Download as PDF, PPTX
Uploaded byAmazon Web Services Japan
20111109 07 aws-meister-vpc-public
ほぼ週間AWSマイスターシリーズのAmazon Virtual Private Cloudの回の資料です。
More Related Content
![[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド](https://cdn.slidesharecdn.com/ss_thumbnails/awssummit-awsvpc-20120914-121001101403-phpapp02-thumbnail.jpg?width=640&height=640&fit=bounds)
Similar to 20111109 07 aws-meister-vpc-public
![[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)](https://cdn.slidesharecdn.com/ss_thumbnails/20130828aws-meister-regenerate-vpc-130906043454--thumbnail.jpg?width=640&height=640&fit=bounds)
![[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect](https://cdn.slidesharecdn.com/ss_thumbnails/20130904aws-meister-regenerate-vpc-dxvpn-130906043520--thumbnail.jpg?width=640&height=640&fit=bounds)
![[AWSマイスターシリーズ] Amazon VPC](https://cdn.slidesharecdn.com/ss_thumbnails/20130220aws-meister-reloaded-vpcpublic-130220035642-phpapp01-thumbnail.jpg?width=640&height=640&fit=bounds)
![[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介](https://cdn.slidesharecdn.com/ss_thumbnails/20220126-anti-220126190603-thumbnail.jpg?width=640&height=640&fit=bounds)
20111109 07 aws-meister-vpc-public
- 1. AWSマイスターシリーズ ~Virtual Private Cloud(VPC)~ 2011年11月9日 荒木 靖宏 (@ar1 ) ソリューションアーキテクト 玉川憲(@kentamagawa) エバンジェリスト
- 2.
- 3. Amazon VPC利用の典型 AWSクラウド上にプライベートクラウドを構築 オンプレミスとのハイブリッドが簡単に実現 AWSが社内インフラの一部に見える 社内システム、ソフトウェアの移行がより容易に 例:業務システム、バッチ処理、ファイルサーバ 2011年8月から全リージョンで利用可能に 3
- 4. お客様のインフラをAWS上に延長する リージョン EC2内に分離し VPN たサブネットを自 EC2 接続 由に作成 インターネット イントラ VPC ゲート ウェイ プライベート パブリック サブネット サブネット NAT
- 5. EC2 Dedicated Instance 通常のEC2 VPC内で専用インスタンス 物理サーバー シングルテナント保証 クラウドのメリット確保 従量課金 顧客A 顧客B 顧客C 柔軟にスケールアップ Dedicated Instance 瞬時に調達 物理サーバー 規制に対応しなければいけ ないお客様のご要望に応え るサービス 顧客A 顧客B 顧客C
- 6. パケットの出入り管理 インスタンス単位でもセキュリティグループで 更にIN/OUTコントロール ネットワークレイヤでIN/OUTをコントロール
- 7. VPC with aSingle Public Subnet EIPアドレスをパブリックインタフェースにア サイン 適用メリット 高いセキュリティの中でWebアプリを稼働さ せる プライベートIPを用いて、インスタンスをまと められる 7
- 8. VPC with Public andPrivate Subnets パブリックサブネットのインスタン スには、EIPをアサインできる プライベートサブネットのインスタ ンスはインターネットから直接ア クセスできない 適用メリット Webサーバーをパブリックサブネッ トを稼働し、プライベートサブネット 内のデータベースの読み書きを行 う 8
- 9. VPC with Public and Private Subnets and a VPN Connection パブリックサブネットのインスタンス には、EIPをアサインできる プライベートサブネットのインスタン スにVPN経由でアクセス可能 適用メリット VPCをインターネットに接続しつつ、 データセンターをクラウド上に拡張 9
- 10. VPC a Private Subnetand a VPN Connection VPC登場時はこの形態のみだった 全てのトラフィックは社内データセンターの ファイヤウォール経由で行われる 適用メリット データセンターをクラウドに拡張しても、中央 集権的管理を維持する 10
- 11. Amazon VPCをどう考えるか ネットワークを仮想化するもの ネットワークにまつわる多くの要望への答え IPアドレスの固定 サブネットを使った管理 11
- 12.
- 13.
- 14. VPCを定義する Region Virtual Private Cloud リージョンを選択する IPブロックを設定する 最大で16ビット Dedicated Instanceに するかどうかを選択 VPC全体のIPブロック 最大は16ビット
- 15.
- 16. Public Subnet Virtual Private Cloud VPC内にIPブロックを設定 する 最大で17ビットマスク サブネット内の始めの4IP アドレスはAWSが予約 サブネットはAvailabilty Zone (AZ)をまたがない VPC Subnet Availability Zone サブネットを作成
- 17. 注意点 デフォルト サブネット内での通信のための経路のみ Network Access Control List (NACL)はフルオープン
- 18. Internet Gateway (IGW)の追加 Internet 内部のインスタンスのデフォル ト経路はIGWに向ける 経路はカスタマイズ可能 Internet Gateway VPC外部との通信はこのゲート ウェイを通過する VPC Subnet Virtual Private Cloud
- 19. セキュリティグループとインスタンス Internet セキュリティグループでは Inbound, Outboundのフィル タ設定を行う Statefulなフィルタ Internet Gateway インスタンスにはEIPを付与で きる インスタンス Security Group EC2との違い VPC Subnet EC2ではInboundのみ Virtual Private Cloud いつでも(稼働中でも)セキュリ ティグループとインスタンスの 組み合わせを変更できる
- 20. VPC内のインスタンスとEC2との違い Dedicated Instanceを選択することができる t1.micro は使うことができない VPC/subnet選ぶ IPを固定できる グローバルIPはEIPを使うといつでも付与、変更できる プライベートIPを指定して起動できる
- 21.
- 22.
- 23. プライベートIPアドレスを指定 プライベートアドレスを固定可能。 無指定時は勝手にアサイン
- 24. インスタンスの確認 パブリックアドレスなし プライベートアドレスを固定できる
- 25.
- 26.
- 27. Stage 3 Create aprivate subnet
- 28. Public subnet +Private subnet デフォルトはm1.small Internet Public subnet内に位置 インターネットとの通信が 必要ないなら不要 Internet Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance
- 29. Private Subnet PrivateSubnet間、Public Subnet間は自由に通信できる。 Private Subnet内からインターネットへ接続するときのみ 「NATインスタンス」が必要 Main route table subnetにRouteTableを紐づけない場合は、mainが適用
- 30. NATインスタンス プライベートサブネットから、インターネット接続するためのNAT 実態はAmazonLinux (amazon/ami-vpc-nat-1.0.0-beta.i386- ebs) カスタマイズAMIも可能 手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに インスタンスサイズ指定可能 停止すると、プライベートサブネットからインターネット接続が不可 能になる S3、RDSなども使用不可になる 3
- 31.
- 32.
- 33. Disable Source /Destination Checking on NAT 通常のインスタンスでは発信元か宛先のIPアドレスが自分の ときのみ処理をする。NATではこのチェックが邪魔になる。
- 34.
- 35.
- 36.
- 37.
- 38. Public subnet +Private subnet + VPN GW Corporate = 172.16.0.0/16 Internet Gateway VPN Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance
- 39. ハードウェアVPN IPsec VPN BGP (Border gateway protocol) AES 128 bit の暗号化トンネル サポート対象 Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software Juniper J-Series routers running JunOS 9.5 (or later) software Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software Yamaha RTX1200 routers (Rev. 10.01.16+)
- 40. Phase1:IKEconfigまで 鍵ハッシュとしてSHA-1が使えるかどうか確認 共通鍵としてDH-2が使えるかどうか確認 AES 128ビット暗号が使えるかどうか確認 Mainモードが使えるかどうか確認 AggressiveモードはID情報交換を暗号化しないため、使わない
- 41. Phase2: IPsec config 暗号化方法がエンド同士で一致しているかどうか確認 IPsec dead peer connectionが機能するかどうか確認 ESPプロトコルの確認
- 42. Phase3: IPsecトンネル トンネルが設定される (オプション)最大MTUが1436バイトに設定される
- 43. Phase4: BGPピアリング カスタマLANとVPCサブネットをトンネルで接続 Private ASNをつかってPrimary/secondaryのフェイルオー バー
- 44.
- 45. VPCの制限について 数字の制限 ひとつのVPNゲートウェイあたり10までのIPSec接続 1リージョンあたり5つまでのVPNゲートウェイ 機能の制限 ELB: VPC内部のインスタンスと組み合わせて使えない インターネットゲートウェイを使えばEC2,S3などほとんどの機 能は利用可 続々拡張中 http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind ex.html?WhatsNew.html
- 46.
- 47.
- 48.
- 49. AWS Direct Connect Amazonの設備に物理的に接続 コロケーションプロバイダのPOPにAmazonのポートを用意 広帯域と低料金を実現 Equinix Ashburn (us-east, バージニア) で8月利用開始 シリコンバレーも稼働済 2011年度中に拡大予定 東京、ロサンゼルス、ロンドン、シンガポール
- 51. 動作条件 物理接続 – 1Gbps or 10 Gbps port 冗長化のためには複数ポートを推奨 802.1q 物理接続毎に課金 論理接続は二種類 To AWS Cloud (EC2, S3, RDS, etc.) • PublicなAS番号が必要 To a VPC • PrivateなAS番号を使用
- 52. 利用上の注意点 Public IP transitを行いません 複数のカスタマ間のトラフィックを直接通信することはでき ません AWS以外との通信のためにインターネット接続は依然とし て必要です EC2インスタンスをProxyとして使うなどでは可能 リージョン毎の契約です 東京につないで、シンガポールを使うようなことはできま せん マネージメントコンソールおよびAPIは準備中 52
- 53. 参考URL VPC Document http://aws.amazon.com/documentation/vpc/ DirectConnect Document http://aws.amazon.com/documentation/directconnect/ VPCの中でスポットインスタンスも使える http://aws.typepad.com/aws_japan/2011/10/launch- ec2-spot-instances-in-a-virtual-private-cloud.html
- 54. 参考URL VMimportを使って、既存VMイメージをVPCの中で立ち上げ る http://aws.typepad.com/aws_japan/2011/08/additional- vm-import-functionality-windows-2003-xenserver- hyper-v.html VPC内でも、リザーブドインスタンスが買える、Windows Server 2008 R2サポートとWindows with SQL Serverも http://aws.typepad.com/aws_japan/2011/08/amazon- vpc-far-more-than-everywhere.html
- 55. AWSプレミアムサポート アーキテクチャ設計に関するガイダンス、ベストプラク ティスも日本語でご案内できます aws.amazon.com/jp/premiumsupport/ ブロンズ シルバー ゴールド プラチナ 初回応答時間 12時間 4時間 1時間 15分 サポート連絡先 1人 2人 3人 無制限 24/365対応 なし なし あり あり TEL可能 不可 不可 可能 可能 専任スタッフ なし なし なし あり 特別サポート なし なし なし あり AWS利用総額の AWS利用総額の $0~$10K: 10% AWS利用総額の 10% 料金 $49 5% $10K~$80K: 7% $80K~: 5% (最低$15K) (最低$400) Copyright © 2011 Amazon Web Services
- 56. ご参加ありがとう ございました Copyright © 2011 Amazon Web Services