© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Internet
Account Account Account Account
開発環境
Account Account Account Account
テスト環境
Account Account Account Account
本番環境
アウトバウンド
URL filtering NAT gateway DLP / Proxy
エッジサービス
WAF / ADC
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Transit Gateway と PrivateLink の使い分け
AWS Transit Gateway
•
多対多、1
対多でルーティング テーブルを利用するもの• Highly scalable
• 1
時間当たりのAZ
エンドポイント コストAccount Account
Account Account
Development
Account Account
Account Account
Testing
Account Account
Account Account
Production Shared Services
Authentication, Monitoring
Route
Tables Route
Tables
Transit Gateway
適用範囲:アプリケーション共有サービス 信頼モデル:
VPC
間に相互信頼をもたない依存関係:ロードバランサとアプリケーションアーキテクチャ 規模:数千のスポーク
VPC
対象範囲:多数の
VPC
へのネットワーク共有サービス 信頼モデル:VPC
単位の信頼、集中管理依存関係:
Transit Gateway
による集中管理 規模:数千のスポークVPC
AWS PrivateLink
• 1対多のコネクティビティ
• Highly scalable
• IPアドレス重複のサポート
• Elastic Load Balancingの使用
•
ロードバランサと1時間当たりの エンドポイントコスト© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Transit Gateway と VPN
VPN
Route
tables Route
tables
Transit Gateway
Customer Gateway Transit Gateway (TGW)
によるVPN
の統合• VPN
はVirtual Private Gateway (VGW)
に接続しているよう に動作•
帯域、設定、API,
コストおよびエクスペリエンスは従 来通り• VPN
はVGW
ではなくTGW
に接続• VGW
同様トンネルあたり1.25 gbps
の帯域幅を適用 多数のVPC
のエッジへの暗号化•
トラフィックはVPC
内に入るまで暗号化• VPC
間の通信は自動では暗号化されない•
インターリージョンVPC
はデフォルト暗号化© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Transit Gateway と VPN: VPN 帯域の向上
VPN
Route
tables Route
tables
Transit Gateway
Customer Gateway
複数トンネルによるトラフィックの分散サポート• BGP
マルチパスによるEqual Cost Multi Path
(ECMP
)の サポート•
最大50 Gbps
の帯域までテスト済み•
トラフィックの小さな複数のフローへの分割,
マルチパー トアップロード, etc.
オンプレミス環境側の設定確認事項
•
マルチパスBGP
サポート• ECMP
サポート, ECMP
のパスの最大数, reverse-path forwarding/spoofing
機能の有無• BGP
サポートのみ、スタティックルートは未サポート© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Direct Connect と Transit Gateway
Direct Connectの複数
VPCでの利用 Public 接続を利用した Direct
Connect 上に VPN を張る暗号化
Account Account Account Account Development
Account Account Account Account
Testing
Account Account Account Account
Production Shared
VPN AWS Direct
Connect
Route Tables
Route Tables
Transit Gateway
Private virtual
interfaces
VPN
AWS Direct Connect
Route Tables
Route Tables Transit Gateway
Public virtual interface
AWS Cloud
Receive AWS
public IP addresses
2019Q1 サポート予定
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Transit Gateway: 価格
•
固定料金:トランジットゲートウェイがお客様のアカウントで稼働している1
時間ま たは1
時間あたりの料金•
データ転送料金:転送されるデータの1 GB
あたりの料金https://aws.amazon.com/jp/transit-gateway/pricing/
参照© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Transit Gateway: サポートリージョン
•
米国東部(バージニア北部)•
米国西部(
オレゴン)
•
米国西部(
北カリフォルニア)
•
米国東部(
オハイオ)
•
欧州(
アイルランド)
•
アジアパシフィック(
ムンバイ)
•
欧州(
パリ)
•
欧州(
フランクフルト)
•
アジアパシフィック(
ソウル)
•
欧州(
ロンドン)
•
アジアパシフィック(
東京)
•
アジアパシフィック(
大阪:
ローカ ル)
•
アジアパシフィック(
シンガポー ル)
•
アジアパシフィック(
シドニー)
•
カナダ(
中部)
11/26 ローンチ時 12/ 中
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPC Sharing
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
従来のマルチアカウント 構成
App A Production Account App A Test/UAT Account App A Development Account Master Account
App B Production Account App B Test/UAT Account App B Development Account
Business Unit A
Business Unit B
VPC VPC VPC
VPC VPC
VPC
VPC VPC VPC VPC
VPC VPC
NAT gateway NAT gateway NAT gateway
NAT gateway
NAT gateway
Peering Peering
Peering Peering
Private VIF
Private VIF Private VIF
Private VIF
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ネットワーク分離に関する一般的な問題
IPv4アドレスの枯渇
VPCでは1サブネットごと5つのIPが予約される。
分割によりサブネットは小さくなり、新しいAZに代わ りのレンジを割り当てるスペースの減少
管理のオーバーヘッド
IPアドレスの割り当て管理の煩雑化
テンプレート管理一貫性のないコンフィギュレーション
VPCのハードウェア制限
相互接続可能なネットワーク数の枯渇 最大ピアリング数125
ダイレクトコネクト1契約あたり50 VIFs
コスト
VPC 間のトラフィックコスト
リソース重複:VPN,NAT Gateway 複雑なコネクティビティ
メッシュネットワーク 多数の
BGP
セッショントランジットVPCソリューション
セキュリティ
権限の分離 集中管理
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.