AWSマイスターシリーズ ～CloudFront & Route53～

Amazon

Virtual Private Cloud

(VPC)

AWSの様々なサービス

2

お客様のアプリケーション

認証 AWS IAM モニタリング Amazon CloudWatch Web管理画面 Management Console デプロイと自動化 AWS Elastic Beanstalk AWS CloudFromation IDEプラグイン Eclipse Visual Studio ライブラリ & SDKs Java, PHP, .NET, Python, Ruby Development & Administration コンテンツ配信 Amazon CloudFront メッセージ Amazon SNS Amazon SQS 分散処理 Elastic MapReduce メール配信 Amazon SES キャッシング Amazon Elasticache ワークフロー管理 Amazon SWF Application Service コンピュータ処理 Amazon EC2 Auto Scale ストレージ Amazon S3 Amazon EBS AWS StorageGateway データベース Amazon RDS Amazon DynamoDB Amazon SimpleDB AWS グローバルインフラ

Geographical Regions, Availability Zones, Points of Presence

AZ Region

ネットワーク & ルーティング

Amazon VPC / Amazon Elastic Load Balancer / Amazon Route 53 /AWS Direct Connect

Infrastructure Service

Agenda

VPCとは?

VPCの構成要素

Hands-on

Amazon Direct Connectとは

VPC + VPN/Direct Connectを使った構成例

Q&A

Amazon VPC

AWSクラウド上にプライベートクラウドを構築

 ①社内からVPN接続して閉域網でAWS利用

 ②仮想ネットワーキング

オンプレミスとのハイブリッドが簡単に実現

 AWSが社内インフラの一部に見える

 社内システム、ソフトウェアの移行がより容易に

 例：業務システム、バッチ処理、ファイルサーバ

より細やかにネットワークがコントロール可能

全リージョンで利用可能

5 Copyright © 2012 Amazon Web Services

なぜVPCが必要か？

Copyright © 2012 Amazon Web Services

ネットワークセキュリティを高める

きめ細かなアクセス制御が可能

Security Group, NACL, Route Table, etc

VPN, DXを使って完全に外部と閉じた環境を

実現

自由なネットワーク設計が可能

既存のネットワークルールを適用可能

ローカルIPを固定で使用可能

お客様のインフラをAWS上に延長する

リージョン EC2 VPC NAT イントラ プライベート サブネット パブリック サブネット Internet EC2内に分離し たサブネットを 自由に作成 VPN 接続 ゲート ウェイ

Copyright © 2012 Amazon Web Services

VPN DX

8

• IPアドレス割り当て・複数サブネット

• インターネットGW・カスタマーGW

• 以下は構成例(柔軟な構成が可能)

パブリック サブネット パブリック+プライベート サブネット パブリック+プライベート ＋ＶＰＮ プライベート ＋ＶＰＮ

VPCのテンプレートを準備

VPC with a Single Public Subnet

EIP(Elastic IP)アドレスをパブリックイ

ンタフェースにアサイン

適用メリット

 高いセキュリティの中でWebアプリを稼

働させる

 プライベートIPを用いて、インスタンス

をまとめられる

9 Copyright © 2012 Amazon Web Services

VPC with Public

and Private Subnets

パブリックサブネットのイン

スタンスには、EIPをアサイン

できる

プライベートサブネットのイ

ンスタンスはインターネット

から直接アクセスできない

適用メリット

 Webサーバーをパブリックサブ

ネットを稼働し、プライベート

サブネット内のデータベースの

読み書きを行う

10 Copyright © 2012 Amazon Web Services

VPC with Public

and Private Subnets and

a VPN Connection

パブリックサブネットのインスタ

ンスには、EIPをアサインできる

プライベートサブネットのインス

タンスにVPN経由でアクセス可能

適用メリット

 VPCをインターネットに接続しつ

つ、データセンターをクラウド上

に拡張

11 Copyright © 2012 Amazon Web Services

VPC a Private

Subnet and a VPN

Connection

VPC登場時はこの形態のみだった

全てのトラフィックは社内データセンタ

ーのファイヤウォール経由で行われる

適用メリット

 データセンターをクラウドに拡張しても

中央集権的管理を維持する

12 Copyright © 2012 Amazon Web Services

VPCで操作できる構成要素

VPCで操作できる構成要素

 Security Group(and DB Security Group)

 Network Access Control (NACL)

 Route TableとInternet Gateway (IGW)

 NAT

 EC2 Dedicated Instance

 Elastic Network Interface

VPCでのSecurity GroupとNACL

Instanceレベル でIn/Outのアク セス制御 Subnetレベルで In/Outのアクセ ス制御

EC2のセキュリティグループ設定

Security Group EC2 Instance _{Port 22} (SSH) Port 80 (HTTP)

インターネットからのトラフィック(Inbound)をブロック

するだけでなく、EC2からのトラフィック(Outbound)を

制限する事も可能です。

EC2のセキュリティグループ設定

Security Group-A (ID: sg-aaaaaa) Apache EC2

セキュリティグループの”Source”に対して、

セキュリティグループのIDを指定することが可能です。

Security Group-B (ID: sg-bbbbbb) MySQL EC2

Port range Source 80 0.0.0.0/0

Port range Source 3306 sg-aaaaaa

Security Group-C (ID: sg-cccccc)

Apache EC2

Port range Source 80 0.0.0.0/0

Route Tableについて

Copyright © 2012 Amazon Web Services

各SubnetはRoute Tableを持っている。設定を

変更することでデータの流れを制御可能。

Public SubnetのRoute Table

Private SubnetのRoute Table

IGW(Internet Gateway)へ のルーティングがあるので、

Route Tableについて

Copyright © 2012 Amazon Web Services

Public Subnet VPC 10.0.0.0/16 Web Server Private Subnet Web Server Destination Target 10.0.0.0/16 Local 0.0.0.0/0 igw-xxxxx Destination Target 10.0.0.0/16 Local IGWにRoutingされて いないので外部と通 信できない。 Internet Gateway Internet

ELB on VPC

ELB on VPCの機能

 パブリッククラウドのELBと機能面は同等

 ELBのトラフィックをサブネットをまたいで分散

 ELBセキュリティグループで、より細かくコントロー

ル可能

ELB on VPCの制約

 IPv6サポートは現状なし

 /27 CIDRブロック以上のIPアドレスが必要

RDS for MySQL on VPC

MySQL RDSはVPCで使えるように

マルチAZ対応、リードレプリカ対応

VPC上での注意点

 DB Subnet Groupを事前に作成する

• RDSを利用するVPC及びサブネットを指定

 RDSをVPC内で起動

• DB Subnet Groupを指定

 DBセキュリティグループも指定する

21

VPC設定時の注意点

Copyright © 2012 Amazon Web Services

VPC内で構成するEC2 Instance, ELB, Elastic IP,

Security Groupなどを作成する際、VPCを明示的に指定す

る必要がある。

EC2のt1.micro は使うことができない

プライベートIPを指定して起動できる

指定しないと自動で割り振られる

Elastic IPの挙動が異なる

VPCではEC2を再起動しても割当てられたままとなる

既にElastic IPが割当てられているEC2に対して、別のElastic

IPを割り当ててもErrorになる

Copyright © 2012 Amazon Web Services

EC2 Dedicated Instance

クラウドのメリット確保

従量課金

柔軟にスケールアップ

瞬時に調達

規制に対応しなければい

けないお客様のご要望に

応えるサービス

顧客A 物理サーバー 通常のEC2 顧客B 顧客C 顧客A 物理サーバー 顧客B 顧客C Dedicated Instance

VPC内で専用インスタンス

シングルテナント保証

NATについて

Copyright © 2012 Amazon Web Services

AWSからNAT用のEC2 AMIを提供している

Private Subnetから外部インターネットにアク

セスする際の手段

ソフトウェアリポジトリにアクセス

外部パッチサイトにアクセス

S3, Route53, DynamoDB, SES, SQSなどの

VPC外のAWSサービスにアクセス

NAT Instanceを使うことで、セキュリティを確

保したまま外部へのアクセスが可能

NATについて

Copyright © 2012 Amazon Web Services

Public Subnet VPC 10.0.0.0/16 Web Server Private Subnet Web Server Destination Target 10.0.0.0/16 Local 0.0.0.0/0 igw-xxxxx Destination Target 10.0.0.0/16 Local 0.0.0.0/0 NAT IGWにRoutingされて いないので直接外部 と通信できない。 Internet Gateway Internet NAT

Public subnet + Private subnet +

VPN GW

Virtual Private Cloud = 10.0.0.0/16 Public Subnet Internet Gateway Security Group Private Subnet Security Group NAT instance Destination Target 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway Destination Target 10.0.0.0/16 local 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance VPN Gateway Corporate = 172.16.0.0/16

ハードウェアVPN

IPsec VPN

 BGP (Border gateway protocol)

 AES 128 bit の暗号化トンネル

サポート対象

 Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software

 Juniper J-Series routers running JunOS 9.5 (or later) software

 Juniper SRX Series Service Gateway running JunOS 9.5 (or Later)software  Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software

 Yamaha RTX1200 routers (Rev. 10.01.16+)

参考URL

Copyright © 2012 Amazon Web Services

AWS Direct Connectとは

AWS Direct Connect：AWSとデータセンター、オフィス、

コロケーション環境間にプライベート接続を確立するサービス

特徴 • ネットワークのコスト削減 • 帯域幅のスループット向上 • インターネットベースの接続よりも一貫性がある お客様 AWS Cloud EC2, S3などの Public サービス Amazon VPC エクイニクス 相互接続ポイント 専用線 AWS Direct Connect AWS Direct Connect

AWS Direct Connect 詳細内容

AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供

 専用線サービスは、お客様が下記の2つの選択肢から選択 • お客様がエクイニクス相互接続ポイントにお客様が専用線を 直接つなぐ • 複数の通信事業者の専用線接続サービスを利用 – NTTコミュニケーションズ – KVH – ソフトバンクテレコム – 野村総合研究所  前提条件

• PublicなAWS サービス(EC2, S3, RDS, etc.)と接続する場合 – PublicなAS番号が必要

• Amazon VPCと接続する場合 – PrivateなAS番号を使用

• リージョン毎に契約が必要

• 多くの容量が必要な場合、複数の接続のプロビジョニングが可能

Equinixへラックを設置する方法

WANの終端装置、VLAN対応スイッチを

ラック内

に設置

TY2では構内配線

お客様 ラック AWS ラック AWS R R 802.1q 1G/10G キャリア WAN終端 装置 エンド Equinix TY2

課金体系(1/2)

月額利用料は下記の計算で課金されます

（月額利用料 ＝

AWS Direct Connect料金＋通信事業者の専用線サービス料金)

 AWS Direct Connect 料金

（回線利用料 ＋ データ転送料）

回線利用料（本数分）

ロケーション 1 Gbps ポート 10 Gbps ポート CoreSite One Wilshire, Los Angeles, CA $0.30/時間 $2.25/時間 Equinix DC1 – DC6, Ashburn, VA $0.30/時間 $2.25/時間 Equinix SV1 & SV5, San Jose, CA $0.30/時間 $2.25/時間 Equinix SG2、シンガポール $0.30/時間 $2.25/時間 Equinix TY2、東京 $0.30/時間 $2.25/時間 TelecityGroup Docklands、ロンドン $0.30/時間 $2.25/時間

課金体系(2/2)

 AWS Direct Connect 料金

（回線利用料 ＋ データ転送料）

データ転送料 (割引されたデータ転送料金を適用)

通信事業者の専用線サービス料金

• 各通信事業者様にお問い合わせください

ロケーション データ転送受信（イン） データ転送送信（アウト） CoreSite, One Wilshire と米国西部（北カリフォルニ

ア）リージョン間 無料 $0.030/GB バージニア州アッシュバーンの Equinix（エクイニク ス）と米国東部（バージニア北部）リージョン間 無料 $0.020/GB Equinix SV1 and SV5 と米国西部（北カリフォルニア） リージョン間 無料 $0.020/GB Equinix, SG2 とアジアパシフィック（シンガポール） リージョン間 無料 $0.045/GB Equinix, TY2 とアジアパシフィック（東京）リージョン 間 無料 $0.045/GB TelecityGroup, ロンドン Docklands' と欧州（アイルラ ンド）リージョン間 無料 $0.030/GB

VPC+VPN/Direct Connect

の構成例

AWS構成例（仮想グループクラウド）

36  グループクラウド網と専用線 サービス接続  イントラネットの一部として AWSの利用が可能 （仮想グループクラウド）  ハイブリッドクラウドサービス の一つ選択肢としてAWSを提 供 本社 各種団体等 貴社プライベートクラウド グループ クラウド網 生産関連会社A 生産関連会社B 生産関連会社C

既存データセンター

S3：データ耐久性99.999999999%

AWS Storage Gateway：透過的にS3にバックアップを行う

利用例

テープ隔地保管の代替として

バックアップシステムを直接S3へ

AWS利用例（バックアップ）

Direct Connect（専用線） Virtual Private Network (VPN) 統合バックアップ

Amazon Simple Storage Service (S3) Xxシステム ･･･ 複数世代管理 隔地保管 直接バックアップ

Amazon Storage Gateway

http://aws.amazon.com/storagegateway

DirectConnect VPN

既存データセンター

AWS利用例（開発/維持管理環境）

本番環境はこれまで同様既存DCにて構築

開発、維持管理環境はAWS構築

専用線接続、またはVPN接続

 旧来の環境とシームレスに接続可能

利用例

本番開発環境差異：ハードウェアに依存しないシステム開発

Amazon Elastic Compute

Cloud (EC2) 開発環境 本番環境

行内L/W Direct Connect（専用線）

AWS利用例（連動性）

既存システムとの連動 利用例 監視、認証 データ連動、受け渡し 既存データセンター Direct Connect（専用線） Virtual Private Network (VPN) OVO

Xxシステム

UID _認証

データ連動 監視

Amazon Elastic Compute Cloud (EC2)

AWS利用例(データ処理のみCloudを利用)

データベースは既存データセンター内で構築

CPUパワー不足時、またはCPU処理のみAWS EC2, HPC, EMRを利用 （使用時のみ課金）

利用例

データベースは外に出したくない業務 バッチジョブ、HPC、季節連動性の業務

既存データセンター

Amazon Elastic Compute Cloud (EC2)

Direct Connect（専用線） Virtual Private Network (VPN)

Oracle Database Servers

･･･ CPU処理

スケールアップ/ア ウト、休止自在

オンプレミスとのハイブリッド環境

DATAPIPE社のサービス例

 Oracle DBをオンプレミスのデータセンタに設置

 変化するリソースはAWS上

AWS利用例（DR環境）

本番環境は既存DCにて構築 DR環境はAWS内で構築 利用例 これからDR環境を整備するシステム コスト面でDRを整備出来なかったシステム（F/S等） 通常は休止または必要最小規模で稼働 既存データセンター

Amazon Elastic Compute Cloud (EC2)

DR環境 本番環境

Direct Connect（専用線） Virtual Private Network (VPN)

Q & A

最後に(非常に大事です！)

全てのサービスを終了しましょう！！

後からAWSにご連絡があっても、対処でき

ませんので、ご了承くださいませ。。

Appendix

VPC上で実現する仮想ネットワークインタ

フェースを複数持てる機能

インスタンスによって割り当てられる数が異なる。

以下をENIに紐づけて維持可能

Private IP

Elastic IP

MACアドレス

セキュリティグループ

Elastic Network Interfacesとは

Elastic Network Interfaces

Copyright © 2012 Amazon Web Services

Type Elastic Network Interfaces (ENIs)

Private IP

Addresses per ENI Name

Micro N/A N/A t1.micro

Small 2 4 m1.small

Medium 2 6 m1.medium

Large 3 10 m1.large

Extra Large 4 15 m1.xlarge

High-CPU Medium 2 6 c1.medium

High-CPU Extra Large 4 15 c1.xlarge

High-Memory Extra Large 4 15 m2.xlarge

High-Memory Double Extra Large 4 30 m2.2xlarge High-Memory Quadruple Extra Large 8 30 m2.4xlarge Cluster Compute Quadruple Extra Large N/A N/A cc1.4xlarge Cluster Compute Eight Extra Large 8 30 cc2.8xlarge Cluster GPU Quadruple Extra Large N/A N/A cg1.4xlarge

ユースケース

サービス用と管理用のENIの分離

複数ENIを前提としたソフトウェアの利用

MACアドレスでライセンスが固定されたソフ

トウェア利用

1台サーバ上での複数SSL証明書の利用

複数の仮想ホスト設定

Elastic Network Interfaces

NACL(Network Access Control)

Copyright © 2012 Amazon Web Services

個々のSubnetごとにアクセス 制御が可能

Inbound, Outboundに対して下記の設定が可能

Inbound

Port range(ポート番号)

Source(アクセス元IPアドレス)

Allow/Deny

Outbound

Port range(ポート番号)

Destination(アクセス先IPアドレス)

Allow/Deny

NATインスタンスの作成

1. AWSではNAT用のインスタンスを用意していますので、

”ami-vpc-nat”で検索します。

例: AMI NAME “ami-vpc-nat-1.0.0-beta.x86_64-ebs”

2. 上記AMIを使って、Public SubnetにNATインスタンスを起

動します。

3. NATインスタンスの”Change Source / Dest Check”を

Disableにします。

4. NATインスタンスにElastic IPを付けます。

5. Public SubnetのRoute TableにNATインスタンスのIDを追

加

NATインスタンスの作成/起動(1)

Copyright © 2012 Amazon Web Services

Public Subnet VPC 10.0.0.0/16 Web Server Private Subnet Web Server ①② NATインスタンスを AMIから起動 Internet Gateway Internet NAT ③NATインスタンスの”Change Source / Dest Check”をDisableに設定

NATインスタンスを右クリックして”Change Source / Dest

Check”を選択し、”Yes, Disable”を選択します。

NATインスタンスの作成/起動(2)

Copyright © 2012 Amazon Web Services

Public Subnet VPC 10.0.0.0/16 Web Server Private Subnet Web Server Destination Target 10.0.0.0/16 Local 0.0.0.0/0 NAT(Instance ID) Internet Gateway Internet NAT Elastic IP ④Elastic IPの追加 Destination Target 10.0.0.0/16 Local 0.0.0.0/0 igw-xxxxx ⑤Route TableにNATインス タンスを追加

NATインスタンスの作成/起動(3)

Copyright © 2012 Amazon Web Services

Public Subnet VPC 10.0.0.0/16 Web Server Private Subnet Web Server Destination Target 10.0.0.0/16 Local 0.0.0.0/0 NAT(Instance ID) Internet Gateway Internet NAT ⑥必要に応じてNATインスタ ンスのSecurity Groupを設定 Destination Target 10.0.0.0/16 Local 0.0.0.0/0 igw-xxxxx Elastic IP

NATインスタンスの作成/起動(4)

Copyright © 2012 Amazon Web Services

Public Subnet VPC 10.0.0.0/16 Web Server Private Subnet Web Server Destination Target 10.0.0.0/16 Local 0.0.0.0/0 igw-xxxxx IGWにRoutingされて いないので直接外部 と通信できない。 Internet Gateway Internet NAT NAT経由でのアクセ スを確認ください。 Destination Target 10.0.0.0/16 Local 0.0.0.0/0 NAT(Instance ID)