1. AWSマイスターシリーズ
AWSマイスターシリーズ
(VPC)～
～Virtual Private Cloud (VPC)～
2011年11月9日
荒木 靖宏 (@ar1 )
ソリューションアーキテクト
玉川憲(@kentamagawa)
エバンジェリスト

2. ほぼ週刊AWSマイスターシリーズへようこそ！
~GoToMeetingの使い方～
参加者は、自動的にミュートになっています
質問を投げることができます！
GoToMeetingのChatの仕組みを使って、随時書き込んでください
ただし環境によっては、日本語の直接入力ができないので、
お手数ですが、テキストエディタ等に打ち込んでから、貼り付けててください
最後のＱ＆Ａの時間で、できるだけ回答させて頂きます
書き込んだ質問は、主催者にしか見えません
オーガナイザーが書きこんだ場合には参加者全員から見えます。
Twitterのハッシュタグは#jawsugでどうぞ
Copyright © 2011 Amazon Web Services

3. 本日のベスト質問に対するプレゼントは！！
AWS本、つめあわせ

4. セミナー
Webセミナー
ほぼ週刊AWSマイスターシリーズ（全 回）
ほぼ週刊 マイスターシリーズ（全10回）
マイスターシリーズ（全
11/9 第7回 VPC
11/16 第8回 RDS
11/22 第9回 Beanstalk
11/30 第10回 EMR
12/7 第11回 SES
申し込みサイト
http://aws.amazon.com/jp/event_schedule/

5. アジェンダ
VPC概要
VPCを理解するためのシナリオスタディ
Amazon DirectConnect

6. Amazon VPC利用の典型
AWSクラウド上にプライベートクラウドを構築
オンプレミスとのハイブリッドが簡単に実現
AWSが社内インフラの一部に見える
社内システム、ソフトウェアの移行がより容易に
例：業務システム、バッチ処理、ファイルサーバ
2011年8月から全リージョンで利用可能に
6

7. お客様のインフラをAWS上に延長する
リージョン EC2内に分離し
VPN たサブネットを自
EC2
接続 由に作成
インターネット
イントラ VPC ゲート
ウェイ
プライベート パブリック
サブネット サブネット
NAT

8. EC2 Dedicated Instance
通常のEC2
通常の
内で専用インスタンス
VPC内で専用インスタンス
物理サーバー
シングルテナント保証
クラウドのメリット確保
従量課金 顧客A 顧客B 顧客C
柔軟にスケールアップ Dedicated Instance
瞬時に調達 物理サーバー
規制に対応しなければいけ
ないお客様のご要望に応え
るサービス 顧客A 顧客B 顧客C

9. パケットの出入り管理
インスタンス単位でもセキュリティグループで
更にIN/OUTコントロール
ネットワークレイヤでIN/OUTをコントロール

10. VPC with a Single Public Subnet
EIPアドレスをパブリックインタフェースにア
サイン
適用メリット
高いセキュリティの中でWebアプリを稼働さ
せる
プライベートIPを用いて、インスタンスをまと
められる
10

11. VPC with Public
and Private Subnets
パブリックサブネットのインスタン
スには、EIPをアサインできる
プライベートサブネットのインスタ
ンスはインターネットから直接ア
クセスできない
適用メリット
Webサーバーをパブリックサブネッ
トを稼働し、プライベートサブネット
内のデータベースの読み書きを行
う
11

12. VPC with Public
and Private Subnets and
a VPN Connection
パブリックサブネットのインスタンス
には、EIPをアサインできる
プライベートサブネットのインスタン
スにVPN経由でアクセス可能
適用メリット
VPCをインターネットに接続しつつ、
データセンターをクラウド上に拡張
12

13. VPC a Private
Subnet and a VPN
Connection
VPC登場時はこの形態のみだった
全てのトラフィックは社内データセンターの
ファイヤウォール経由で行われる
適用メリット
データセンターをクラウドに拡張しても、中央
集権的管理を維持する
13

14. Amazon VPCをどう考えるか
ネットワークを仮想化するもの
ネットワークにまつわる多くの要望への答え
IPアドレスの固定
サブネットを使った管理
14

15. アジェンダ
VPC概要
VPCを理解するためのシナリオスタディ
Amazon DirectConnect

16. Stage 1
VPCをつくってみる

17. VPCを定義する Region
Virtual Private Cloud
リージョンを選択する
IPブロックを設定する
最大で16ビット
Dedicated Instanceに
するかどうかを選択
VPC全体のIPブロック
最大は16ビット

18. Stage 2
パブリックサブネットの作成

19. Public Subnet
Virtual Private Cloud
VPC内にIPブロックを設定
する
最大で17ビットマスク
サブネット内の始めの4IP
アドレスはAWSが予約
サブネットはAvailabilty
Zone (AZ)をまたがない
VPC Subnet
Availability Zone
サブネットを作成

20. 注意点
デフォルト
サブネット内での通信のための経路のみ
Network Access Control List (NACL)はフルオープン

21. Internet Gateway (IGW) の追加
Internet
内部のインスタンスのデフォル
ト経路はIGWに向ける
経路はカスタマイズ可能
Internet Gateway
VPC外部との通信はこのゲート
ウェイを通過する
VPC Subnet
Virtual Private Cloud

22. セキュリティグループとインスタンス
Internet
セキュリティグループでは
Inbound, Outboundのフィル
タ設定を行う
Statefulなフィルタ Internet Gateway
インスタンスにはEIPを付与で
きる
インスタンス
Security Group
EC2との違い VPC Subnet
EC2ではInboundのみ
Virtual Private Cloud
いつでも(稼働中でも)セキュリ
ティグループとインスタンスの
組み合わせを変更できる

23. VPC内のインスタンスとEC2との違い
Dedicated Instanceを選択することができる
t1.micro は使うことができない
VPC/subnet選ぶ
IPを固定できる
グローバルIPはEIPを使うといつでも付与、変更できる
プライベートIPを指定して起動できる

24. InstanceTypeの選択
デフォルトではDedicated Instanceは選択されない。

25. インスタンス起動

26. プライベートIPアドレスを指定
プライベートアドレスを固定可能。
無指定時は勝手にアサイン

27. インスタンスの確認
パブリックアドレスなし
プライベートアドレスを固定できる

28. EIPのひもづけ

29. EIPを確認

30. Stage 3
Create a private subnet

31. Public subnet + Private subnet
デフォルトはm1.small
Internet Public subnet内に位置
インターネットとの通信が
必要ないなら不要
Internet Gateway
Security Group Security Group
NAT
Public Subnet instance Private Subnet
Virtual Private Cloud
Destination Target Destination Target
10.0.0.0/16 local 10.0.0.0/16 local
0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance

32. Private Subnet
Private Subnet間、Public Subnet間は自由に通信できる。
Private Subnet内からインターネットへ接続するときのみ
「NATインスタンス」が必要
Main route table
subnetにRouteTableを紐づけない場合は、mainが適用

33. ＮＡＴインスタンス
プライベートサブネットから、インターネット接続するためのＮＡＴ
プライベートサブネットから
実態はAmazonLinux (amazon/ami-vpc-nat-1.0.0-beta.i386-
ebs)
カスタマイズAMIも可能
手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに
インスタンスサイズ指定可能
停止すると、プライベートサブネットからインターネット接続が不可
停止すると、プライベートサブネットからインターネット接続が不可
能になる
能になる
S3、RDSなども使用不可になる
3

34. NATインスタンスの起動

35. Security Group をNAT用に作成

36. Disable Source / Destination Checking on NAT
通常のインスタンスでは発信元か宛先のIPアドレスが自分の
ときのみ処理をする。NATではこのチェックが邪魔になる。

37. EIPをNATインスタンスにつける

38. Private Subnetのルーティング更新

39. 0.0.0.0/0の追加し、NAT instance-IDへ向ける

40. Stage 4
Connect a VPN

41. Public subnet + Private subnet + VPN GW
Corporate = 172.16.0.0/16
Internet Gateway
VPN Gateway
Security Group Security Group
NAT
Public Subnet instance Private Subnet
Virtual Private Cloud = 10.0.0.0/16
Destination Target
Destination Target
10.0.0.0/16 local
10.0.0.0/16 local
0.0.0.0/0 Internt Gateway
172.16.0.0/16 VPN Gateway
0.0.0.0/0 NAT Instance

42. ハードウェアVPN
IPsec VPN
BGP (Border gateway protocol)
AES 128 bit の暗号化トンネル
サポート対象
Cisco Integrated Services routers running Cisco IOS
12.4 (or later) software
Juniper J-Series routers running JunOS 9.5 (or later)
software
Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later)
software
Yamaha RTX1200 routers (Rev. 10.01.16+)

43. Phase1:IKEconfigまで
鍵ハッシュとしてSHA-1が使えるかどうか確認
共通鍵としてDH-2が使えるかどうか確認
AES 128ビット暗号が使えるかどうか確認
Mainモードが使えるかどうか確認
AggressiveモードはID情報交換を暗号化しないため、使わない

44. Phase2: IPsec config
暗号化方法がエンド同士で一致しているかどうか確認
IPsec dead peer connectionが機能するかどうか確認
ESPプロトコルの確認

45. Phase3: IPsecトンネル
トンネルが設定される
（オプション）最大MTUが1436バイトに設定される

46. Phase4: BGPピアリング
カスタマLANとVPCサブネットをトンネルで接続
Private ASNをつかってPrimary/secondaryのフェイルオー
バー

47. Stage 5
Advanced

48. VPCの制限について
数字の制限
ひとつのVPNゲートウェイあたり10までのIPSec接続
1リージョンあたり5つまでのVPNゲートウェイ
機能の制限
ELB: VPC内部のインスタンスと組み合わせて使えない
インターネットゲートウェイを使えばEC2,S3などほとんどの機
能は利用可
続々拡張中
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind
ex.html?WhatsNew.html

49. DHCPオプションの活用

50. マルチホーム(cloudhub)
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html
?VPN_CloudHub.html

51. アジェンダ
VPC概要
VPCを理解するためのシナリオスタディ
Amazon DirectConnect

52. AWS Direct Connect
Amazonの設備に物理的に接続
コロケーションプロバイダのPOPにAmazonのポートを用意
広帯域と低料金を実現
Equinix Ashburn (us-east, バージニア) で8月利用開始
シリコンバレーも稼働済
2011年度中に拡大予定
東京、ロサンゼルス、ロンドン、シンガポール

54. 動作条件
物理接続 – 1 Gbps or 10 Gbps port
冗長化のためには複数ポートを推奨
802.1q
物理接続毎に課金
論理接続は二種類
To AWS Cloud (EC2, S3, RDS, etc.)
• PublicなAS番号が必要
To a VPC
• PrivateなAS番号を使用

55. 利用上の注意点
Public IP transitを行いません
複数のカスタマ間のトラフィックを直接通信することはでき
ません
AWS以外との通信のためにインターネット接続は依然とし
て必要です
EC2インスタンスをProxyとして使うなどでは可能
リージョン毎の契約です
東京につないで、シンガポールを使うようなことはできま
せん
マネージメントコンソールおよびAPIは準備中
55

56. 参考URL
VPC Document
http://aws.amazon.com/documentation/vpc/
DirectConnect Document
http://aws.amazon.com/documentation/directconnect/
VPCの中でスポットインスタンスも使える
http://aws.typepad.com/aws_japan/2011/10/launch-
ec2-spot-instances-in-a-virtual-private-cloud.html

57. 参考URL
VMimportを使って、既存VMイメージをVPCの中で立ち上げ
る
http://aws.typepad.com/aws_japan/2011/08/additional-
vm-import-functionality-windows-2003-xenserver-
hyper-v.html
VPC内でも、リザーブドインスタンスが買える、Windows
Server 2008 R2サポートとWindows with SQL Serverも
http://aws.typepad.com/aws_japan/2011/08/amazon-
vpc-far-more-than-everywhere.html

58. AWSプレミアムサポート
アーキテクチャ設計に関するガイダンス、ベストプラク
ティスも日本語でご案内できます
aws.amazon.com/jp/premiumsupport/
ブロンズ シルバー ゴールド プラチナ
初回応答時間 １２時間 ４時間 １時間 １５分
サポート連絡先 １人 ２人 ３人 無制限
対応
24/365対応 なし なし あり あり
可能
TEL可能 不可 不可 可能 可能
専任スタッフ なし なし なし あり
特別サポート なし なし なし あり
AWS利用総額の
AWS利用総額の
$0~$10K: 10%
AWS利用総額の 10%
料金 $49
5%
$10K~$80K: 7%
$80K~: 5%
（最低$15K）
（最低$400）
Copyright © 2011 Amazon Web Services

59. Q&A
Copyright © 2011 Amazon Web Services

60. ご参加ありがとう
ございました
Copyright © 2011 Amazon Web Services