VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-

22,728 views

Published on

0 Comments
41 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
22,728
On SlideShare
0
From Embeds
0
Number of Embeds
224
Actions
Shares
0
Downloads
670
Comments
0
Likes
41
Embeds 0
No embeds

No notes for slide

VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-

  1. 1. AWSマイスターシリーズAWSマイスターシリーズ (VPC)~~Virtual Private Cloud (VPC)~ 2011年11月9日 荒木 靖宏 (@ar1 ) ソリューションアーキテクト 玉川憲(@kentamagawa) エバンジェリスト
  2. 2. ほぼ週刊AWSマイスターシリーズへようこそ!~GoToMeetingの使い方~ 参加者は、自動的にミュートになっています 質問を投げることができます! GoToMeetingのChatの仕組みを使って、随時書き込んでください ただし環境によっては、日本語の直接入力ができないので、 お手数ですが、テキストエディタ等に打ち込んでから、貼り付けててください 最後のQ&Aの時間で、できるだけ回答させて頂きます 書き込んだ質問は、主催者にしか見えません オーガナイザーが書きこんだ場合には参加者全員から見えます。 Twitterのハッシュタグは#jawsugでどうぞ Copyright © 2011 Amazon Web Services
  3. 3. 本日のベスト質問に対するプレゼントは!! AWS本、つめあわせ
  4. 4. セミナーWebセミナーほぼ週刊AWSマイスターシリーズ(全 回)ほぼ週刊 マイスターシリーズ(全10回) マイスターシリーズ(全 11/9 第7回 VPC 11/16 第8回 RDS 11/22 第9回 Beanstalk 11/30 第10回 EMR 12/7 第11回 SES申し込みサイト http://aws.amazon.com/jp/event_schedule/
  5. 5. アジェンダVPC概要VPCを理解するためのシナリオスタディAmazon DirectConnect
  6. 6. Amazon VPC利用の典型AWSクラウド上にプライベートクラウドを構築オンプレミスとのハイブリッドが簡単に実現 AWSが社内インフラの一部に見える 社内システム、ソフトウェアの移行がより容易に 例:業務システム、バッチ処理、ファイルサーバ2011年8月から全リージョンで利用可能に 6
  7. 7. お客様のインフラをAWS上に延長する リージョン EC2内に分離し VPN たサブネットを自 EC2 接続 由に作成 インターネットイントラ VPC ゲート ウェイ プライベート パブリック サブネット サブネット NAT
  8. 8. EC2 Dedicated Instance 通常のEC2 通常の 内で専用インスタンス VPC内で専用インスタンス 物理サーバー シングルテナント保証 クラウドのメリット確保 従量課金 顧客A 顧客B 顧客C 柔軟にスケールアップ Dedicated Instance 瞬時に調達 物理サーバー 規制に対応しなければいけ ないお客様のご要望に応え るサービス 顧客A 顧客B 顧客C
  9. 9. パケットの出入り管理インスタンス単位でもセキュリティグループで 更にIN/OUTコントロールネットワークレイヤでIN/OUTをコントロール
  10. 10. VPC with a Single Public Subnet EIPアドレスをパブリックインタフェースにア サイン 適用メリット 高いセキュリティの中でWebアプリを稼働さ せる プライベートIPを用いて、インスタンスをまと められる 10
  11. 11. VPC with Publicand Private Subnetsパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスはインターネットから直接アクセスできない適用メリット Webサーバーをパブリックサブネッ トを稼働し、プライベートサブネット 内のデータベースの読み書きを行 う 11
  12. 12. VPC with Public and Private Subnets and a VPN Connectionパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスにVPN経由でアクセス可能適用メリット VPCをインターネットに接続しつつ、 データセンターをクラウド上に拡張 12
  13. 13. VPC a PrivateSubnet and a VPNConnectionVPC登場時はこの形態のみだった全てのトラフィックは社内データセンターのファイヤウォール経由で行われる適用メリット データセンターをクラウドに拡張しても、中央 集権的管理を維持する 13
  14. 14. Amazon VPCをどう考えるか ネットワークを仮想化するもの ネットワークにまつわる多くの要望への答え IPアドレスの固定 サブネットを使った管理 14
  15. 15. アジェンダVPC概要VPCを理解するためのシナリオスタディAmazon DirectConnect
  16. 16. Stage 1VPCをつくってみる
  17. 17. VPCを定義する Region Virtual Private Cloudリージョンを選択するIPブロックを設定する 最大で16ビットDedicated Instanceにするかどうかを選択VPC全体のIPブロック 最大は16ビット
  18. 18. Stage 2パブリックサブネットの作成
  19. 19. Public Subnet Virtual Private Cloud VPC内にIPブロックを設定 する 最大で17ビットマスク サブネット内の始めの4IP アドレスはAWSが予約 サブネットはAvailabilty Zone (AZ)をまたがない VPC Subnet Availability Zone サブネットを作成
  20. 20. 注意点デフォルト サブネット内での通信のための経路のみ Network Access Control List (NACL)はフルオープン
  21. 21. Internet Gateway (IGW) の追加 Internet 内部のインスタンスのデフォル ト経路はIGWに向ける 経路はカスタマイズ可能 Internet Gateway VPC外部との通信はこのゲート ウェイを通過する VPC Subnet Virtual Private Cloud
  22. 22. セキュリティグループとインスタンス InternetセキュリティグループではInbound, Outboundのフィルタ設定を行う Statefulなフィルタ Internet GatewayインスタンスにはEIPを付与できる インスタンス Security GroupEC2との違い VPC Subnet EC2ではInboundのみ Virtual Private Cloud いつでも(稼働中でも)セキュリ ティグループとインスタンスの 組み合わせを変更できる
  23. 23. VPC内のインスタンスとEC2との違いDedicated Instanceを選択することができるt1.micro は使うことができないVPC/subnet選ぶIPを固定できる グローバルIPはEIPを使うといつでも付与、変更できる プライベートIPを指定して起動できる
  24. 24. InstanceTypeの選択 デフォルトではDedicated Instanceは選択されない。
  25. 25. インスタンス起動
  26. 26. プライベートIPアドレスを指定 プライベートアドレスを固定可能。 無指定時は勝手にアサイン
  27. 27. インスタンスの確認 パブリックアドレスなし プライベートアドレスを固定できる
  28. 28. EIPのひもづけ
  29. 29. EIPを確認
  30. 30. Stage 3Create a private subnet
  31. 31. Public subnet + Private subnet デフォルトはm1.small Internet Public subnet内に位置 インターネットとの通信が 必要ないなら不要 Internet Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance
  32. 32. Private Subnet Private Subnet間、Public Subnet間は自由に通信できる。 Private Subnet内からインターネットへ接続するときのみ 「NATインスタンス」が必要 Main route table subnetにRouteTableを紐づけない場合は、mainが適用
  33. 33. NATインスタンス プライベートサブネットから、インターネット接続するためのNAT プライベートサブネットから 実態はAmazonLinux (amazon/ami-vpc-nat-1.0.0-beta.i386- ebs) カスタマイズAMIも可能 手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに インスタンスサイズ指定可能 停止すると、プライベートサブネットからインターネット接続が不可 停止すると、プライベートサブネットからインターネット接続が不可 能になる 能になる S3、RDSなども使用不可になる3
  34. 34. NATインスタンスの起動
  35. 35. Security Group をNAT用に作成
  36. 36. Disable Source / Destination Checking on NAT 通常のインスタンスでは発信元か宛先のIPアドレスが自分の ときのみ処理をする。NATではこのチェックが邪魔になる。
  37. 37. EIPをNATインスタンスにつける
  38. 38. Private Subnetのルーティング更新
  39. 39. 0.0.0.0/0の追加し、NAT instance-IDへ向ける
  40. 40. Stage 4Connect a VPN
  41. 41. Public subnet + Private subnet + VPN GW Corporate = 172.16.0.0/16 Internet Gateway VPN Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance
  42. 42. ハードウェアVPNIPsec VPN BGP (Border gateway protocol) AES 128 bit の暗号化トンネルサポート対象 Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software Juniper J-Series routers running JunOS 9.5 (or later) software Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software Yamaha RTX1200 routers (Rev. 10.01.16+)
  43. 43. Phase1:IKEconfigまで 鍵ハッシュとしてSHA-1が使えるかどうか確認 共通鍵としてDH-2が使えるかどうか確認 AES 128ビット暗号が使えるかどうか確認 Mainモードが使えるかどうか確認 AggressiveモードはID情報交換を暗号化しないため、使わない
  44. 44. Phase2: IPsec config 暗号化方法がエンド同士で一致しているかどうか確認 IPsec dead peer connectionが機能するかどうか確認 ESPプロトコルの確認
  45. 45. Phase3: IPsecトンネル トンネルが設定される (オプション)最大MTUが1436バイトに設定される
  46. 46. Phase4: BGPピアリング カスタマLANとVPCサブネットをトンネルで接続 Private ASNをつかってPrimary/secondaryのフェイルオー バー
  47. 47. Stage 5Advanced
  48. 48. VPCの制限について数字の制限 ひとつのVPNゲートウェイあたり10までのIPSec接続 1リージョンあたり5つまでのVPNゲートウェイ機能の制限 ELB: VPC内部のインスタンスと組み合わせて使えない インターネットゲートウェイを使えばEC2,S3などほとんどの機 能は利用可 続々拡張中 http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind ex.html?WhatsNew.html
  49. 49. DHCPオプションの活用
  50. 50. マルチホーム(cloudhub)http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html?VPN_CloudHub.html
  51. 51. アジェンダVPC概要VPCを理解するためのシナリオスタディAmazon DirectConnect
  52. 52. AWS Direct Connect Amazonの設備に物理的に接続 コロケーションプロバイダのPOPにAmazonのポートを用意 広帯域と低料金を実現 Equinix Ashburn (us-east, バージニア) で8月利用開始 シリコンバレーも稼働済 2011年度中に拡大予定 東京、ロサンゼルス、ロンドン、シンガポール
  53. 53. 動作条件物理接続 – 1 Gbps or 10 Gbps port 冗長化のためには複数ポートを推奨 802.1q 物理接続毎に課金論理接続は二種類 To AWS Cloud (EC2, S3, RDS, etc.) • PublicなAS番号が必要 To a VPC • PrivateなAS番号を使用
  54. 54. 利用上の注意点Public IP transitを行いません 複数のカスタマ間のトラフィックを直接通信することはでき ません AWS以外との通信のためにインターネット接続は依然とし て必要です EC2インスタンスをProxyとして使うなどでは可能リージョン毎の契約です 東京につないで、シンガポールを使うようなことはできま せんマネージメントコンソールおよびAPIは準備中 55
  55. 55. 参考URL VPC Document http://aws.amazon.com/documentation/vpc/ DirectConnect Document http://aws.amazon.com/documentation/directconnect/ VPCの中でスポットインスタンスも使える http://aws.typepad.com/aws_japan/2011/10/launch- ec2-spot-instances-in-a-virtual-private-cloud.html
  56. 56. 参考URL VMimportを使って、既存VMイメージをVPCの中で立ち上げ る http://aws.typepad.com/aws_japan/2011/08/additional- vm-import-functionality-windows-2003-xenserver- hyper-v.html VPC内でも、リザーブドインスタンスが買える、Windows Server 2008 R2サポートとWindows with SQL Serverも http://aws.typepad.com/aws_japan/2011/08/amazon- vpc-far-more-than-everywhere.html
  57. 57. AWSプレミアムサポート アーキテクチャ設計に関するガイダンス、ベストプラク ティスも日本語でご案内できます aws.amazon.com/jp/premiumsupport/ ブロンズ シルバー ゴールド プラチナ初回応答時間 12時間 4時間 1時間 15分サポート連絡先 1人 2人 3人 無制限 対応24/365対応 なし なし あり あり 可能TEL可能 不可 不可 可能 可能専任スタッフ なし なし なし あり特別サポート なし なし なし あり AWS利用総額の AWS利用総額の $0~$10K: 10% AWS利用総額の 10%料金 $49 5% $10K~$80K: 7% $80K~: 5% (最低$15K) (最低$400) Copyright © 2011 Amazon Web Services
  58. 58. Q&ACopyright © 2011 Amazon Web Services
  59. 59. ご参加ありがとう ございました Copyright © 2011 Amazon Web Services

×