Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
© 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
2021/9/15
AWS IoT Coreを
オンプレミス環境と使う際の
アーキテクチャ例
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
© 2020, Amazon Web Services, Inc. or its Affilia...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アジェンダ
• AWS IoT CoreのVPCエンドポイントGAについて
• AWS IoT ...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS IoT Coreの
VPC エンドポイント
GAについて
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
• 2021年7⽉にGA
• https://aws.amazon.com/jp/about-a...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
新たにできる様になったこと
VPCエンドポイント経由のアクセスのみを許可するIoT Policy...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
制限事項
• IoT Dataエンドポイントのみに対応
• https://docs.aws.a...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
VPCエンドポイントを利⽤するアーキテクチャでは、
通常のパブリックエンドポイントを使う場合とで...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
IoT CoreのVPC エンドポイントの
登場によって、作れるようになった
アーキテクチャ
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アーキテクチャの種類
• 基本
• Network Load Balancer + Proxy
...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
基本
AWS IoT Core
IoT thing
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
考慮が必要な点
• パブリックなネットワークへの接続ができない要件では利⽤できない
ただし、可能...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Public subnet B
Public subnet A
Network Load Bal...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
考慮が必要な点
• どのプロキシを利⽤するか
• HTTP Proxy, Socks5, NGI...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
VPC エンドポイント
AWS IoT Core
VPC
Private subnet A Pr...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
考慮が必要な点
• IoT Dataエンドポイントのみに対応
• https://docs.aw...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Static IP
AWS IoT Core
VPC
Private subnet A Priv...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
考慮が必要な点
• VPCエンドポイントと同様の制限がある
• カスタムドメインの利⽤が必須
•...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Site-to-Site VPN + AWS Transit Gateway
AWS T...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
考慮が必要な点
• NAT Gatewayの制限を確認する必要あり
• https://docs...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Direct Connect(専有型) + AWS Transit Gateway
AW...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
考慮が必要な点
• Transit Gatewayを利⽤できるDirect Connectの種類...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アーキテクチャによって利⽤できるAWS IoT Coreの機能
利⽤したい機能 基本
VPC
エ...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
まとめ
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
まとめ
• AWS IoT Core VPCエンドポイントの登場で、スマートファクトリーの様な
...
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Thank you!
You’ve finished this document.
Download and read it offline.
Upcoming SlideShare
What to Upload to SlideShare
Next
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

0

Share

AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)

Download to read offline

毎月1度、AWS Startup Loft Tokyoで開催しているIoT@LoftのDeep Dive シリーズです。以下の内容をご紹介します。

• AWS IoT CoreのVPCエンドポイントGAについて
• AWS IoT CoreのVPCエンドポイントの登場によって
作れるようになったアーキテクチャ

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)

  1. 1. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 2021/9/15 AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例
  2. 2. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. ⾃⼰紹介 名前︓ 市川 純(いちかわ じゅん) 所属︓ アマゾン ウェブ サービス ジャパン株式会社 デジタルトランスフォーメーション本部 プロトタイピング ソリューション アーキテクト 担当︓ IoTに関係するプロトタイピングやお客様の⽀援
  3. 3. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アジェンダ • AWS IoT CoreのVPCエンドポイントGAについて • AWS IoT CoreのVPCエンドポイントの登場によって 作れるようになったアーキテクチャ • まとめ この内容は、2021年8月時点の情報がベースとなっております
  4. 4. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS IoT Coreの VPC エンドポイント GAについて
  5. 5. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. • 2021年7⽉にGA • https://aws.amazon.com/jp/about-aws/whats-new/2021/07/aws-iot-core-supports-vpc- endpoints/ • AWS PrivateLinkを利⽤してデータエンドポイントの利⽤が可能に • VPCから外部に出ずに直接AWS IoT Coreのエンドポイントが利⽤可能 • 閉域環境でAWS IoT Coreを利⽤したいユースケースの対応が楽に
  6. 6. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 新たにできる様になったこと VPCエンドポイント経由のアクセスのみを許可するIoT Policyが利⽤できる { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}" ], "Condition": { "StringEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] } https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#Control-VPC-access
  7. 7. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 制限事項 • IoT Dataエンドポイントのみに対応 • https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints • MQTTのkeep aliveは最⼤230secに制限されます • 通常は30sec – 1200sec • VPCエンドポイントごとに10万同時接続(hard limit)に対応します • 超える場合は⾃分でDNSレコードを登録し負荷分散させます • https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#Scaling-VPC-endpoints • IP v4のみに対応 • カスタムドメインを除き、Amazon Trust Servicesで発⾏された証明書を利⽤したエンドポイ ントのみ対応 • aws iot describe-endpoint --endpoint-type iot:Data-ATS で確認 • VPCエンドポイントポリシーに対応していない • VPC エンドポイントが利⽤できるAZの確認が必要 • aws ec2 describe-vpc-endpoint-services --service-names com.amazonaws.[region].iot.data • その他のAWS IoT Core VPC エンドポイントの制限を確認してください • https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations
  8. 8. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. VPCエンドポイントを利⽤するアーキテクチャでは、 通常のパブリックエンドポイントを使う場合とで、 複雑になり考慮するべきことが増えます どうしてもという要件がない限りは、 パブリックエンドポイントの利⽤を おすすめします
  9. 9. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoT CoreのVPC エンドポイントの 登場によって、作れるようになった アーキテクチャ
  10. 10. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アーキテクチャの種類 • 基本 • Network Load Balancer + Proxy • VPC Endpoint • Static IP • AWS Site-to-Site VPN + AWS Transit Gateway • AWS Direct Connect + AWS Transit Gateway IoT CoreのVPCエンドポイントを利用しないパターンについても紹介します
  11. 11. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 基本 AWS IoT Core IoT thing
  12. 12. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 考慮が必要な点 • パブリックなネットワークへの接続ができない要件では利⽤できない ただし、可能な限りこの構成をおすすめします
  13. 13. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Public subnet B Public subnet A Network Load Balancer + Proxy AWS IoT Core VPC Availability Zone 1 Availability Zone 2 Internet gateway Network Load Balancer IoT thing Elastic IP address Corporate data center EC2(Proxy) EC2(Proxy)
  14. 14. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 考慮が必要な点 • どのプロキシを利⽤するか • HTTP Proxy, Socks5, NGINX streaming proxy, etc • 接続可能なデバイス数は、Proxyインスタンスの性能に依存する • デバイスのアプリケーションがProxyに対応している必要がある • 構成要素が増えるため、検討事項や運⽤コストが増加する VPCエンドポイントの登場前によく利⽤されたパターンですが、今後はVPCエンド ポイントの利⽤を検討してください。
  15. 15. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. VPC エンドポイント AWS IoT Core VPC Private subnet A Private subnet B Availability Zone 1 Availability Zone 2 Customer gateway Corporate data center AWS Direct Connect VPC Endpoint VPC Endpoint Public subnet A Public subnet B IoT thing VPN connection
  16. 16. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 考慮が必要な点 • IoT Dataエンドポイントのみに対応 • https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints • MQTTのkeep aliveは最⼤230secに制限されます • 通常は30sec – 1200sec • VPCエンドポイントごとに10万同時接続(hard limit)に対応します • 超える場合は⾃分でDNSレコードを登録し負荷分散させます • https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#Scaling-VPC-endpoints • IP V4のみに対応 • カスタムドメインを除き、Amazon Trust Servicesで発⾏された証明書を利⽤したエンドポイ ントのみ対応 • aws iot describe-endpoint --endpoint-type iot:Data-ATS で確認 • VPCエンドポイントポリシーに対応していない • VPC エンドポイントが利⽤できるAZの確認が必要 • aws ec2 describe-vpc-endpoint-services --service-names com.amazonaws.[region].iot.data • その他のAWS IoT Core VPC エンドポイントの制限を確認してください • https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations • 構成要素が増えるため、検討事項や運⽤コストが増加する
  17. 17. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Static IP AWS IoT Core VPC Private subnet A Private subnet B Availability Zone 1 Availability Zone 2 Internet gateway VPC Endpoint VPC Endpoint Internet Network Load Balancer Public subnet A Public subnet B IoT thing Elastic IP address Firewall Corporate data center 注意: iot.example.comのように カスタムドメインを利⽤してアクセスする。 NLBのEIPをこのドメインのアドレスに指定 Amazon Route 53 特定のIPのみ許可 されているFW
  18. 18. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 考慮が必要な点 • VPCエンドポイントと同様の制限がある • カスタムドメインの利⽤が必須 • NLB⾃体にセキュリティーグループが設定できない • 固定のパブリックIPを利⽤するため、不正なリクエストでもAWS IoT Coreま での経路が課⾦対象となってしまう • AWS Shield Advancedの利⽤など検討 • https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html • 構成要素が増えるため、検討事項や運⽤コストが増加する
  19. 19. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Site-to-Site VPN + AWS Transit Gateway AWS Transit Gateway AWS Site-to-Site VPN AWS IoT Core Private subnet C Private subnet D Public subnet A Public subnet B VPC Private subnet A Private subnet B Availability Zone 1 Availability Zone 2 Internet gateway NAT gateway Customer gateway Corporate data center NAT gateway IoT thing
  20. 20. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 考慮が必要な点 • NAT Gatewayの制限を確認する必要あり • https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway- basics • MQTTのkeep aliveは最⼤350secに制限されます • NAT Gatewayの制限 • https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-troubleshooting.html#nat- gateway-troubleshooting-timeout • 構成要素が増えるため、検討事項や運⽤コストが増加する
  21. 21. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Direct Connect(専有型) + AWS Transit Gateway AWS Transit Gateway AWS IoT Core Private subnet C Private subnet D Public subnet A Public subnet B VPC Private subnet A Private subnet B Availability Zone 1 Availability Zone 2 Internet gateway Customer gateway Corporate data center AWS Direct Connect 注意: ”専有型”とは、「専有接続」および、「選ばれたAPNパートナーに限り提供し ているAWS の承認を受けた 1Gbps から 10Gbps の容量を提供するホスト型接続」 を指します https://aws.amazon.com/jp/blogs/news/aws-transit-gateway-with-shared- directconnect/ IoT thing NAT gateway NAT gateway
  22. 22. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 考慮が必要な点 • Transit Gatewayを利⽤できるDirect Connectの種類がある • Transit Gatewayの制限を確認する必要あり • https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/transit-gateway-quotas.html • NAT Gatewayの制限を確認する必要あり • https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-nat-gateway.html#nat- gateway-basics • MQTTのkeep aliveは最⼤350secに制限されます • NAT Gatewayの制限 • https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-troubleshooting.html#nat- gateway-troubleshooting-timeout • 構成要素が増えるため、検討事項や運⽤コストが増加する
  23. 23. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アーキテクチャによって利⽤できるAWS IoT Coreの機能 利⽤したい機能 基本 VPC エンドポイント Static IP Transit Gateway Proxy メッセージのPub/Sub OK OK OK OK OK device shadowの利⽤ OK OK OK OK OK Fleet Provisioningを使った証明書の発⾏ OK OK OK OK *2 Jobsの利⽤(MQTT topic経由) OK OK OK OK *2 Credential Providerの利⽤ OK NG NG OK *2 コントロールプレーン API エンドポイント OK NG NG OK *2 Jobデータプレーン API エンドポイント OK NG NG OK *2 Secure Tunneling API エンドポイント OK*1 NG NG OK*1 *2 *1: Secure Tunnelingでトンネルを開いての通信も可能 *2: Proxyの設定次第
  24. 24. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. まとめ
  25. 25. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. まとめ • AWS IoT Core VPCエンドポイントの登場で、スマートファクトリーの様な ユースケースでブロッカーとなった閉域環境でのアーキテクチャが作りやす くなった • 全てのIoTユースケースを解決してくれるものではない • ニーズに合わせて適切なアーキテクチャを検討し、性能を満たすかを確認す ること
  26. 26. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Thank you!

毎月1度、AWS Startup Loft Tokyoで開催しているIoT@LoftのDeep Dive シリーズです。以下の内容をご紹介します。 • AWS IoT CoreのVPCエンドポイントGAについて • AWS IoT CoreのVPCエンドポイントの登場によって 作れるようになったアーキテクチャ

Views

Total views

1,188

On Slideshare

0

From embeds

0

Number of embeds

493

Actions

Downloads

5

Shares

0

Comments

0

Likes

0

×