More Related Content Similar to Amazon VPCトレーニング-VPCの説明 Similar to Amazon VPCトレーニング-VPCの説明 (20) More from Amazon Web Services Japan More from Amazon Web Services Japan (20) Amazon VPCトレーニング-VPCの説明2. AWSの様々なサービス
お客様のアプリケーション
デプロイと自動化
ライブラリ & SDKs IDEプラグイン Web管理画面 モニタリング Development &
認証 AWS Elastic
Java, PHP, .NET, Eclipse Management Amazon
AWS IAM Beanstalk Administration
Python, Ruby Visual Studio Console CloudWatch
AWS CloudFromation
メッセージ
メール配信 ワークフロー管理
Amazon SNS
Amazon SES Amazon SWF
Amazon SQS
Application
Service
コンテンツ配信 分散処理 キャッシング
Amazon CloudFront Elastic MapReduce Amazon Elasticache
ストレージ データベース
コンピュータ処理
Amazon S3 Amazon RDS
Amazon EC2
Amazon EBS Amazon DynamoDB
Auto Scale
AWS StorageGateway Amazon SimpleDB
Infrastructure
ネットワーク & ルーティング Service
Amazon VPC / Amazon Elastic Load Balancer / Amazon Route 53 /AWS Direct Connect
AWS グローバルインフラ
Region AZ
Geographical Regions, Availability Zones, Points of Presence
2
3. Agenda
VPCとは?
VPCの構成要素
Hands-on
Amazon Direct Connectとは
VPC + VPN/Direct Connectを使った構成例
Q&A
Copyright © 2012 Amazon Web Services
7. お客様のインフラをAWS上に延長する
リージョン EC2内に分離し
VPN たサブネットを
EC2
接続 自由に作成
Internet
イントラ VPC ゲート
ウェイ
プライベート パブリック
サブネット サブネット
NAT
VPN
DX
Copyright © 2012 Amazon Web Services
8. VPCのテンプレートを準備
• IPアドレス割り当て・複数サブネット
• インターネットGW・カスタマーGW
• 以下は構成例(柔軟な構成が可能)
パブリック パブリック+プライベート パブリック+プライベート プライベート
サブネット +VPN サブネット +VPN
8
9. VPC with a Single Public Subnet
EIP(Elastic IP)アドレスをパブリックイ
ンタフェースにアサイン
適用メリット
高いセキュリティの中でWebアプリを稼
働させる
プライベートIPを用いて、インスタンス
をまとめられる
Copyright © 2012 Amazon Web Services 9
10. VPC with Public
and Private Subnets
パブリックサブネットのイン
スタンスには、EIPをアサイン
できる
プライベートサブネットのイ
ンスタンスはインターネット
から直接アクセスできない
適用メリット
Webサーバーをパブリックサブ
ネットを稼働し、プライベート
サブネット内のデータベースの
読み書きを行う
Copyright © 2012 Amazon Web Services 10
11. VPC with Public
and Private Subnets and
a VPN Connection
パブリックサブネットのインスタ
ンスには、EIPをアサインできる
プライベートサブネットのインス
タンスにVPN経由でアクセス可能
適用メリット
VPCをインターネットに接続しつ
つ、データセンターをクラウド上
に拡張
Copyright © 2012 Amazon Web Services 11
12. VPC a Private
Subnet and a VPN
Connection
VPC登場時はこの形態のみだった
全てのトラフィックは社内データセンタ
ーのファイヤウォール経由で行われる
適用メリット
データセンターをクラウドに拡張しても
中央集権的管理を維持する
Copyright © 2012 Amazon Web Services 12
14. VPCで操作できる構成要素
VPCで操作できる構成要素
Security Group(and DB Security Group)
Network Access Control (NACL)
Route TableとInternet Gateway (IGW)
NAT
EC2 Dedicated Instance
Elastic Network Interface
Copyright © 2012 Amazon Web Services
17. EC2のセキュリティグループ設定
セキュリティグループの”Source”に対して、
セキュリティグループのIDを指定することが可能です。
Port range Source
80 0.0.0.0/0
Port range Source
3306 sg-aaaaaa
Apache
EC2
Security Group-A
(ID: sg-aaaaaa) MySQL
EC2
Security Group-B
Apache (ID: sg-bbbbbb)
EC2
Security Group-C
(ID: sg-cccccc)
Port range Source
80 0.0.0.0/0
18. Route Tableについて
各SubnetはRoute Tableを持っている。設定を
変更することでデータの流れを制御可能。
IGW(Internet Gateway)へ
Public SubnetのRoute Table
のルーティングがあるので、
外部とのアクセスが可能
Private SubnetのRoute Table
Copyright © 2012 Amazon Web Services
19. Route Tableについて
Internet
IGWにRoutingされて
Internet
いないので外部と通
Gateway 信できない。
Web Web
Server Server
Public Subnet Private Subnet
VPC 10.0.0.0/16
Destination Target
Destination Target
10.0.0.0/16 Local
10.0.0.0/16 Local
0.0.0.0/0 igw-xxxxx
Copyright © 2012 Amazon Web Services
20. ELB on VPC
ELB on VPCの機能
パブリッククラウドのELBと機能面は同等
ELBのトラフィックをサブネットをまたいで分散
ELBセキュリティグループで、より細かくコントロー
ル可能
ELB on VPCの制約
IPv6サポートは現状なし
/27 CIDRブロック以上のIPアドレスが必要
21. RDS for MySQL on VPC
MySQL RDSはVPCで使えるように
マルチAZ対応、リードレプリカ対応
VPC上での注意点
DB Subnet Groupを事前に作成する
• RDSを利用するVPC及びサブネットを指定
RDSをVPC内で起動
• DB Subnet Groupを指定
DBセキュリティグループも指定する
21
22. VPC設定時の注意点
VPC内で構成するEC2 Instance, ELB, Elastic IP,
Security Groupなどを作成する際、VPCを明示的に指定す
る必要がある。
EC2のt1.micro は使うことができない
プライベートIPを指定して起動できる
指定しないと自動で割り振られる
Elastic IPの挙動が異なる
VPCではEC2を再起動しても割当てられたままとなる
既にElastic IPが割当てられているEC2に対して、別のElastic
IPを割り当ててもErrorになる
Copyright © 2012 Amazon Web Services
24. EC2 Dedicated Instance
通常のEC2
VPC内で専用インスタンス
物理サーバー
シングルテナント保証
クラウドのメリット確保
従量課金 顧客A 顧客B 顧客C
柔軟にスケールアップ Dedicated Instance
瞬時に調達 物理サーバー
規制に対応しなければい
けないお客様のご要望に
応えるサービス 顧客A 顧客B 顧客C
Copyright © 2012 Amazon Web Services
25. NATについて
AWSからNAT用のEC2 AMIを提供している
Private Subnetから外部インターネットにアク
セスする際の手段
ソフトウェアリポジトリにアクセス
外部パッチサイトにアクセス
S3, Route53, DynamoDB, SES, SQSなどの
VPC外のAWSサービスにアクセス
NAT Instanceを使うことで、セキュリティを確
保したまま外部へのアクセスが可能
Copyright © 2012 Amazon Web Services
26. NATについて
Internet
IGWにRoutingされて
Internet
いないので直接外部
Gateway と通信できない。
Web Web
Server Server
NAT
Public Subnet Private Subnet
VPC 10.0.0.0/16
Destination Target
Destination Target
10.0.0.0/16 Local
10.0.0.0/16 Local
0.0.0.0/0 NAT
0.0.0.0/0 igw-xxxxx
Copyright © 2012 Amazon Web Services
27. Public subnet + Private subnet +
VPN GW Corporate = 172.16.0.0/16
Internet VPN
Gateway Gateway
Security Group Security Group
NAT
Public Subnet instance Private Subnet
Virtual Private Cloud = 10.0.0.0/16
Destination Target
Destination Target
10.0.0.0/16 local
10.0.0.0/16 local
0.0.0.0/0 Internt Gateway
172.16.0.0/16 VPN Gateway
0.0.0.0/0 NAT Instance
28. ハードウェアVPN
IPsec VPN
BGP (Border gateway protocol)
AES 128 bit の暗号化トンネル
サポート対象
Cisco Integrated Services routers running Cisco IOS 12.4 (or later)
software
Juniper J-Series routers running JunOS 9.5 (or later) software
Juniper SRX Series Service Gateway running JunOS 9.5 (or Later)software
Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software
Yamaha RTX1200 routers (Rev. 10.01.16+)
参考URL
<http://aws.amazon.com/jp/vpc/faqs/#C8>
30. AWS Direct Connectとは
AWS Direct Connect:AWSとデータセンター、オフィス、
コロケーション環境間にプライベート接続を確立するサービス
特徴
• ネットワークのコスト削減
• 帯域幅のスループット向上
• インターネットベースの接続よりも一貫性がある
AWS Cloud
EC2, S3などの
Public サービス
AWS Direct
専用線 エクイニクス Connect
相互接続ポイント
AWS Direct
Connect
Amazon VPC
お客様
Copyright © 2012 Amazon Web Services
31. AWS Direct Connect 詳細内容
AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供
専用線サービスは、お客様が下記の2つの選択肢から選択
• お客様がエクイニクス相互接続ポイントにお客様が専用線を
直接つなぐ
• 複数の通信事業者の専用線接続サービスを利用
– NTTコミュニケーションズ
– KVH
– ソフトバンクテレコム
– 野村総合研究所
前提条件
• PublicなAWS サービス(EC2, S3, RDS, etc.)と接続する場合
– PublicなAS番号が必要
• Amazon VPCと接続する場合
– PrivateなAS番号を使用
• リージョン毎に契約が必要
• 多くの容量が必要な場合、複数の接続のプロビジョニングが可能
Copyright © 2012 Amazon Web Services
33. 課金体系(1/2)
月額利用料は下記の計算で課金されます
(月額利用料 =
AWS Direct Connect料金+通信事業者の専用線サービス料金)
AWS Direct Connect 料金
(回線利用料 + データ転送料)
回線利用料(本数分)
ロケーション 1 Gbps ポート 10 Gbps ポート
CoreSite One Wilshire, Los Angeles, CA $0.30/時間 $2.25/時間
Equinix DC1 – DC6, Ashburn, VA $0.30/時間 $2.25/時間
Equinix SV1 & SV5, San Jose, CA $0.30/時間 $2.25/時間
Equinix SG2、シンガポール $0.30/時間 $2.25/時間
Equinix TY2、東京 $0.30/時間 $2.25/時間
TelecityGroup Docklands、ロンドン $0.30/時間 $2.25/時間
Copyright © 2012 Amazon Web Services
34. 課金体系(2/2)
AWS Direct Connect 料金
(回線利用料 + データ転送料)
データ転送料 (割引されたデータ転送料金を適用)
ロケーション データ転送受信(イン) データ転送送信(アウト)
CoreSite, One Wilshire と米国西部(北カリフォルニ
無料 $0.030/GB
ア)リージョン間
バージニア州アッシュバーンの Equinix(エクイニク
無料 $0.020/GB
ス)と米国東部(バージニア北部)リージョン間
Equinix SV1 and SV5 と米国西部(北カリフォルニア)
無料 $0.020/GB
リージョン間
Equinix, SG2 とアジアパシフィック(シンガポール)
無料 $0.045/GB
リージョン間
Equinix, TY2 とアジアパシフィック(東京)リージョン
無料 $0.045/GB
間
TelecityGroup, ロンドン Docklands' と欧州(アイルラ
無料 $0.030/GB
ンド)リージョン間
通信事業者の専用線サービス料金
• 各通信事業者様にお問い合わせください
Copyright © 2012 Amazon Web Services
36. AWS構成例(仮想グループクラウド)
貴社プライベートクラウド
本社
各種団体等
グループクラウド網と専用線
サービス接続
イントラネットの一部として
グループ
クラウド網 AWSの利用が可能
(仮想グループクラウド)
ハイブリッドクラウドサービス
の一つ選択肢としてAWSを提
供
生産関連会社A 生産関連会社B 生産関連会社C
36
37. AWS利用例(バックアップ)
既存データセンター
隔地保管 複数世代管理
統合バックアップ
Xxシステム
Direct Connect(専用線) ・・・
Virtual Private Network (VPN)
Amazon Simple Storage
Service (S3)
直接バックアップ
S3:データ耐久性99.999999999%
AWS Storage Gateway:透過的にS3にバックアップを行う
利用例
テープ隔地保管の代替として
バックアップシステムを直接S3へ
39. AWS利用例(開発/維持管理環境)
既存データセンター
本番環境
開発環境
Direct Connect(専用線)
Virtual Private Network (VPN)
Amazon Elastic Compute
Cloud (EC2)
本番環境はこれまで同様既存DCにて構築
開発、維持管理環境はAWS構築
専用線接続、またはVPN接続
行内L/W
旧来の環境とシームレスに接続可能
利用例
本番開発環境差異:ハードウェアに依存しないシステム開発
40. AWS利用例(連動性)
既存データセンター
監視
OVO
Xxシステム
Direct Connect(専用線)
Virtual Private Network (VPN)
Amazon Elastic Compute
Cloud (EC2)
データ連動
UID AD 認証
既存システムとの連動
利用例
監視、認証
データ連動、受け渡し
41. AWS利用例(データ処理のみCloudを利用)
既存データセンター
スケールアップ/ア
ウト、休止自在
CPU処理
Direct Connect(専用線)
・・・
Virtual Private Network (VPN)
Amazon Elastic Compute
Oracle Database Servers Cloud (EC2)
データベースは既存データセンター内で構築
CPUパワー不足時、またはCPU処理のみAWS EC2, HPC, EMRを利用
(使用時のみ課金)
利用例
データベースは外に出したくない業務
バッチジョブ、HPC、季節連動性の業務
43. AWS利用例(DR環境)
既存データセンター
本番環境
DR環境
Direct Connect(専用線)
Virtual Private Network (VPN)
Amazon Elastic Compute
Cloud (EC2)
本番環境は既存DCにて構築
DR環境はAWS内で構築
利用例
これからDR環境を整備するシステム
コスト面でDRを整備出来なかったシステム(F/S等)
通常は休止または必要最小規模で稼働
47. Elastic Network Interfacesとは
VPC上で実現する仮想ネットワークインタ
フェースを複数持てる機能
インスタンスによって割り当てられる数が異なる。
以下をENIに紐づけて維持可能
Private IP
Elastic IP
MACアドレス
セキュリティグループ
Copyright © 2012 Amazon Web Services
48. Elastic Network Interfaces
インスタンスタイプによる設定数の制限
Elastic Network Private IP
Type Name
Interfaces (ENIs) Addresses per ENI
Micro N/A N/A t1.micro
Small 2 4 m1.small
Medium 2 6 m1.medium
Large 3 10 m1.large
Extra Large 4 15 m1.xlarge
High-CPU Medium 2 6 c1.medium
High-CPU Extra Large 4 15 c1.xlarge
High-Memory Extra Large 4 15 m2.xlarge
High-Memory Double Extra Large 4 30 m2.2xlarge
High-Memory Quadruple Extra Large 8 30 m2.4xlarge
Cluster Compute Quadruple Extra Large N/A N/A cc1.4xlarge
Cluster Compute Eight Extra Large 8 30 cc2.8xlarge
Cluster GPU Quadruple Extra Large N/A N/A cg1.4xlarge
Copyright © 2012 Amazon Web Services
49. Elastic Network Interfaces
ユースケース
サービス用と管理用のENIの分離
複数ENIを前提としたソフトウェアの利用
MACアドレスでライセンスが固定されたソフ
トウェア利用
1台サーバ上での複数SSL証明書の利用
複数の仮想ホスト設定
Copyright © 2012 Amazon Web Services
50. NACL(Network Access Control)
個々のSubnetごとにアクセス 制御が可能
Inbound, Outboundに対して下記の設定が可能
Inbound
Port range(ポート番号)
Source(アクセス元IPアドレス)
Allow/Deny
Outbound
Port range(ポート番号)
Destination(アクセス先IPアドレス)
Allow/Deny
Copyright © 2012 Amazon Web Services
51. NATインスタンスの作成
1. AWSではNAT用のインスタンスを用意していますので、
”ami-vpc-nat”で検索します。
例: AMI NAME “ami-vpc-nat-1.0.0-beta.x86_64-ebs”
2. 上記AMIを使って、Public SubnetにNATインスタンスを起
動します。
3. NATインスタンスの”Change Source / Dest Check”を
Disableにします。
4. NATインスタンスにElastic IPを付けます。
5. Public SubnetのRoute TableにNATインスタンスのIDを追
加
6. 必要に応じてNATインスタンスのSecurity Groupを設定。
52. NATインスタンスの作成/起動(1)
Internet
Internet
Gateway
Web Web
Server Server
NAT
Public Subnet Private Subnet
VPC 10.0.0.0/16
①② NATインスタンスを ③NATインスタンスの”Change Source
AMIから起動 / Dest Check”をDisableに設定
Copyright © 2012 Amazon Web Services
54. NATインスタンスの作成/起動(2)
④Elastic IPの追加 Internet
⑤Route TableにNATインス
タンスを追加
Internet
Gateway
Elastic
IP
Web Web
Server Server
NAT
Public Subnet Private Subnet
VPC 10.0.0.0/16
Destination Target
Destination Target
10.0.0.0/16 Local
10.0.0.0/16 Local
0.0.0.0/0 NAT(Instance ID)
0.0.0.0/0 igw-xxxxx
Copyright © 2012 Amazon Web Services
55. NATインスタンスの作成/起動(3)
⑥必要に応じてNATインスタ
Internet
ンスのSecurity Groupを設定
Internet
Gateway
Elastic
IP
Web Web
Server Server
NAT
Public Subnet Private Subnet
VPC 10.0.0.0/16
Destination Target
Destination Target
10.0.0.0/16 Local
10.0.0.0/16 Local
0.0.0.0/0 NAT(Instance ID)
0.0.0.0/0 igw-xxxxx
Copyright © 2012 Amazon Web Services
56. NATインスタンスの作成/起動(4)
NAT経由でのアクセ Internet
スを確認ください。 IGWにRoutingされて
Internet
いないので直接外部
Gateway と通信できない。
Web Web
Server Server
NAT
Public Subnet Private Subnet
VPC 10.0.0.0/16
Destination Target
Destination Target
10.0.0.0/16 Local
10.0.0.0/16 Local
0.0.0.0/0 NAT(Instance ID)
0.0.0.0/0 igw-xxxxx
Copyright © 2012 Amazon Web Services