2012.3.3 JAWS SUMMIT 2012　 マイスターリターンズにて紹介された資料です。

1. AWSマイスターリターンズ
～AWS Storage Gateway
&AWS Direct Connect～
2012年3月3日
荒木靖宏（ @ar1 ）
ソリューションアーキテクト

2. データの運び方3種
AWS Direct
Connect
10G/1G
S3 Bucket
お客様
DC
Internet
Amazon Elastic
Compute Cloud
(EC2)
Availability
AWS Zone
On-site Import/Expo AWS Region
infrastructure rt

3. Amazon Storage Gateway
インターネット
or
DirectConnect
http://aws.amazon.com/storagegateway

4. AWS Storage Gatewayとは？
既存データセンタのデータを、
クラウドのストレージに安全に統合するサービス
 Amazon S3にデータをバックアップ
• 耐久性が高く、安価(1G/月=約10円)
 データ転送/保存、ともに暗号化される
 東京リージョンをはじめ、世界各地域で利用できる
 バックアップ、ディザスタリカバリのコストを最小化
AWS Storage Gateway
オンプレミスのデータセンタ AWSクラウド
既存アプリケー
ションサーバ
バックアップ/
リストア
Amazon
S3

5. AWS Direct Connectとは
AWSとデータセンター、オフィス、コロケーション環
境間にプライベート接続を確立するサービス
高スループット、低レイテンシ
AWS Cloud
一貫性のあるネットワーク体験! EC2, S3などの
Public サービス
専用線
相互接続ポイント
Amazon VPC
お客様

6. Agenda
概要
AWS Storage Gateway
AWS Direct Connectをつかってできること
Q and A
Copyright © 2011 Amazon Web Services

7. Storage Gateway
Copyright © 2011 Amazon Web Services

8. Storage Gatewayは仮想アプライアンス
Storage Gatewayは、
仮想アプライアンスとして、
AWSからダウンロードできる
オンプレミスのデータセンタ Storage
Gateway
ハイパーバイザの上で SGサーバ (仮想
稼働するだけで、 アプライアンス)
iSCSI対応の
ストレージになる
ハイパーバイザ
ハイパーバイザは、
VMWare ESXi 4.1(無償)
に対応

9. iSCSI対応のストレージになる
アプリ・サーバからは、
iSCSIとしてマウントするだけ
オンプレミスのデータセンタ
で、ローカルドライブとして
利用できる！
アプリ・サーバ
SGサーバ
iSCSI ネットワーク経由
イニシエータ Storage
Gateway
ハイパーバイザ
Windows, RedHatの
イニシエータに対応

10. SG上のデータを、S3に自動転送
SGに書き込まれたデータを、
オンプレミスのデータセンタ スケジュールにあわせ、
自動的にAmazon S3に転送
アプリ・サーバ
Amazon Web Services
SGサーバ
iSCSI
イニシエータ Storage
Gateway
AWS Storage Amazon
ハイパーバイザ Gateway S3
サービス
差分のみ、
圧縮して、
暗号化して転送！

11. データ復旧、システムリカバリ
保存形式は、
EBSスナップショットなので、
差分のみ料金がかかる
オンプレミスのデータセンタ
Amazon Web Services
SGサーバ
EBSスナップ
EBSスナップ
ショット
EBSスナップ
ショット
EBSスナップ
ショット Amazon
ショット EC2
Storage
Gateway
AWS Storage Amazon
ハイパーバイザ Gateway S3
サービス Amazon
EBS
AWSクラウド上で
データの
システムリカバリ
リストアも
も可能！
容易にできる

12. AWS Storage Gatewayのユースケース
バックアップ
テープを 別拠点に送付する必要が無く、別拠点の準備も必要ない
バックアップ先のストレージのスペースを、先に購入しておく必要が
無く、S3の場合は容量無制限で利用できる
バックアップのスケジュールも容易に周期設定できる
ディザスタリカバリとBCP
ディザスタリカバリ用のデータセンタ、
サーバを用意する必要がなく、ハードウェア投資を削減
仮想サーバ(Amazon EC2)の準備のために、既存のVMイメージをクラ
ウドに持ち込んでもよい(VM Importと呼ばれる)
データ移行
データを既存データセンターからクラウドへ移行、もしくはその逆も
簡単に行える

13. セキュリティへの配慮
AWSと各ゲートウェイの間のデータ転送は、
SSLで暗号化
クラウド側のデータ(耐久性99.999999999%設計の
Amazon S3に保存される)は、AES-256を用いて暗号化
iSCSIのinitiatorは、CHAP (Challenge-Handshake
Authentication protocol)を用いて、暗号化認証を実施

14. AWS Storage Gatewayの詳細機能
ストレージゲートウェイのコントロール
Webコンソールから、ボリューム作成、
１ボリューム 最大1TiB
１ゲートウェイで最大12TiB (12ボリューム)
ボリューム上限緩和申請も可能
https://aws-portal.amazon.com/gp/aws/html-forms-
controller/StorageGatewayRequest
スナップショット作成/復旧、作成スケジュールの構成
1, 2, 4, 8, 12, 24時間間隔で設定可能
現状はWebコンソールでの操作のみ。APIは後程提供

15. AWS Storage Gatewayの詳細機能
ストレージゲートウェイの自動アップデート
アップデートやパッチを自動的にダウンロード、インストール
、デプロイ
メンテナンスウィンドウを設定可能。
Amazon CloudWatchを用いて、
各ゲートウェイを監視し、ログ化、アラーム設定を行える
転送ネットワークのオプション
ローカルのプロキシサーバ経由も可能
専用線接続サービス( AWS Direct Connect)利用も可能

16. 利用料金
利用料金は、ゲートウェイの利用数、データ保存料金、
データ転送料金からなる
ゲートウェイ利用数
毎月$125/1ゲートウェイ
データ保存料金
通常のEBSス ナップショットの料金が適用
データ転送料金
AWSから出るデータ転送料が通常どおり必要
AWSに向かう転送量は通常通り無料
→バックアップ時のデータ転送は無料
AWS無料使用枠の利用条件も適用される

17. 想定利用ケース（バックアップサーバ）
バックアップサーバ用iSCSIストレージとして
 S3へのスナップショットが、遠隔バックアップの役割を果たす
 定期的に書き込まれるバックアップとスナップショット取得の
タイミングを調整することでタイムラグを削減可能
DBサーバ/Fileサーバ NetBackup/NetVault/ARCserve/etc
Snapshots
定期バックアップ iSCSI Storage
Gateway
S3
Local
DAS/SAN
Backup

18. 想定利用ケース（ファイルサーバ）
ファイルサーバ用iSCSIストレージとして
 更新サイズ・スナップショット頻度が許容できる場合
 S3へのスナップショットが、遠隔バックアップの役割を果たす
 DB側ですぐにファイルサーバとして復元可能
NFS/Windows Storage Server
Snapshots
iSCSI Storage
Gateway
S3
Local
Volume

19. 想定利用ケース（DBサーバ）
直接DBサーバとして
 更新量が性能的に許容できる場合（参照がメインなど）
 S3へのスナップショットが、遠隔バックアップの役割を果たす
 AWS側ですぐにDBとして復元可能
Web/APサーバ MySQL/Oracle
Snapshots
iSCSI Storage
Gateway
S3
Local
Volume

20. 想定利用ケース（ストレージサーバプロキ
シ）
iSCSI targetのヘッドとして
 既存のiSCSIストレージ環境に挿し込む形
 更新量が性能的に許容できる場合に限られる（参照がメインな
ど）
 S3へのスナップショットが、遠隔バックアップの役割を果たす
DBサーバ/Fileサーバ/etc
Snapshots
iSCSI Storage
Gateway
iSCSI S3
iSCSI
Storage

21. 想定利用ケース（w/ Direct Connect）
Direct Connectを利用
 転送帯域・速度を確保
 大量の更新データを高頻度にスナップショット取得可能
Snapshots
iSCSI Storage
Gateway
S3
Local
Backup
Direct
Connect

22. Direct Connect
Copyright © 2011 Amazon Web Services

23. AWS Direct Connectの物理接続
AWSとデータセンター、オフィス、コロケーション環境間にプラ
イベート接続を確立するサービス
AWS Cloud
EC2, S3などの
Public サービス
Zone A
専用線
相互接続ポイント
Amazon VPC
お客様
コロケへの専用線引き込みと違っ Zone B
てサーバ設置場所を限定しない。
相互接続ポイントはZone Aでも
Zone Bでもない場所

24. AWS Direct Connectの論理接続
論理的にはPublic向けと、VPC向けで異なる
AWS Cloud
EC2, S3などの
Public サービス
Zone A
専用線
相互接続ポイント
Amazon VPC
お客様
Zone B

25. AWS Direct Connect：Publicサービス
AWS Cloud
Public ASを使ったBGP接続 EC2, S3などの
Public サービス
Zone A
専用線
相互接続ポイント
Amazon VPC
お客様
Zone B
Public ASを運用

26. AWS Direct Connect：VPCサービス
Private ASを使ったBGP接続
AWS Cloud
EC2, S3などの
Public サービス
Zone A
専用線
相互接続ポイント
Amazon VPC
お客様
Private ASを使用 Zone B
== VPCをVPNで使う場合と同じ
IPSecトンネルの代わりに専用線上
のVLANがあると考えればok

27. 注意点
Public IP transitを行いません
 複数のカスタマ間のトラフィックを直接通信するこ
とはできません
 カスタマのインターネット接続は依然として必要で
す
 EC2インスタンスをProxyとして使うなどでは可能
リージョン毎の契約です
 東京につないで、シンガポールを使うようなことは
できません
VPCからインターネットゲートウェイを使えばPublicサ
ービス (S3など)を使える
27

28. AWS Direct Connectをつか
ってできること

29. オンプレミスとのハイブリッド環境
DATAPIPE社のサービス例
 Oracle DBをオンプレミスのデータセンタに設置
 変化するリソースはAWS上

30. AWS STORAGE GATEWAY / BLACKCLOUD EDGE v1.0
Customer Site(s) Off-Site Data Vaulting Backup/Restore
Recovery Center
Liberty Lake, WA
Hotel
Recovery
Suites
Data Recovered
(Virtual / Physical)
VMware View
Admin (VDI)
Backup Server
Drop Ship User
Remote AWS Storage Gateway
Offices IT-Lifeline
Backup Agent(s) Portal
Release 1
AWS Direct Connect AWS Direct Connect
(US East) (US West)
Data Vaulted (S3)

31. マルチホーム(cloudhub)
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/in
dex.html?VPN_CloudHub.html
本社
本社とは
DirectConnect

32. 広域LANサービスでの使用
一拠点とし
Amazon Virtual AWS てAWSを追
Private Cloud Direct 加
(VPC) Connect
キャリアの
広域LANサービス

33. AWS DirectConnectでよ
り自由なシステム構築を!

35. AWS Direct Connectの利用
のために

36. AWS DirectConnect 接続のステップ
検討開始 Publicサー
ビスを直
接使う?
DXSPに 自社で手
依頼 配する?
Public AS
Public
DXSP: を持って
ASの取得
Direct Connect Solution Provider いる?
回線業者選定
Public 接続
接続点 回線終端装置
ラックを の置き場はあ
VPCを使
契約 る?
う?
利用開始
物理接続 VPC 接続

37. Direct Connect接続方法
AWS Direct Connect Solution Providerに依
頼する方法
お客様が自分で相互接続ポイントに直接つなぐ
方法

38. AWS Direct Connect Solution Provider
利用者がやるべきことを肩代わり/お手伝いしま
す。
 Equinix
 KVH
 NRI (野村総合研究所)
 NTT Communications
 Softbank Telecom
お客様側でこれ以外を利用することももちろん
可能

39. AWS DirectConnect 接続のステップ
検討開始 Publicサー
ビスを直
接使う?
DXSPに 自社で手
依頼 配する?
Public AS
Public
DXSP: を持って
ASの取得
Direct Connect Solution Provider いる?
回線業者選定
この面倒な手続が省力化されます
Public 接続
接続点 回線終端装置
ラックを の置き場はあ
VPCを使
契約 る?
う?
利用開始
物理接続 VPC 接続

40. 物理接続
1Gbpsおよび10Gbpsの接続口を提供
接続口はアベイラビリティゾーンとは独立した
別の場所
 東京リージョンの場合は、Equinix TY2 (東京都
品川区)
DXSPを使わない場合には原則 TY2にラックを
契約して、必要な機器を設置して接続する

41. Equinixへラックを設置する方法
WANの終端装置、VLAN対応スイッチをラック内に設置
TY2では構内配線
エンド キャリア
AWS
WAN終端
装置
お客様 AWS
ラック ラック
802.1q
R １G/10G R
Equinix TY2

42. 論理接続
1Gbpsおよび10Gbpsの接続の上にVLANを設
定
Publicサービス向け
1. VLANを定義
2. Public ASとPrefixをAWSに通知
VPCでのIPSecト
VPC向け ンネルに代わり
VLAN
1. VLANを定義
2. VPCを作成
3. VPNゲートウェイIDをAWSに通知

43. 論理接続形態
EC2,S3な
どのPublic
サービス
VLAN
VLAN Equinix TY２
VLAN
ラック AWSラック VPC
キャリ （ZoneA)
10G
アバッ R R
クボー 1G
ン VPC
（ZoneB)
End user
（多数）
AWSの責任範囲
ネットワークプロバイダ コロケーション Public向け
またはEUの責任範囲 プロバイダ VLAN
の責任範囲
（構内配線のみ）