える http://aws.typepad.com/aws_japan/2011/10/launch- ec2-spot-instances-in-a-virtual-private-cloud.html
    • 参考URL VMimportを使って、既存VMイメージをVPCの中で立ち上げ る http://aws.typepad.com/aws_japan/2011/08/additional- vm-import-functionality-windows-2003-xenserver- hyper-v.html VPC内でも、リザーブドインスタンスが買える、Windows Server 2008 R2サポートとWindows with SQL Serverも http://aws.typepad.com/aws_japan/2011/08/amazon- vpc-far-more-than-everywhere.html
    • AWSプレミアムサポート アーキテクチャ設計に関するガイダンス、ベストプラク ティスも日本語でご案内できます aws.amazon.com/jp/premiumsupport/ ブロンズ シルバー ゴールド プラチナ初回応答時間 12時間 4時間 1時間 15分サポート連絡先 1人 2人 3人 無制限 対応24/365対応 なし なし あり あり 可能TEL可能 不可 不可 可能 可能専任スタッフ なし なし なし あり特別サポート なし なし なし あり AWS利用総額の AWS利用総額の $0~$10K: 10% AWS利用総額の 10%料金 $49 5% $10K~$80K: 7% $80K~: 5% (最低$15K) (最低$400) Copyright © 2011 Amazon Web Services
    • Q&ACopyright © 2011 Amazon Web Services
    • ご参加ありがとう ございました Copyright © 2011 Amazon Web Services