© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS re:Invent 2018 ダイジェスト
Compute/Networkセッション
2018/12/13
アマゾン ウェブ サービス ジャパン株式会社
松尾康博
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
アジェンダ
•
Compute/EC2関連の新機能
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
re:Invent期間中に発表された主なCompute関連サービス
•
Amazon EC2 A1インスタンス
•
Amazon EC2 C5nインスタンス
•
Amazon EC2 P3dnインスタンス
•
Elastic Fabric Adapter
•
AWS Outposts
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
EC2のプロセッサとアーキテクチャの幅広い選択肢
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
コスト効率の高いAMDインスタンス
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
コストパフォーマンスの高いARMインスタンス
45%
AWS Gravitonプロセッサ
8
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
特定ワークロード用のアクセラレータ
Elastic Graphics
Elastic Inference
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
幅広く深いEC2プラットフォームの選択肢
カテゴリー
機能
オプション
あらゆるワークロードと
ビジネスニーズに対応
10
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ARMベースのAWS Gravitonプロセッサ搭載 A1インスタンス
•
64-bit ARMアーキテクチャGraviton
プロセッサを搭載
•
他ファミリと比較して最大
45%のコス
ト削減を期待できる
•
バージニア、オレゴン、アイルランド、
オハイオの各リージョンで利用可
a1ファミリ
vCPU
メモリ
(GiB)
EBS帯域
(Gbps)
NW帯域
(Gbps)
コスト
($/時)
a1.medium
1
2
Max 3.5
Max 10
0.0255
a1.large
2
4
Max 3.5
Max 10
0.0510
a1.xlarge
4
8
Max 3.5
Max 10
0.1020
a1.2xlarge
8
16
Max 3.5
Max 10
0.2040
a1.4xlarge
16
32
3.5
Max 10
0.4080
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon EC2 汎用インスタンス
13
時々高いCPU使用率を必要とする多くのワークロード
CPU、メモリおよびネットワークリソースそれぞれをバ
ランスよく使用するワークロード
複数のCPUコアを複数インスタンスに跨ってスケール
アウトし、広範なARMエコシステムによってサポート
されるワークロード
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon EC2 A1のターゲットアプリケーション
14
ウェブサーバー
キャッシュサーバー
コンテナ マイクロサービ
ス
開発/テスト環境
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ARMインスタンスとソフトウェアエコシステム
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon EC2インスタンス ネットワークの変遷
•
EC2のネットワーク帯域は1G,10G,20G,25Gと拡張され、今回100G対応が発表
•
100Gbpsに対応するインスタンスとしてC5n、P3dnが発表済み
17
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
C5とC5nの違い
•
ネットワーク帯域が最大
25→100Gbpsに拡張
•
ネットワークキュー数が最大
8→32に拡張
•
メモリサイズが同一インスタンスサイズで約
1.3倍に増量、メモリアクセス速度も最
大
19%向上
•
価格は
C5と比較して約1.27倍
(リリース時点バージニアリージョンLinuxオンデマンド価格)
c5nファミリ
vCPU
メモリ
(GiB)
EBS帯域
(Gbps)
NW帯域
(Gbps)
c5n.large
2
5.25
Max 3.5
Max 25
c5n.xlarge
4
10.5
Max 3.5
Max 25
c5n.2xlarge
8
21
Max 3.5
Max 25
c5n.4xlarge
16
42
3.5
Max 25
c5n.9xlarge
36
96
7
50
c5n.18xlarge
72
192
14
100
c5ファミリ
vCPU
メモリ
(GiB)
EBS帯域
(Gbps)
NW帯域
(Gbps)
c5.large
2
4
Max 3.5
Max 10
c5.xlarge
4
8
Max 3.5
Max 10
c5.2xlarge
8
16
Max 3.5
Max 10
c5.4xlarge
16
32
3.5
Max 10
c5.9xlarge
36
72
7
10
c5.18xlarge
72
144
14
25
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
EC2インスタンスのネットワーク帯域についての注意点
•
EC2間のトラフィックには下記の制限がある
•
シングルフロー通信:最大5Gbps または 10Gbps (同一Cluster Placement Groupの場合)
•
マルチフロー通信:最大100Gbps (c5n.18xlargeの場合)
通信方式
通信先
同一Cluster Placement Group 同一AZ
別AZ
リージョン外
シングルフロー 最大10Gbps
最大5Gbps
最大5Gbps
最大5Gbps
マルチフロー
最大100Gbps
最大100Gbps 最大100Gbps
https://aws.amazon.com/jp/blogs/news/the-floodgates-are-open-increased-network-bandwidth-for-ec2-instances/
100Gbpsの帯域を最大限活用する為には、通信の多重化、
マルチコアへの分散を意識する必要がある (RPS/RFSの設定 etc.)
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
P3DNの特徴
•
ネットワーク帯域が最大
25→100Gbpsに拡張
•
NVIDIA Tesla V100 32GBメモリ版を8枚搭載 (P3は16GBメモリ版)
•
900GB x 2のNVMe SSDを内蔵
•
P3 : 2.3GHz(2.7GHz) Broadwell E5-2686v4 64vCPUに対して、P3dnは2.5GHz(3.1GHz) Skylake
P-8175M 96vCPU
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
EFA(Elastic Fabric Adapter)
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ENA(Elastic Network Adaptor)とEFAの比較
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Libfabricコンポーネント
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
低遅延通信が必要なシステムにはハイブリッド
クラウドが必要
金融サービス
高頻度取引、為替取引
リアルタイム推論
自動運転、野外センサーデータ
コンテンツ開発、配布、
ゲーム
ロスレス信号処理、ライブイベ
ント、ゲームストリーミング
レガシーシステム連携
ERP等とトランザクション連携
工場の自動化
製造業、センサー制御、ロ
ボット
通信企業
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Outpostsの概要
•
オンプレミスのシステムとの
低遅延な
連携を実現するために
『AWSを
拡張する
』サービス
•
通常のEC2同様、マネジメントコンソールやAPI/CLIなどで操作
•
AWSが設計したハードウェアを提供。
AWSネイティブまたはVMware Cloud on AWSの
いずれかの環境を選択できる予定
•
2019年下半期 (2H)に開始予定
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
re:Invent期間中に発表された主なNetwork関連サービス
•
AWS Global Accelerator
•
VPC Sharing
•
AWS Transit Gateway
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
お客様の求めるもの
エンドユーザーを極力早く
アプリケーションに接続し
たい
インターネットアプリケー
ションをグローバルにスケー
ルアウト
即時のフェイルオーバーに
よる高可用性システムの構
築
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
現在の課題
信頼できないクライアン
トアプリケーションの
IPキャッシング
パブリックインターネット
経由通信の一貫性のない
パフォーマンス
管理が面倒なDNSベースの
複雑なIP管理
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS
us-east-1
Elastic IP
Address
us-west-1
Elastic IP
Address
Region
Region
インターネットを利用す
ることにより混雑やルー
ティングの変更により性
能が安定しない
リージョン毎に異なる
IPでの提供になるなど、
IPが固定できない
リージョン間フェイ
ルオーバーが難しい
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Global Acceleratorのご紹介
AWSグローバルネットワークを使用してエンドユーザの
アプリケーションの可用性とパフォーマンスを向上
User
AWS Global
Application
Accelerator
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Edge Location
Edge Location
Edge Location
AWS GLOBAL ACCELERATOR
AWS
AMAZON GLOBAL
NETWORK
us-east-1
Elastic IP
Address
192.0.2.1
192.0.2.1
192.0.2.1
Region
エニーキャストを利用し、
同じIPをグローバルで利用
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Edge Location
Edge
location
Edge Location
Edge
location
Edge Location
Edge
location
AWS GLOBAL ACCELERATOR
AWS
AMAZON GLOBAL
NETWORK
us-east-1
Elastic IP
Address
Region
エンドユーザはそれぞれ最寄りの
Edge Locationから誘導される
インターネットは
使わずGlobal
Networkを利用
設定された内容に基づき、エンド
ポイントグループにアクセス
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Edge Location
Edge
location
Edge Location
Edge
location
Edge Location
Edge
location
AWS GLOBAL ACCELERATOR
AWS
AMAZON GLOBAL
NETWORK
us-east-1
Elastic IP
Address
us-west-1
Elastic IP
Address
Region
Region
エンドユーザはそれぞれ最寄りの
Edge Locationから誘導される
設定された内容に基づき、それぞれ
エンドポイントグループにアクセス
インター
ネットは使
わない
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Global Accelerator:
主な機能
AWS Global
Accelerator
単一または複数地域アプリケーションのための
固定エニーキャスト
IPアドレス
インテリジェントなトラフィック配信
TCP/UDPプロトコルサポート
即時リージョンフェールオーバー
フォールトトレランスの強化
詳細なトラフィック制御
NLB, ALBおよびIP endpointsサポート
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Global Accelerator Before/After
Before
• リージョンにたどり着く
までに複数の
ISPを経由
• 混雑や遅延に巻き込まる
可能性があるため、可用
性や性能安定に問題が発
生する可能性がある
After
• 最寄りのEdge Locationか
ら
AWSバックボーンを経
由してアクセス
• 混雑や遅延に巻き込まる
可能性が低減されるため、
可用性や性能安定が実現
する
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
• マルチリージョンアプリケーションへの固定IPアドレス
• バックエンドへの継続的なヘルスチェック
• 数秒で自動フェイルオーバー
• クライアントデバイスによるIPアドレスキャッシング問題を回避
• エニーキャスト技術によりトラフィックは、クライアントに最も
近い
AWSエッジロケーションを経由
• エッジロケーション通過後、パブリックインターネットではなく、
AWSグローバルネットワークを通過
• リージョンを超えて簡単にアプリケーションを拡張可能
• 企業のファイアーウォールでのIPホワイトリスト定義が容易
• ウェイトの定義により、テスト/スタックアップグレードのため
にリージョンへのトラフィックの優先度を手動で変更可能
• バックエンドキャパシティに応じたリージョンへのトラフィック
制御
ハイアベイラビリ
ティ
パフォーマンスの
向上
簡単な運用
より詳細な
トラフィック
コントロール
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ユースケース –
リアルタイムゲーム
•
ゲームサーバは複数リージョンで動作
•
プレイヤーは全世界から接続
•
一貫性のあるパフォーマンス要求
•
レイテンシの悪化がユーザエクスペリエンス
の低下に直結
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ユースケース –
支払取引
•
ダウンタイムによる収益損失
•
予測不能なクライアントデバイスの
IPキャッ
シング
•
瞬時のフェイルオーバーと変更の伝播の要求
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ユースケース –
デジタルセキュリティと脅威インテリジェ
ンス
•
セキュリティアプリケーションによるホワイ
トリスト
IPアドレスの要求
•
アプリケーションのスケールアウト及びス
ケールダウンによる
IPアドレスの変化
•
アプリケーション対応のため
IPアドレスレン
ジををホワイトリストに登録するとセキュリ
ティポリシーを侵害するケース
•
小規模な固定
IPアドレスにより、管理が容易
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
その他のユースケース
デジタルパブリッ
シング
モバイルアプリ
ケーション
メディア
Internet of
Things(IoT)
ウェブサイト
フィナンシャル
サービス
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Global Acceleratorの設定
アクセラレータ
IP
リスナー
エンドポイントグループ
1.2.3.4
us-east-1
Endpoints: ALB 1,
ALB 2
TCP
80,443
UDP
53
eu-west-1
Endpoints: NLB 1,
NLB 2
3.4.5.6
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Global Accelerator:
価格
Data Transfer-Premium
Destination (AWS edge location)
NA
EU
APAC
Source
(AWS
Region)
NA
$0.015 /GB
$0.015 /GB
$0.035 /GB
EU
$0.015 /GB
$0.015 /GB
$0.043 /GB
APAC
$0.012 /GB
$0.043 /GB
$0.010 /GB
•
固定費用
:
アカウント内で動いている
Accelerator毎に1時間(1時間未満の場合は繰り
上げ)毎に
$0.025
•
Data Transfer-Premium(DT-Premium):
AWSネットワークで転送されたGBあたりの
課金。
DT-Premiumの料金はリクエストを受け付けたAWS リージョン(Source)と
レスポンスを扱った
AWSエッジロケーション(Destination)により異なります。
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Global Accelerator: サポートリージョン
• N.Virginia
• Oregon
• N. California
• Ohio
• Dublin
• Frankfurt
• Tokyo
• Singapore
• Canada (central)
• London
• Paris
• Seoul
• Osaka-Local
• Sydney
• Mumbai
• Sau Paulo
2018
2019
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
お客様の求めるもの
オンプレミスとVPC間の
相互接続
リージョンを超えたスケー
ルアウトできる接続性
ネットワークの設定単純化
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
これまでのネットワークの課題
従来の複雑なポイント
to ポイントのVPCピア
リングではスケールし
ない。
VPN帯域の制約
ルーティング構成の管理
と設定時間の浪費
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Transit Gatewayのご紹介
1000以上のVPCとオンプレミス間の相互接続を簡単に
オンプレミス
データセンター
AWS VPC
AWS Transit
Gateway
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
必要に応じて多くの
VPCに拡張可能
Account
Account
Account
Account
開発
Account
Account
Account
Account
ステージング
Account
Account
Account
Account
本番環境
共有サービス
Authentication, monitoring
Route
tables
tables
Route
Transit Gateway
単一のルーティングテーブルまたは
分離されたルーティングテーブル
(
VRF)で動作
Account
Account
Account
Account
検証環境
アプリケーション例
•
認証
•
ロギング
•
DevOps ツール
•
セキュリティリソース
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Transit Gateway:
主要機能
AWS Transit
Gateway
VPCとオンプレミス間のルーティングポリシーを集中管理
マルチアカウント間での
1000を超えるVPC間接続をサポート
柔軟なルーティングテーブルの分割とルーティングルール
スケーラブル
マルチ
VPNコネクションのスループット向上
運用の単純化
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
• アカウント間の複数VPC間の相互接続の集中管理
• VPNとDirect Connectの接続点を集中化
• ピアツーピアネットワークが必要であった構成の削減、または廃
止が可能
• ECMPルーティングによるVPNスループットの向上(50 Gbps+)
• AWS Transit Gatewayによりリージョン間のピアリングが可能
• AWSグローバルネットワークを活用して、低遅延のクロスリー
ジョン接続を実現
• Regional construct reduces blast radius
• AWSとオンプレミス間の設定時間を削減
• 1カ所で管理および監視が簡単に可能
• CloudWatchとVPC Flow Logsとの統合
• 既存のVPCセキュリティグループとネットワークアクセスコント
ロールリストを利用可能
ネットワーク構成の
単純化
Global Connectivity
管理を簡単に
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ユースケース
–
地理的に分散されたオンプレミスネット
ワークとVPCの相互接続
•
複数の
VPCを使用しているお客様
•
多数の
VPCにまたがるアプリケーションを構
築するお客様
•
ネットワークサービスの共有が可能
(DNS,
Active Directory, ファイアーウォール, IDS)
•
管理のオーバーヘッドを削減
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ユースケース
–
エッジの集約
•
すべての
VPCで共通のVPNまたはDirect
Connect Gateway(DXGW)を共有
•
複数の
VPCにオンプレミスネットワークを接
続する時間を短縮
•
AWS Transit GatewayにVPCを追加する際、
追加する顧客ネットワークに変更は不要
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Use Case
–
デジタルセキュリティと脅威インテリジェンス
•
共有の
VPCホストセキュリティツール
•
Firewall as a service
•
Webアプリケーションファイアウォール
(
WAF)、データ損失防止(DLP)、侵入検
知
/保護(IDS / IPS)
•
ネイティブ
AWSサービスでスケールアウト
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Internet
Account
Account
Account
Account
開発環境
Account
Account
Account
Account
テスト環境
Account
Account
Account
Account
本番環境
アウトバウンド
URL filtering
NAT gateway
DLP / Proxy
エッジサービス
WAF / ADC
SD-WAN
VPN / Firewall
IDS / IPS
Firewall / NGFW
インラインサービス
共有サービス
Authentication, Monitoring
VPN
AWS Direct
Connect *
Account
Account
Account
Account
管理アカウント
(logging, AWS Organizations, billing, landing zone)
IAM, Cross-account roles
Route
tables
tables
Route
Transit Gateway
North-South
East-West +
Available Q1 2019
AWS Transit Gateway リファレンスアーキテク
チャ
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Transit GatewayとPrivateLinkの使い分け
AWS Transit Gateway
•
多対多、
1対多でルーティング
テーブルを利用するもの
•
Highly scalable
•
1時間当たりのAZエンドポイント
コスト
Account Account Account Account Development Account Account Account Account Testing Account Account Account AccountProduction Shared Services
Authentication, Monitoring
Route Tables TablesRoute
Transit Gateway
適用範囲:
アプリケーション共有サービス
信頼モデル:
VPC間に相互信頼をもたない
依存関係:
ロードバランサとアプリケーションアーキテクチャ
規模:
数千のスポーク
VPC
対象範囲:
多数の
VPCへのネットワーク共有サービス
信頼モデル:
VPC単位の信頼、集中管理
依存関係:
Transit Gatewayによる集中管理
規模:
数千のスポーク
VPC
AWS PrivateLink
•
1対多のコネクティビティ
•
Highly scalable
•
IPアドレス重複のサポート
•
Elastic Load Balancingの使用
•
ロードバランサと1時間当たりの
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Transit GatewayとVPN
VPN
Route
tables
tables
Route
Transit Gateway
Customer Gateway
Transit Gateway (TGW)によるVPNの統合
• VPNはVirtual Private Gateway (VGW)に接続しているよう
に動作
• 帯域、設定、API,コストおよびエクスペリエンスは従
来通り
• VPNはVGWではなくTGWに接続
• VGW同様トンネルあたり1.25 gbpsの帯域幅を適用
多数の
VPCのエッジへの暗号化
•
トラフィックは
VPC内に入るまで暗号化
•
VPC間の通信は自動では暗号化されない
•
インターリージョン
VPCはデフォルト暗号化
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Transit GatewayとVPN: VPN帯域の向上
VPN
Route
tables
tables
Route
Transit Gateway
Customer Gateway
複数トンネルによるトラフィックの分散サポート
•
BGPマルチパスによるEqual Cost Multi Path(ECMP)の
サポート
•
最大
50 Gbpsの帯域までテスト済み
•
トラフィックの小さな複数のフローへの分割
, マルチパー
トアップロード
, etc.
オンプレミス環境側の設定確認事項
•
マルチパス
BGPサポート
• ECMPサポート, ECMPのパスの最大数, reverse-path
forwarding/spoofing機能の有無
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Direct ConnectとTransit Gateway
Direct Connectの複数
VPCでの利用
Connect上にVPNを張る暗号化
Public接続を利用したDirect
Account Account Account Account Development Account Account Account Account Testing Account Account Account Account Production SharedVPN
AWS Direct
Connect
Route Tables Route TablesTransit Gateway
Private virtual
interfaces
VPN
AWS Direct
Connect
Route Tables Route Tables Transit GatewayPublic virtual
interface
AWS Cloud
Receive AWS
public IP addresses
2019Q1サポート予定
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Transit Gateway: 価格
•
固定料金:
トランジットゲートウェイがお客様のアカウントで稼働している
1時間ま
たは
1時間あたりの料金
•
データ転送料金:
転送されるデータの
1 GBあたりの料金
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Transit Gateway:
サポートリージョン
• 米国東部(バージニア北部)
• 米国西部 (オレゴン)
• 米国西部 (北カリフォルニア)
• 米国東部 (オハイオ)
• 欧州 (アイルランド)
• アジアパシフィック (ムンバイ)
• 欧州 (パリ)
• 欧州 (フランクフルト)
• アジアパシフィック (ソウル)
• 欧州 (ロンドン)
• アジアパシフィック (東京)
• アジアパシフィック (大阪: ローカ
ル
)
• アジアパシフィック (シンガポー
ル
)
• アジアパシフィック (シドニー)
• カナダ (中部)
11/26 ローンチ時
12/中
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
従来のマルチアカウント
構成
App A Production Account
App A Test/UAT Account
App A Development Account
Master Account
App B Production Account
App B Test/UAT Account
App B Development Account
Business Unit A
Business Unit B
VPC
VPC
VPC
VPC
VPC
VPC
VPC
VPC
VPC
VPC
VPC
VPC
NAT gateway NAT gateway NAT gateway
NAT gateway NAT gateway Peering Peering Peering Peering Private VIF Private VIF Private VIF Private VIF
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ネットワーク分離に関する一般的な問題
IPv4アドレスの枯渇
VPCでは1サブネットごと5つのIPが予約される。
分割によりサブネットは小さくなり、新しいAZに代わ
りのレンジを割り当てるスペースの減少
管理のオーバーヘッド
IPアドレスの割り当て管理の煩雑化
テンプレート管理
一貫性のないコンフィギュレーション
VPCのハードウェア制限
相互接続可能なネットワーク数の枯渇
最大ピアリング数125
ダイレクトコネクト1契約あたり50 VIFs
コスト
VPC間のトラフィックコスト
リソース重複:VPN,NAT Gateway
複雑なコネクティビティ
メッシュネットワーク
多数のBGPセッション
トランジットVPCソリューション
セキュリティ
権限の分離
集中管理
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPCシェアリング
App A Production Account
App A Test/UAT Account
App A Development Account
Master Account
App B Production Account
App B Test/UAT Account
App B Development Account
Business Unit A
Business Unit B
Prod VPC
VPC
VPC
Dev/Test VPC
NAT gateway NAT gateway
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ユースケース
VPC統合
より少なく、大きく、集中管理できる小さなVPC構成の実現
相互接続を考慮しているアプリケーションに多くの利益
IPv4プライベートアドレスの割り当てをシンプルに
既存ネットワークの置き換え
大きくフラットなネットワークは小中規模のお客様で多く利用
同一なフラットなネットワークをAWSで利用
複数アカウント利用時にもすべてのメリットをAWSで
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
主な利点
IPアドレス資源の保護
使いやすいIPv4のCIDRの継続利用
インターコネクティビティ提供
VPC peering, Transit VPC不要
ビリングとセキュリティ
複数のアカウントを使用して分離のメリットを享受
職務分掌
集中管理するチームがVPCを作成および管理
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
実際の動作
Admin Users
Account A (VPC Owner)
Account B (Participant)
Common VPC
Same AWS Organization
AWS Resource
Access Manager
Shared Subnet
Share subnet
with Resource
Share
EC2 Instance
owned by
Account A
RDS Instance
owned by
Account B
Traffic
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPC Sharingに向かない例
高い隔離が必要な構成
VPC分離により影響範囲を限定する場合
個別のVPCでアプリケーションを実行することによりコン
プライアンスを守ることが容易な場合
巨大で分散した組織
個々のチームで自分の環境の作成と管理を担当する組織
VPC Sharingの制約
AWS Organizations必須
VPCオーナーは別アカウントで実行しているのでリソースを消すこと
はできない
デフォルトVPC,サブネット、セキュリティグループのシェアはでき
ない
Thank you!
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
