Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
【初⼼心者向けWebinar】
AWS上でのネットワーク構築
2015/01/08
アマゾン データ サービス ジャパン株式会社
ソリューションアーキテクト ⾈舟崎健治
アジェンダ
• Introduction
• AWSの関連サービスの概要紹介
• Amazon Virtual Private Cloud(VPC)の作成
• ネットワーク関連Tipsのご紹介
• オンプレミスとVPCの接続
• 最適なネットワ...
アジェンダ
• Introduction
• AWSの関連サービスの概要紹介
• Amazon Virtual Private Cloud(VPC)の作成
• ネットワーク関連Tipsのご紹介
• オンプレミスとVPCの接続
• 最適なネットワ...
Introduction
AWS上でインターネット
からアクセス可能なアプリ
ケーションを動作させたい。
AWS上で社内業務
アプリケーションを
動作させたい。
インターネットから
アクセスできる領領域
を制限したい。
社内とセキュアに
接続さ...
オンプレミス環境でのネットワークのイメージ
• AWS上でネットワークを構築する場合は、ユーザーが物
理理的なハードウェアの導⼊入・管理理を⾏行行う必要はありません。
オンプレミス環境で構築したシステムの例例
データセンター オフィス
管理理者
管理理者
踏み台
インターネットからアクセス
可能なパブリック領領域
インターネットから直接アクセス
できないプライベート領領域
エンド
ユーザ
LB
Web Web...
AWS上でもオンプレミス環境に類似した
⾃自社専⽤用の仮想ネットワークを構築可能
データセンター オフィス
管理理者
管理理者
踏み台
インターネットからアクセス
可能なPublic Subnet
インターネットから直接アクセス
できないPri...
AWS上の仮想ネットワークを利利⽤用するメリット
• AWSアカウント登録をしたらすぐに利利⽤用可能
• 簡単に⾃自社専⽤用の仮想ネットワークを構築可能
• 物理理的なデータセンターの利利⽤用契約やネットワーク機器
の配備は不不要
• インター...
本Webinarでは、AWS上で仮想ネットワークの活⽤用・
構築⽅方法や、オンプレミスとのVPN接続⽅方法について、
構成例例を交えて紹介いたします。
AWSシンプルアイコンを使って構成図を
作成しましょう
• プレゼンテーションや技術資料料に使⽤用可能なAWSサー
ビスやリソースのアイコンを⾃自由に利利⽤用可能
• AWSシンプルアイコンのダウンロード
– http://aws.amazon...
アジェンダ
• Introduction
• AWSの関連サービスの概要紹介
• Amazon Virtual Private Cloud(VPC)の作成
• ネットワーク関連Tipsのご紹介
• オンプレミスとVPCの接続
• 最適なネットワ...
AWSのグローバルインフラ
US West
(Northern
California)
US East
(Northern
Virginia)
EU
(Ireland)
Asia
Pacific
(Singapore)
Asia
Pacific...
アベイラビリティゾーン(AZ)
EU (Ireland)
Availability
Zone A
Availability
Zone C
Availability
Zone B
Asia Pacific (Tokyo)
Availability...
Amazon VPC(Virtual Private Cloud)
• クラウド内にPrivateネットワークを構築可能
• 企業イントラの延⻑⾧長/1拠点としてAWSを利利⽤用
• リージョン内でAZをまたがって構築可能
リージョン
VPC
...
VPC CIDRとSubnetについて
Subnet: 10.0.1.0/24
VPC 10.0.0.0/16
Web
Server
Web
Server
Subnet: 10.0.2.0/24
CIDR IP Address数
xxx.xxx...
Elastic Network Interfaces
• EC2インスタンスごとに仮想ネットワークインタフェースを複数持
てる機能
– VPC内でのみ利利⽤用可能
• 以下をENIに紐紐づけて維持可能
– Private IP
– Elasti...
Route Tableについて
• 各SubnetはRoute Tableを持っている。設定を変更更する
ことでデータの流流れを制御可能。
Public SubnetのRoute Table
Private SubnetのRoute Table...
VPC Peering
• 複数のVPCをPeeringする機能。
• これにより⼿手軽にVPC間を繋げて、Private IPで通信す
ることが可能になった。
• 同⼀一AWSアカウントのVPC間はもちろん、異異なるAWS
アカウントのVPC...
Amazon EC2(Elastic Compute Cloud)
1任意のゾーンに
分散配置可能
リージョン
アベイラビリティ
ゾーン A
EC2
アベイラビリティ
ゾーン B
EC2
EC2
• 数分で起動可能な仮想サーバ
• 1時間ごとの...
VPC Security Group
Security
Group
EC2
Instance
Port 22
(SSH)
Port 80
(HTTP)
• VPC環境ではトラフィック(Inbound)をブロックするだけでなく、
EC2からのトラ...
AWS SDK/CLI
EC2
起動、停⽌止
Management
Console (Web)
ユーザ名・
パスワード
AWS管理理者・
オペレータ
各⾔言語ごとの
SDK アクセスキー・
シークレットキー
AWS CLI
>
REST API...
AWSアカウント登録について
• Webフォーム上で数分程度度の登録作業をするだけで、すぐさまAWS
を利利⽤用可能
• AWSアカウント作成の流流れ
http://aws.amazon.com/jp/register-flow/
• AWSア...
AWSアカウント登録にあたってのTips
• 無料料利利⽤用枠をご利利⽤用可能
• クレジットカードは個⼈人⽤用・法⼈人⽤用いずれも利利⽤用可能
• 登録したメールアドレスやクレジットカードは、後から
でも変更更が可能
– 利利⽤用開始当初は個...
AWSマネージメントコンソールにログイン
• アカウント登録後にAWSのTopページへアクセス
http://aws.amazon.com/jp/
• 登録したメールアドレス、パスワードでログインする
ログインが成功すると以下のサービスの⼀一覧画⾯面が表⽰示
される
VPCのマネージメントコンソール画⾯面へアクセス
• 既に1つVPC(Default VPC)が作成されている。
Default VPCとは?
• 2013年年12⽉月4⽇日より後に作成さ
れたAWSアカウントで⾃自動的に
作成されているVPC
• VPCを別途作成しなくとも、
EC2インスタンスをDefault
VPC内に起動可能
• 各AZに1つずつD...
EC2インスタンスをDefault VPC内に起動する
Default VPC内に起動する場合は、明⽰示
Subnetを指定しなくても、Default Su
いずれかに起動させることが可能
明⽰示的にSubnet指定も可能
Default VP...
Default VPCを本番環境⽤用に使うべきか?
• Default VPCで他のVPC同様に設定変更更が可能
• ただし、以下の制限がある
– Default VPCを削除すると、ユーザー側で復復元は不不可。復復元する場合はAWSサ
ポート...
アジェンダ
• Introduction
• AWSの関連サービスの概要紹介
• Amazon Virtual Private Cloud(VPC)の作成
• ネットワーク関連Tipsのご紹介
• オンプレミスとVPCの接続
• 最適なネットワ...
VPCを作成する
Availability Zone
Availability Zone
Public
Subnet
Private
Subnet
Internet
gateway
Public
Subnet
Private
Subnet
複数...
VPCおよびSubnetを作成・設定する⼿手順の流流れについて
Step 1:VPCを作成する
Step 2: Subnetを作成する
Step 3:Internet Gatewayを作成、
VPCにアタッチする
Step 4: Route T...
VPCを作成する
VPCを作成する
Subnetの作成
• 同様にPrivate⽤用のSubnetや、別のAZにもPublicおよび
PrivateのSubnetを追加する。
Internet Gatewayの作成
Internet GatewayをVPCにアタッチする
Route Tableの作成
作成したRoute TableにInternet Gatewayへの
Routeを追加する
作成したRoute TableにInternet Gatewayへの
Routeを追加する
SubnetのRoute Tableを変更更する
SubnetとRoute Tableの関係について
• Subnetに対してRoute Tableを割り当てる形
VPC subnet1
VPC subnet2
VPC subnet3
Destination Target
10.0.0.0/1...
作成したVPCのPublic SubnetにEC2インスタンスを
起動
作成したPublic Subnetを選択
作成したVPCを選択。
⾃自動的にPublic IPが割り当たる設定
を有効にする。
Step 1:
AMI(Amazon Mac...
作成したVPCのPublic SubnetにEC2インスタンスを
起動
新しいセキュリティグ
ループを作成
Linuxの場合はSSH⽤用(22番)ポート、
Windowsの場合はRDP⽤用(3389番)ポー
トを許可する。
Step 1:
AM...
起動したEC2インスタンスにインターネット経由でSSH
ログインできることを確認する
Availability Zone
Availability Zone
Public subnet
Internet
gateway
管理理者
Private...
アジェンダ
• Introduction
• AWSの関連サービスの概要紹介
• Amazon Virtual Private Cloud(VPC)の作成
• ネットワーク関連Tipsのご紹介
• オンプレミスとVPCの接続
• 最適なネットワ...
EC2インスタンスのPublic IPアドレスの固定
• ⾃自動でPublic IPアドレスが割り当たる設定の場合、新規EC2
インスタンスを起動、あるいは既存の停⽌止状態のEC2インス
タンスを起動するたびにPublic IPアドレスは変わる...
Elastic IPの利利⽤用について
• Elastic IPを効率率率よくご使⽤用頂くために、以下の場合に少額の時間単位
課⾦金金が発⽣生する
– 起動中のEC2インスタンスに割り当てられていないElastic IPがある
– 停⽌止してい...
EC2インスタンスのPrivate IPアドレスの固定
• EC2インスタンス起動時にプライマリのネットワークインタ
フェース⽤用にPrivate IPアドレスを指定可能
• セカンダリのネットワークインタフェース⽤用のENIは、起動後
に動的...
ENIの利利⽤用について
• 1つのEC2インスタンスに複数個のENIを割り当て可能
• EC2のインスタンスタイプによって、割り当て可能な
ENIの数が異異なる。
– http://docs.aws.amazon.com/ja_jp/AWSE...
Subnet間の通信について
• デフォルトでは、同じVPC内のす
べてのSubnetは相互に通信可能
• SubnetごとのNetwork Access
Control(NACL)を使うことで、相
互の通信の制限が可能
Availabilit...
VPC Security Groupと
NACL(Network Access Control List)
Instanceレベル
でIn/Outのア
クセス制御
Subnetレベル
でIn/Outの
アクセス制御
踏み台⽤用サーバを経由して、Private Subnetへアクセ
スする構成
Virutal Private Cloud
管理理者
踏み台
Private Subnet
Public Subnet
Internet
gateway
Window...
Private SubnetにあるEC2インスタンスが外部へアウ
トバウンド通信するには
• NATインスタンスを追加・経由させることでアウトバウ
ント通信が可能
• 主な⽤用途
– DBインスタンスのパッチ適⽤用
– ログファイル等の外部保存...
NATインスタンスの追加・設定⽅方法
1. NAT⽤用のEC2インスタンスを
Public Subnetに起動
2. 起動したNAT⽤用のEC2インスタン
スのSrcDestCheck(送信元・送
信先チェック)を無効にする
– デフォルトでは...
アジェンダ
• Introduction
• AWSの関連サービスの概要紹介
• Amazon Virtual Private Cloud(VPC)の作成
• ネットワーク関連Tipsのご紹介
• オンプレミスとVPCの接続
• 最適なネットワ...
オンプレミスとVPCのサイト間接続
• VPCでは以下の2通りのサイト間接続が提供されている。
– IPSec VPN接続
– AWS Direct Connectを使った専⽤用線接続
• 別途EC2インスタンス上にVPNサーバソフトウェアを動...
オンプレミスとVPCのサイト間VPN接続について
• 右図は1台のCustomer Gatewayか
らVPCに接続する構成の例例
• 2本のVPN接続で冗⻑⾧長化する。
• Customer Gateway装置は動的ルー
ティングに対応したも...
オンプレミスとVPCのサイト間VPN接続⽅方法
Step 1: オンプレミス側にCustomer
Gateway装置を⽤用意する
Step 2: VPCマネージメントコンソー
ルにてVirtual Private Gateway
(VGW)を作...
Step 1: VPCとのVPN接続が可能なCustomer
Gatewayをオンプレミス側に⽤用意する
• 以下VPCとサイト間VPN接続が可能なCustomer Gateway装置(動的ルー
ティング対応)の例例
– Astaro Secu...
Step 2: Virtual Private Gateway(VGW)を作成、
VPCにアタッチする
Step 3: Customer Gatewayの登録
Step 4: VPN Connectionの作成
Step 5: Customer Gateway⽤用のConfigファイルを
ダウンロードして、Customer Gatewayにその設定を
ロードする
Step 6:VPN ConnectionのステータスがUPになるこ
とを確認する
Step 7: VPCSubnetのRoute Tableにて、VGWへの
Routingを設定する
• サイト間VPN接続の詳細な⼿手順は以下をご参照ください。
– http://adsj-contents.s3.amazonaws.com/...
オンプレミスとのサイト間VPN接続構成の例例
• 社内業務アプリケーションをAWS上で配置
virtual private cloud
VPC private subnet
業務
App
サーバ
社内LAN
virtual private
ga...
VPN接続の注意事項
• 動的ルーティングに対応していないCustomer
Gatewayを利利⽤用する場合には、プライマリのVPN接続
が切切れると⼿手動でセカンダリのVPN接続でルーティング
するように切切り替える必要がある。
– 動的ルー...
AWSとVPN接続した先のデータセンターで複数拠点と
接続例例(10拠点以上必要な場合の例例)
virtual private cloud corporate data center
virtual private
gateway
custom...
EC2インスタンス上でVPNサーバソフトウェアを稼働さ
せて、多数のVPNクライアントから接続する
virtual private cloud
VPC public subnet
VPNクライアント1
VPNクライアント2
VPNクライアント3...
VPCとオンプレミス間を専⽤用線で接続するには?
• AWS Direct Connectを活⽤用する
– 帯域スループット向上
– インターネットベースの接続よりも
⼀一貫性がある
• AWS Direct Connectの詳細
– http...
アジェンダ
• Introduction
• AWSの関連サービスの概要紹介
• Amazon Virtual Private Cloud(VPC)の作成
• ネットワーク関連Tipsのご紹介
• オンプレミスとVPCの接続
• 最適なネットワ...
PublicまたはPrivate、どちらのSubnetにEC2インス
タンスを配置すべきか?
• Public Subnet、Private Subnetのメリット・デメリット
を考慮して選定する。
• 外部からの脅威のみではなく、必要に応じて...
Public SubnetにEC2インスタンスを配置する場合に
ついて
• メリット
– インターネットと直接通信が可能
– Public Subnet内に起動するEC2インスタンスのセキュリティグループやNACLでイン
ターネットからのアクセ...
他のAWSのサービスとの連携
• AWSのAPI利利⽤用にはインターネット接続が必須。NATインスタンスを
経由したインターネット接続の場合には、NATの⾼高可⽤用性を検討する。
– EC2、ELB、RDS等はVPC内部で起動して、相互に通信が...
Private SubnetにEC2インスタンスを配置する場合に
ついて
• メリット
– インターネットから直接インバウンド通信ができないため、外部からの脅威のリス
クを軽減可能
• デメリット
– 外部へ直接アウトバウンド通信ができないため...
複数のお客様またはプロジェクト向けにネットワークを
構成するには?
• 以下の2パターンのメリット・デメリットを考慮の上でお客様の
環境に合う⽅方を選定する。
– お客様ごとにVPCを別途作成する場合
• VPC間はVPC Peering機能に...
アジェンダ
• Introduction
• AWSの関連サービスの概要紹介
• Amazon Virtual Private Cloud(VPC)の作成
• ネットワーク関連Tipsのご紹介
• オンプレミスとVPCの接続
• 最適なネットワ...
まとめ
• VPCを活⽤用することで、簡単にすぐにAWS上に⾃自社専⽤用の仮
想ネットワークを構築可能
• 複数のAZにまたがったネットワークを構築することで⾼高い可
⽤用性を維持可能
• IPアドレスの固定やRoutingの変更更など、細かく...
Q&A
参照リンク
• AWSアカウント作成の流流れ
– http://aws.amazon.com/jp/register-flow/
• AWS Blackbelt Amazon VPC
– http://www.slideshare.net/Am...
AWSをより深く理理解したい⽅方向けに
クラスルームトレーニングを提供しています。
詳細: aws.amazon.com/training 認定資格試験
公式Twitter/Facebook
AWSの最新情報をお届けします
@awscloud_jp
検索索
最新技術情報、イベント情報、お役⽴立立ち情報、お得なキャンペーン情報などを
⽇日々更更新しています!
もしくは
http://on.fb.m...
AWSの導⼊入、お問い合わせのご相談
• AWSクラウド導⼊入に関するご質問、お⾒見見積り、資料料請
求をご希望のお客様は、以下のリンクよりお気軽にご相
談ください。
https://aws.amazon.com/jp/contact-us/a...
Upcoming SlideShare
Loading in …5
×

初心者向けWebinar AWS上でのネットワーク構築

15,403 views

Published on

初心者向けWebinar
AWS上でのネットワーク構築

Published in: Technology
  • Be the first to comment

初心者向けWebinar AWS上でのネットワーク構築

  1. 1. 【初⼼心者向けWebinar】 AWS上でのネットワーク構築 2015/01/08 アマゾン データ サービス ジャパン株式会社 ソリューションアーキテクト ⾈舟崎健治
  2. 2. アジェンダ • Introduction • AWSの関連サービスの概要紹介 • Amazon Virtual Private Cloud(VPC)の作成 • ネットワーク関連Tipsのご紹介 • オンプレミスとVPCの接続 • 最適なネットワーク構成について • まとめ
  3. 3. アジェンダ • Introduction • AWSの関連サービスの概要紹介 • Amazon Virtual Private Cloud(VPC)の作成 • ネットワーク関連Tipsのご紹介 • オンプレミスとVPCの接続 • 最適なネットワーク構成について • まとめ
  4. 4. Introduction AWS上でインターネット からアクセス可能なアプリ ケーションを動作させたい。 AWS上で社内業務 アプリケーションを 動作させたい。 インターネットから アクセスできる領領域 を制限したい。 社内とセキュアに 接続させたい。
  5. 5. オンプレミス環境でのネットワークのイメージ • AWS上でネットワークを構築する場合は、ユーザーが物 理理的なハードウェアの導⼊入・管理理を⾏行行う必要はありません。
  6. 6. オンプレミス環境で構築したシステムの例例 データセンター オフィス 管理理者 管理理者 踏み台 インターネットからアクセス 可能なパブリック領領域 インターネットから直接アクセス できないプライベート領領域 エンド ユーザ LB Web Web VPN ルータ VPN ルータ オフィスからのVPN接続 踏み台サーバ経由で 各サーバへのリモートログイン
  7. 7. AWS上でもオンプレミス環境に類似した ⾃自社専⽤用の仮想ネットワークを構築可能 データセンター オフィス 管理理者 管理理者 踏み台 インターネットからアクセス 可能なPublic Subnet インターネットから直接アクセス できないPrivate Subnet エンド ユーザ LB Web Web VPN ルータ VPN ルータ オフィスからのVPN接続 踏み台サーバを経由で 各サーバへのリモートログイン
  8. 8. AWS上の仮想ネットワークを利利⽤用するメリット • AWSアカウント登録をしたらすぐに利利⽤用可能 • 簡単に⾃自社専⽤用の仮想ネットワークを構築可能 • 物理理的なデータセンターの利利⽤用契約やネットワーク機器 の配備は不不要 • インターネットからアクセスできない、社内ユーザのみ アクセス可能な仮想ネットワークの構築が可能 • 仮想ネットワークの構築⾃自体は無料料
  9. 9. 本Webinarでは、AWS上で仮想ネットワークの活⽤用・ 構築⽅方法や、オンプレミスとのVPN接続⽅方法について、 構成例例を交えて紹介いたします。
  10. 10. AWSシンプルアイコンを使って構成図を 作成しましょう • プレゼンテーションや技術資料料に使⽤用可能なAWSサー ビスやリソースのアイコンを⾃自由に利利⽤用可能 • AWSシンプルアイコンのダウンロード – http://aws.amazon.com/jp/architecture/icons/
  11. 11. アジェンダ • Introduction • AWSの関連サービスの概要紹介 • Amazon Virtual Private Cloud(VPC)の作成 • ネットワーク関連Tipsのご紹介 • オンプレミスとVPCの接続 • 最適なネットワーク構成について • まとめ
  12. 12. AWSのグローバルインフラ US West (Northern California) US East (Northern Virginia) EU (Ireland) Asia Pacific (Singapore) Asia Pacific (Tokyo) GovCloud (US ITAR Region) US West (Oregon) South America (Sao Paulo) AWS Regions AWS Edge Locations EU (Frankfurt) ※2015/01/08時点 詳細 http://aws.amazon.com/jp/about-aws/global-infrastructure/ Asia Pacific (Sydney) China (Beijing)
  13. 13. アベイラビリティゾーン(AZ) EU (Ireland) Availability Zone A Availability Zone C Availability Zone B Asia Pacific (Tokyo) Availability Zone A Availability Zone B US West (Oregon) Availability Zone A Availability Zone B US West(Northern California) Availability Zone A Availability Zone B Asia Pacific (Singapore) Availability Zone A Availability Zone B AWS GovCloud (US) Availability Zone A Availability Zone B South America (Sao Paulo) Availability Zone A Availability Zone B US East (Northern Virginia) Availability Zone D Availability Zone C Availability Zone B Availability Zone A EU (Frankfurt) Availability Zone A Availability Zone B
  14. 14. Amazon VPC(Virtual Private Cloud) • クラウド内にPrivateネットワークを構築可能 • 企業イントラの延⻑⾧長/1拠点としてAWSを利利⽤用 • リージョン内でAZをまたがって構築可能 リージョン VPC イントラ Private Subnet Public Subnet インターネット 分離離したNW 領領域を作成 ゲートウェイ VPN接続 専⽤用線
  15. 15. VPC CIDRとSubnetについて Subnet: 10.0.1.0/24 VPC 10.0.0.0/16 Web Server Web Server Subnet: 10.0.2.0/24 CIDR IP Address数 xxx.xxx.xxx.xxx/16 65,534 xxx.xxx.xxx.xxx/20 4,094 xxx.xxx.xxx.xxx/24 254 xxx.xxx.xxx.xxx/28 14 作成後は、VPCのサイズやアドレスブロックは変更更できないので注意!!
  16. 16. Elastic Network Interfaces • EC2インスタンスごとに仮想ネットワークインタフェースを複数持 てる機能 – VPC内でのみ利利⽤用可能 • 以下をENIに紐紐づけて維持可能 – Private IP – Elastic IP – MACアドレス – セキュリティグループ • インスタンスによって割り当て可能な数が異異なる。詳細は以下。 – http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html
  17. 17. Route Tableについて • 各SubnetはRoute Tableを持っている。設定を変更更する ことでデータの流流れを制御可能。 Public SubnetのRoute Table Private SubnetのRoute Table IGW(Internet Gateway)へ のルーティングがあるので、 インターネットへのアクセス が可能
  18. 18. VPC Peering • 複数のVPCをPeeringする機能。 • これにより⼿手軽にVPC間を繋げて、Private IPで通信す ることが可能になった。 • 同⼀一AWSアカウントのVPC間はもちろん、異異なるAWS アカウントのVPC間をPeeringすることも可能。 VPC-A -> VPC-B -> VPC-C といった2ホップ以上のRoutingは できないので要注意 →AとC間でRoutingするには、AとCでPeering接続する
  19. 19. Amazon EC2(Elastic Compute Cloud) 1任意のゾーンに 分散配置可能 リージョン アベイラビリティ ゾーン A EC2 アベイラビリティ ゾーン B EC2 EC2 • 数分で起動可能な仮想サーバ • 1時間ごとの従量量課⾦金金で利利⽤用可能 • スケールアップ/ダウン、アウト/イ ンが即座に可能 • Windows, Linuxなどx86アーキテク チャのOS利利⽤用可能 – Windowsライセンスも従量量課⾦金金 • OS以上はお客様の⾃自由 – お⼿手持ちのソフトをそのまま利利⽤用※EC2で起動した仮想サーバのことをEC2インス タンスと⾔言います。
  20. 20. VPC Security Group Security Group EC2 Instance Port 22 (SSH) Port 80 (HTTP) • VPC環境ではトラフィック(Inbound)をブロックするだけでなく、 EC2からのトラフィック(Outbound)を制限する事も可能 – ネットワークポートやアクセス元のIPで制限可能
  21. 21. AWS SDK/CLI EC2 起動、停⽌止 Management Console (Web) ユーザ名・ パスワード AWS管理理者・ オペレータ 各⾔言語ごとの SDK アクセスキー・ シークレットキー AWS CLI > REST API VPC 作成、削除、 変更更
  22. 22. AWSアカウント登録について • Webフォーム上で数分程度度の登録作業をするだけで、すぐさまAWS を利利⽤用可能 • AWSアカウント作成の流流れ http://aws.amazon.com/jp/register-flow/ • AWSアカウント作成⽅方法についての動画(⽇日本語字幕付き) http://aws.amazon.com/jp/getting-started/
  23. 23. AWSアカウント登録にあたってのTips • 無料料利利⽤用枠をご利利⽤用可能 • クレジットカードは個⼈人⽤用・法⼈人⽤用いずれも利利⽤用可能 • 登録したメールアドレスやクレジットカードは、後から でも変更更が可能 – 利利⽤用開始当初は個⼈人のクレジットカードで登録、毎⽉月経費精算 を⾏行行い、利利⽤用増加に伴い法⼈人⽤用のクレジットカードに切切り替え る、等
  24. 24. AWSマネージメントコンソールにログイン • アカウント登録後にAWSのTopページへアクセス http://aws.amazon.com/jp/ • 登録したメールアドレス、パスワードでログインする
  25. 25. ログインが成功すると以下のサービスの⼀一覧画⾯面が表⽰示 される
  26. 26. VPCのマネージメントコンソール画⾯面へアクセス • 既に1つVPC(Default VPC)が作成されている。
  27. 27. Default VPCとは? • 2013年年12⽉月4⽇日より後に作成さ れたAWSアカウントで⾃自動的に 作成されているVPC • VPCを別途作成しなくとも、 EC2インスタンスをDefault VPC内に起動可能 • 各AZに1つずつDefaultSubnetが作成されている。 • SubnetのプライベートIPアドレスは 172.31.0.0/20, 172.31.16.0/20で、Subnetご とに最⼤大4096個のIPアドレスを提供する • Default VPCのCIDRブロックは 172.31.0.0/16で、最⼤大65,556個 のIPアドレスを提供する
  28. 28. EC2インスタンスをDefault VPC内に起動する Default VPC内に起動する場合は、明⽰示 Subnetを指定しなくても、Default Su いずれかに起動させることが可能 明⽰示的にSubnet指定も可能 Default VPCが選択されている。 ⾃自動的にPublic IPが割り当たる設定 Step 1: AMI(Amazon Machine Image)の選択 Step 2: インスタンスタイプの選択 Step 3: 起動台数、ネットワークの選択 (重要) Step 4: ストレージの選択 Step 5: インスタンスへのタグ付け Step 6: セキュリティグループの設定 Step 7: 起動設定の確認 Step 8: 使⽤用するキーペアを作成または 選択して起動 EC2インスタンス 起動⼿手順
  29. 29. Default VPCを本番環境⽤用に使うべきか? • Default VPCで他のVPC同様に設定変更更が可能 • ただし、以下の制限がある – Default VPCを削除すると、ユーザー側で復復元は不不可。復復元する場合はAWSサ ポートにお問い合わせ頂く必要あり。 – CIDRブロックは172.31.0.0/16で固定のため、任意のCIDRブロックはDefault VPCでは利利⽤用不不可 • 上記制限を回避するため、別途⾃自⾝身で作成したVPCを使 ⽤用すると良良い。
  30. 30. アジェンダ • Introduction • AWSの関連サービスの概要紹介 • Amazon Virtual Private Cloud(VPC)の作成 • ネットワーク関連Tipsのご紹介 • オンプレミスとVPCの接続 • 最適なネットワーク構成について • まとめ
  31. 31. VPCを作成する Availability Zone Availability Zone Public Subnet Private Subnet Internet gateway Public Subnet Private Subnet 複数のAZをまたがる構成に することで⾼高可⽤用性を維持 できるようにする。 PublicおよびPrivateの Subnetを1つずつ作成
  32. 32. VPCおよびSubnetを作成・設定する⼿手順の流流れについて Step 1:VPCを作成する Step 2: Subnetを作成する Step 3:Internet Gatewayを作成、 VPCにアタッチする Step 4: Route Tableの作成、 Internet GatewayへのRouteを追加す る Step 5: SubnetのRoute Tableを変更更 する
  33. 33. VPCを作成する
  34. 34. VPCを作成する
  35. 35. Subnetの作成 • 同様にPrivate⽤用のSubnetや、別のAZにもPublicおよび PrivateのSubnetを追加する。
  36. 36. Internet Gatewayの作成
  37. 37. Internet GatewayをVPCにアタッチする
  38. 38. Route Tableの作成
  39. 39. 作成したRoute TableにInternet Gatewayへの Routeを追加する
  40. 40. 作成したRoute TableにInternet Gatewayへの Routeを追加する
  41. 41. SubnetのRoute Tableを変更更する
  42. 42. SubnetとRoute Tableの関係について • Subnetに対してRoute Tableを割り当てる形 VPC subnet1 VPC subnet2 VPC subnet3 Destination Target 10.0.0.0/16 local 0.0.0.0 Internet Gateway Destination Target 10.0.0.0/16 local Route Table A Route Table B
  43. 43. 作成したVPCのPublic SubnetにEC2インスタンスを 起動 作成したPublic Subnetを選択 作成したVPCを選択。 ⾃自動的にPublic IPが割り当たる設定 を有効にする。 Step 1: AMI(Amazon Machine Image)の選択 Step 2: インスタンスタイプの選択 Step 3: 起動台数、ネットワークの選択 (重要) Step 4: ストレージの選択 Step 5: インスタンスへのタグ付け Step 6: セキュリティグループの設定 Step 7: 起動設定の確認 Step 8: 使⽤用するキーペアを作成または 選択して起動
  44. 44. 作成したVPCのPublic SubnetにEC2インスタンスを 起動 新しいセキュリティグ ループを作成 Linuxの場合はSSH⽤用(22番)ポート、 Windowsの場合はRDP⽤用(3389番)ポー トを許可する。 Step 1: AMI(Amazon Machine Image)の選択 Step 2: インスタンスタイプの選択 Step 3: 起動台数、ネットワークの選択 (重要) Step 4: ストレージの選択 Step 5: インスタンスへのタグ付け Step 6: セキュリティグループの設定 Step 7: 起動設定の確認 Step 8: 使⽤用するキーペアを作成または 選択して起動 Sourceに0.0.0.0/0を指定することで、 どのIPからの接続も許可。EC2インス タンスとネットワークが導通していれ ば接続可能
  45. 45. 起動したEC2インスタンスにインターネット経由でSSH ログインできることを確認する Availability Zone Availability Zone Public subnet Internet gateway 管理理者 Private subnet Public subnet Private subnet
  46. 46. アジェンダ • Introduction • AWSの関連サービスの概要紹介 • Amazon Virtual Private Cloud(VPC)の作成 • ネットワーク関連Tipsのご紹介 • オンプレミスとVPCの接続 • 最適なネットワーク構成について • まとめ
  47. 47. EC2インスタンスのPublic IPアドレスの固定 • ⾃自動でPublic IPアドレスが割り当たる設定の場合、新規EC2 インスタンスを起動、あるいは既存の停⽌止状態のEC2インス タンスを起動するたびにPublic IPアドレスは変わる。 • Public IPアドレスを固定するには、Elastic IPを取得して EC2インスタンスに割り当てる ネットワーク アドレス変換 Internet Public IPアド レス →  Elastic IP PrivateIPアドレス
  48. 48. Elastic IPの利利⽤用について • Elastic IPを効率率率よくご使⽤用頂くために、以下の場合に少額の時間単位 課⾦金金が発⽣生する – 起動中のEC2インスタンスに割り当てられていないElastic IPがある – 停⽌止しているEC2インスタンスにElastic IPが割り当てられている – アタッチされていないネットワークインタフェースにElastic IPが割り当てられている – 1か⽉月間でElastic IPのリマップ(EC2インスタンスへの割り当てまたは取り外し)が100回を 超えた場合 • コストを最⼩小限に抑えるには、Elastic IPの利利⽤用を最⼩小限にすると良良い。 – 外部サイトとEC2インスタンスが接続するときに、外部サイト側でIPアドレスによるアクセス 制限がある場合、など – (ご参考)ELB経由でEC2インスタンスにアクセスさせる場合は、Elastic IPの割り当ては不不要 Elastic IPは不不要 ELBにアタッチするときには、 EC2のインスタンスIDを利利⽤用
  49. 49. EC2インスタンスのPrivate IPアドレスの固定 • EC2インスタンス起動時にプライマリのネットワークインタ フェース⽤用にPrivate IPアドレスを指定可能 • セカンダリのネットワークインタフェース⽤用のENIは、起動後 に動的に追加・取り外しが可能 ENI VPC subnet ENI VPC subnet • Private IP: 10.0.0.10 • Public IP: x.x.x.x (OS上ではeth0として⾒見見 える。) • Private IP: 10.0.1.10 • Public IP: x.x.x.x (OS上ではeth1として⾒見見える。) 10.0.0.0/24 10.0.1.0/24
  50. 50. ENIの利利⽤用について • 1つのEC2インスタンスに複数個のENIを割り当て可能 • EC2のインスタンスタイプによって、割り当て可能な ENIの数が異異なる。 – http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using- eni.html#AvailableIpPerENI • 主な利利⽤用例例 HA構成時のフェイルオーバー メール送信サーバ(SMTPリレー⽤用) ENI VPC subnet VPC subnet ENI ENI ENIの付け替え ENI VPC subnet ENI ENI ENI 異異なるIPから メール送信 ※ENIはAZをまたぐことはできないので要注意
  51. 51. Subnet間の通信について • デフォルトでは、同じVPC内のす べてのSubnetは相互に通信可能 • SubnetごとのNetwork Access Control(NACL)を使うことで、相 互の通信の制限が可能 Availability Zone Availability Zone Public subnet Internet gateway Private subnet router Public subnet Private subnet NACLの例例
  52. 52. VPC Security Groupと NACL(Network Access Control List) Instanceレベル でIn/Outのア クセス制御 Subnetレベル でIn/Outの アクセス制御
  53. 53. 踏み台⽤用サーバを経由して、Private Subnetへアクセ スする構成 Virutal Private Cloud 管理理者 踏み台 Private Subnet Public Subnet Internet gateway Windowsの場合は、Remote Desktop Gatewayを踏み台⽤用EC2インスタンス上で⽴立立て る構成が可能。踏み台経由でPrivate Subnetの EC2 WindowsインスタンスにRemote Desktop接続が可能
  54. 54. Private SubnetにあるEC2インスタンスが外部へアウ トバウンド通信するには • NATインスタンスを追加・経由させることでアウトバウ ント通信が可能 • 主な⽤用途 – DBインスタンスのパッチ適⽤用 – ログファイル等の外部保存 – 外部のAWS APIエンドポイントを利利⽤用する Public subnetInternet gateway Private subnet Destination Target 10.0.0.0/16 local 0.0.0.0 Internet Gateway Destination Target 10.0.0.0/16 local 0.0.0.0 i-xxxxx (NATインス タンスID) 別の拠点とVPNや専⽤用線で接続して、 その拠点先のInternet Gateway経由で アウトバウンド通信することも Routingの設定次第で可能
  55. 55. NATインスタンスの追加・設定⽅方法 1. NAT⽤用のEC2インスタンスを Public Subnetに起動 2. 起動したNAT⽤用のEC2インスタン スのSrcDestCheck(送信元・送 信先チェック)を無効にする – デフォルトでは有効になっており、トラ フィックの送信元・送信先がそのEC2インス タンスであるかどうかのチェックが⾏行行われて いる。 3. Private SubnetのRoute Tableに 以下の⾏行行を追加する EC2起動画⾯面にて、「amzn-ami-vpc- nat」で該当するAMIを選択して起動 Destination Target 0.0.0.0 i-xxxxx(NATインスタンスID)
  56. 56. アジェンダ • Introduction • AWSの関連サービスの概要紹介 • Amazon Virtual Private Cloud(VPC)の作成 • ネットワーク関連Tipsのご紹介 • オンプレミスとVPCの接続 • 最適なネットワーク構成について • まとめ
  57. 57. オンプレミスとVPCのサイト間接続 • VPCでは以下の2通りのサイト間接続が提供されている。 – IPSec VPN接続 – AWS Direct Connectを使った専⽤用線接続 • 別途EC2インスタンス上にVPNサーバソフトウェアを動 作させることで、VPN接続させる⽅方法も可能(後述)
  58. 58. オンプレミスとVPCのサイト間VPN接続について • 右図は1台のCustomer Gatewayか らVPCに接続する構成の例例 • 2本のVPN接続で冗⻑⾧長化する。 • Customer Gateway装置は動的ルー ティングに対応したものの利利⽤用を推 奨(BGPを利利⽤用) – BGPを使うことで、プライマリのVPN接続が万が ⼀一切切断された場合に、セカンダリのVPN接続側に Routingされるように⾃自動切切り替えが可能なため
  59. 59. オンプレミスとVPCのサイト間VPN接続⽅方法 Step 1: オンプレミス側にCustomer Gateway装置を⽤用意する Step 2: VPCマネージメントコンソー ルにてVirtual Private Gateway (VGW)を作成して、VPCにアタッチす る Step 3: VPCマネージメントコンソー ルにてCustomer Gatewayを登録 Step 4: VPC Connectionの作成 Step 7: SubnetのRoute Tableで、 VGWへのRoutingを設定する ※VPCは作成済みとする Step 5: Customer Gateway⽤用の Configファイルをダウンロードして ロードする。 Step 6: VPN Connectionのステータ スがUPになることを確認する
  60. 60. Step 1: VPCとのVPN接続が可能なCustomer Gatewayをオンプレミス側に⽤用意する • 以下VPCとサイト間VPN接続が可能なCustomer Gateway装置(動的ルー ティング対応)の例例 – Astaro Security Gateway バージョン8.3以降降 – Astaro Security Gateway Essential Firewall Edition バージョン8.3以降降 – Cisco ISR(IOS 12.4 以降降のソフトウェアを実⾏行行) – Dell Sonicwall – Fortinet Fortigate 40+ シリーズ(FortiOS 4.0 以降降のソフトウェアを実⾏行行) – Juniper J シリーズサービスルーター(JunOS 9.5 以降降のソフトウェアを実⾏行行) – Juniper SRX シリーズサービスゲートウェイ(JunOS 9.5 以降降のソフトウェアを実⾏行行) – ScreenOS 6.1 もしくは 6.2(またはそれ以降降)を実⾏行行する Juniper SSG – ScreenOS 6.1 もしくは 6.2(またはそれ以降降)を実⾏行行する Juniper ISG – Palo Alto Networks PA シリーズ(PANOS 4.1.2 以降降のソフトウェアを実⾏行行) – Vyatta Network OS 6.5 以降降のソフトウェア – ヤマハ RTX1200 ルーター • 詳細 – http://aws.amazon.com/jp/vpc/faqs/
  61. 61. Step 2: Virtual Private Gateway(VGW)を作成、 VPCにアタッチする
  62. 62. Step 3: Customer Gatewayの登録
  63. 63. Step 4: VPN Connectionの作成
  64. 64. Step 5: Customer Gateway⽤用のConfigファイルを ダウンロードして、Customer Gatewayにその設定を ロードする
  65. 65. Step 6:VPN ConnectionのステータスがUPになるこ とを確認する
  66. 66. Step 7: VPCSubnetのRoute Tableにて、VGWへの Routingを設定する • サイト間VPN接続の詳細な⼿手順は以下をご参照ください。 – http://adsj-contents.s3.amazonaws.com/misc/VPNConnectionInstruction- 20141225.pdf
  67. 67. オンプレミスとのサイト間VPN接続構成の例例 • 社内業務アプリケーションをAWS上で配置 virtual private cloud VPC private subnet 業務 App サーバ 社内LAN virtual private gateway customer gateway VPN connection users Internet Gatewayに Routingされない
  68. 68. VPN接続の注意事項 • 動的ルーティングに対応していないCustomer Gatewayを利利⽤用する場合には、プライマリのVPN接続 が切切れると⼿手動でセカンダリのVPN接続でルーティング するように切切り替える必要がある。 – 動的ルーティングに対応したCustomer Gatewayの利利⽤用を推奨(再掲) • 1つのVPCあたり、最⼤大10拠点までサイト間VPN接続が 可能 – 10拠点を超える場合は、以下の2パターンを検討 • AWSとVPN接続した先のデータセンターで複数拠点と接続 • EC2インスタンス上でVPNサーバソフトウェアを稼働させる
  69. 69. AWSとVPN接続した先のデータセンターで複数拠点と 接続例例(10拠点以上必要な場合の例例) virtual private cloud corporate data center virtual private gateway customer gateway VPN connection 拠点1 拠点2 拠点3 拠点N customer gateway ・ ・ ・
  70. 70. EC2インスタンス上でVPNサーバソフトウェアを稼働さ せて、多数のVPNクライアントから接続する virtual private cloud VPC public subnet VPNクライアント1 VPNクライアント2 VPNクライアント3 VPNクライアントN VPN サーバ ・ ・ ・ 拠点1 拠点2 拠点3 拠点N Vyattaを活⽤用するなど
  71. 71. VPCとオンプレミス間を専⽤用線で接続するには? • AWS Direct Connectを活⽤用する – 帯域スループット向上 – インターネットベースの接続よりも ⼀一貫性がある • AWS Direct Connectの詳細 – http://adsj-contents.s3.amazonaws.com/meister- re%3AGenerate/20130904_AWS-Meister-reGenerate-VPC-DXVPN.pdf
  72. 72. アジェンダ • Introduction • AWSの関連サービスの概要紹介 • Amazon Virtual Private Cloud(VPC)の作成 • ネットワーク関連Tipsのご紹介 • オンプレミスとVPCの接続 • 最適なネットワーク構成について • まとめ
  73. 73. PublicまたはPrivate、どちらのSubnetにEC2インス タンスを配置すべきか? • Public Subnet、Private Subnetのメリット・デメリット を考慮して選定する。 • 外部からの脅威のみではなく、必要に応じて外部のサービ スとの通信の可⽤用性についても考慮する。
  74. 74. Public SubnetにEC2インスタンスを配置する場合に ついて • メリット – インターネットと直接通信が可能 – Public Subnet内に起動するEC2インスタンスのセキュリティグループやNACLでイン ターネットからのアクセスを許可しない設定をすることで、外部からの直接のインバウ ンドアクセスを制限可能(NATインスタンスを経由させる必要はなし) • デメリット – セキュリティグループやNACLで外部からのアクセスを許可する場合は、必要に応じて外 部からの脅威に対するセキュリティ対策を検討する • 主な利利⽤用例例 – AWSのAPIエンドポイントとの通信。以下その例例 • S3へのログファイル保存 • DynamoDBとの通信 – その他外部のサービスとの連携
  75. 75. 他のAWSのサービスとの連携 • AWSのAPI利利⽤用にはインターネット接続が必須。NATインスタンスを 経由したインターネット接続の場合には、NATの⾼高可⽤用性を検討する。 – EC2、ELB、RDS等はVPC内部で起動して、相互に通信が可能(下記はその⼀一例例) virtual private cloud VPC subnet RDS DB instance RDS DB instance standby (Multi-AZ) EC2 instances Elastic Load Balancing ElastiCache node Amazon S3 Amazon DynamoDB Amazon Simple Queue Service Internet gateway
  76. 76. Private SubnetにEC2インスタンスを配置する場合に ついて • メリット – インターネットから直接インバウンド通信ができないため、外部からの脅威のリス クを軽減可能 • デメリット – 外部へ直接アウトバウンド通信ができないため、NATインスタンスを経由させるか、 VPN/専⽤用線接続した先のサイトのInternet Gatewayを経由させる必要がある。 • 主な利利⽤用例例 – Webサーバの配置 • LBのみPublic Subnetに配置する – DBサーバの配置
  77. 77. 複数のお客様またはプロジェクト向けにネットワークを 構成するには? • 以下の2パターンのメリット・デメリットを考慮の上でお客様の 環境に合う⽅方を選定する。 – お客様ごとにVPCを別途作成する場合 • VPC間はVPC Peering機能により接続は可能 – ただし、VPC-A -> VPC-B -> VPC-Cといった2ホップ以上のルーティングは不不可 • お客様ごとにAWSアカウントを分けることで、アクセス権限の管理理、使⽤用料料⾦金金の切切 り分けが容易易に実現可能 – ⼀一⽅方で、AWSサポートをご利利⽤用の場合は、AWSアカウントごとにAWSサポートの費⽤用がか かる。 – 1つのVPC内で混在させる場合 • Subnet間の通信はNACLおよびセキュリティグループで制限可能 • AWSリソースにタグ付けをすることで、タグごとに利利⽤用料料⾦金金を可視化可能 – ⼀一⽅方で、すべてのAWSリソースがタグ付けに対応していないため、すべての料料⾦金金の切切り分 けには未対応
  78. 78. アジェンダ • Introduction • AWSの関連サービスの概要紹介 • Amazon Virtual Private Cloud(VPC)の作成 • ネットワーク関連Tipsのご紹介 • オンプレミスとVPCの接続 • 最適なネットワーク構成について • まとめ
  79. 79. まとめ • VPCを活⽤用することで、簡単にすぐにAWS上に⾃自社専⽤用の仮 想ネットワークを構築可能 • 複数のAZにまたがったネットワークを構築することで⾼高い可 ⽤用性を維持可能 • IPアドレスの固定やRoutingの変更更など、細かくネットワー クの設定が可能 • オンプレミスとVPNまたは専⽤用線接続・Routingすることで、 社内のプライベートIPを使って通信が可能
  80. 80. Q&A
  81. 81. 参照リンク • AWSアカウント作成の流流れ – http://aws.amazon.com/jp/register-flow/ • AWS Blackbelt Amazon VPC – http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-amazon-vpc • Amazon VPC VPN接続設定 参考資料料 – http://adsj-contents.s3.amazonaws.com/misc/VPNConnectionInstruction-20141225.pdf • Amazon Virtual Private Cloudユーザーガイド – http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Introduction.html • AWSクラウド活⽤用資料料集 – http://aws.amazon.com/jp/aws-jp-introduction/ • 国内のお客様のAWS活⽤用事例例 – http://aws.amazon.com/jp/solutions/case-studies-jp/
  82. 82. AWSをより深く理理解したい⽅方向けに クラスルームトレーニングを提供しています。 詳細: aws.amazon.com/training 認定資格試験
  83. 83. 公式Twitter/Facebook AWSの最新情報をお届けします @awscloud_jp 検索索 最新技術情報、イベント情報、お役⽴立立ち情報、お得なキャンペーン情報などを ⽇日々更更新しています! もしくは http://on.fb.me/1vR8yWm
  84. 84. AWSの導⼊入、お問い合わせのご相談 • AWSクラウド導⼊入に関するご質問、お⾒見見積り、資料料請 求をご希望のお客様は、以下のリンクよりお気軽にご相 談ください。 https://aws.amazon.com/jp/contact-us/aws-sales/

×