• 検索結果がありません。

Amazon Web Servicesによる 仮想デスクトップサービス ~デスクトップも、クラウドで~

N/A
N/A
Protected

Academic year: 2021

シェア "Amazon Web Servicesによる 仮想デスクトップサービス ~デスクトップも、クラウドで~"

Copied!
69
0
0

読み込み中.... (全文を見る)

全文

(1)

AWS Direct Connect

AWS Black Belt Tech Webinar 2015 (旧マイスターシリーズ)

アマゾンデータサービスジャパン株式会社

ソリューションアーキテクト 吉田英世

2015.01.28 (

2015/07/23 Renewed)

(2)

Agenda

• Direct Connect 概要

• Direct Connectの接続構成

• Direct Connectのオペレーション

• 冗長構成

• 注意事項

• ハイブリッド構成事例

• まとめ

(3)
(4)

AWS Direct Connectとは?

お客様 AWS Cloud EC2, S3などの Public サービス Amazon VPC 相互接続ポイント 専用線 サービス

AWSとお客様設備(データセンター、オフィス、またはコロケーション)

の間に

専用線

を利用したプライベート接続を提供するサービス

(5)

接続イメージ:東京リージョンの例

AWS機器 東京リージョン お客様機器 もしくは キャリア様機器 お客様 お客様のダークファイバ もしくは キャリア様回線 エクイニクス様 TY2 ポート接続を提供 (1Gbps or 10Gbps) 相互接続ポイントがある リージョンに接続

(6)

相互接続ポイントのロケーション

Region Location

US East(Virginia) CoreSite NY1 & NY2

Equinix DC1 – DC6 & DC10

US West (Northen Calfornia) CoreSite One Wilshire & 900 North Alameda, CA Equinix SV1 & SV5

US West (Oregon) Equinix SE2 & SE3 Switch SUPERNAP 8 EU (Frankfurt) Equinix FR5

EU (Ireland) Eircom Clonshaugh

TelecityGroup, London Docklands’ Asia Pacific (Singapore) Equinix SG2

Asia Pasific (Sydney) Equinix SY3 Global Switch

Asia Pasific (Tokyo) Equinix TY2

South America (San Paulo) Terremark NAP do Brasil

(7)

東京リージョンにおける

Direct ConnectをサポートするAPNパートナー様

http://aws.amazon.com/jp/directconnect/partners/

・CFN Services

・Equinix, Inc.

・Hibernia Networks

・KVH株式会社

・Level3 Communications, Inc.

・野村総合研究所(NRI)

・NTTコミュニケーションズ株式会社

・Pacnet

・ソフトバンクテレコム株式会社

・Tata Communications

・Verizon

リストに掲載されていないパートナー様も いらっしゃるため、詳細は営業・SAに お問い合わせください。

(8)

ConnectionとVirtual Interface

VLAN200 VLAN100 VLAN300

Connection

Virtual Interface Virtual Interface Virtual Interface Connectionは物理インタフェース、 Virtual InterfaceはConnection中の論理インタフェースを表す。 Virtual InterfaceはそれぞれユニークなVLAN IDをもつ。

(9)

クロスアカウント利用

Connection

Virtual Interface Connectionを保持しているAWSアカウントから、他のAWSアカウントに対し Virtual Interfaceを提供することが可能。 情報システム部 AWSID:123456789012 関連会社Z AWSID:999999999999 情報システム部 AWSID:123456789012 開発部 AWSID:000000000000 関連会社ネットワーク 開発ネットワーク 社内基幹ネットワーク

(10)

AWS Direct Connect導入のメリット

• 帯域スループット向上

• インターネットベースの接続よりも

一貫性がある

• ネットワークコスト削減

$0.042 $0.042 $0.042 $0.042 $0.140 $0.135 $0.130 $0.120 $0.020 $0.040 $0.060 $0.080 $0.100 $0.120 $0.140 $0.160 First 10TB Next 40TB Next 100TB Next 350TB Direct Connect Internet 東京リージョン、 2015年1月28日現在 データ転送料金(Out)

(11)

インターネットVPN vs 専用線

インターネットVPN 専用線 コスト 安価なベストエフォート 回線も利用可能 キャリアの専用線サービス の契約が必要 リードタイム 即時~ 数週間~ 帯域 暗号化のオーバーヘッドに より制限あり ~10Gbps 品質 インターネットベースの ため経路上のネットワーク 状態の影響を受ける キャリアにより高い品質が 保証されている 障害時の切り分け インターネットベースの ため自社で保持している 範囲以外での切り分けが 難しい エンドツーエンドでどの 経路を利用しているか把握 できているため比較的容易

(12)

課金体系

AWS Direct Connectの月額利用料

① ポート使用料

② データ転送料

データ転送料金は ・Virtual Interfaceを利用しているVPCのオーナーアカウントに課金 ・パブリック接続の場合、パブリック上のリソースを所有している オーナーアカウントに課金

(13)
(14)

2種類の接続メニュー(Virtual Interfaceの種別)

お客様 AWS Cloud EC2, S3などの Public サービス Amazon VPC 相互接続ポイント 専用線 サービス

(15)

プライベート接続

オフィス/データセンター VPC subnet VPC subnet 192.168.0.0/24 10.0.0.0/16 BGPによる ルーティング 192.168.0.0/24宛の 通信をVGWに設定 192.168.0.0/24を広告 10.0.0.0/16の VPC CIDRを広告 Virtual Gateway

(16)

パブリック接続(自前のパブリックIPを利用)

オフィス/データセンター 203.0.113.0/28 BGPによる ルーティング パブリックIPである 203.0.113.240/28を広告 接続先リージョンの AWSクラウドの ネットワークアドレスを広告 192.168.0.0/24 AWSとの通信は パブリックIPでとなるため NAT(NAPT)が必要

(17)

パブリック接続(AWSからパブリックIPをアサイン)

オフィス/データセンター BGPによる ルーティング パブリックIPである 203.0.113.100/31を広告 接続先リージョンの AWS Cloudの ネットワークアドレスを広告 192.168.0.0/24 AWSとの通信は パブリックIPでとなるため NAT(NAPT)が必要

(18)

論理接続

VPC 1

Private Virtual Interface 1

VLAN Tag 101 BGP ASN 10124 BGP Announce 10.1.0.0/16 Interface IP 169.254.251.1/30 10.1.0.0/16 VGW 1 Customer Switch + Router Customer Interface 0/1.101 VLAN Tag 101 BGP ASN 65001

BGP Announce Customer Internal Interface IP 169.254.251.2/30 VLAN 101 VLAN 102 VLAN 103 VGW 2 VGW 3 Route Table Destination Target 10.1.0.0/16 PVI 1 10.2.0.0/16 PVI 2 10.3.0.0/16 PVI 3 AWS Cloud PVI 5 Customer Internal Network VPC 2 10.2.0.0/16 VPC 3 10.3.0.0/16 VLAN 501 Public AWS Region NAT / PAT

Security Layer Connection

(19)

物理接続

ルータ Patch Panel Patch Panel Patch Panel ルータ Patch Panel クロスコネクト 相互接続ポイント拠点 AWSラック パートナー様/ お客様ラック Meet-Me Room お客様拠点 AWS お客様/ パートナー様 それぞれのリージョン

(20)

APNパートナーにより拡張されたDirect Connect

• 相互接続ポイントにおける接続装置等の設置場所

– 専用線とのパッケージ提供する場合も

• 10Mbps, 100Mbps等1Gbps よりも狭帯域のサービス

• お客様指定の場所から相互接続ポイントまでのアクセス

• 広域WANで複数拠点からAWSへの接続

(21)

パートナー様の提供サービス(占有型・共有型)

• Direct Connect(占有型)

– Connectionをお客様へ提供

– Virtual Interfaceはお客様側で自由に設定可能

• Direct Connect(共有型)

– Connectionはパートナー様のアカウントで持つ

– Virtual Interfaceはお客様のリクエストベースでパートナー様が設

(22)

パートナー様のサービス提供形態例

キャリア様閉域網

パートナー様閉域網 サイト間ポイントツーポイント

(23)

Sub-1G

• AWSがAPNパートナーに対して無償で物理ポートを提供

• シェーピングをしたVLANで分離された論理ポート

• エンドユーザが利用料をAWSに支払い

– 500M, 400M, 300M, 200M, 100M, 50M

• http://aws.amazon.com/directconnect/pricing/

(24)

パートナー様とのサービスとの組み合わせ

データセンター 本社 モバイル網 支社/店舗 モバイル端末 VPC キャリア様閉域網

(25)
(26)

Direct Connect利用開始手順フロー

(Conncectionの作成)

利用ユーザ APNパートナー 相互接続ポイントの事業者 AWS ①利用申請 ②利用申請確認 ③利用申請確認応答 ④LOA-CFA送付 ⑤LOA-CFA転送・物理配線依頼 ⑥配線完了連絡 AWS側配線 事業者側配線 Virtual Interface の作成

(27)

①Direct Connect利用申請

AWSマネージメントコンソールにログインし、”Tokyo”リージョンを選択。 [Services]-[Networking]-[Direct Connect]をクリック。

(28)

①Direct Connect利用申請 (cont)

必要な項目を入力し、”Create”をクリック。

Connection Name: コネクション名(任意の文字列)

Location: Equinix TY2, Tokyo (選択できるのは一つだけ)

(29)

①Direct Connect利用申請 (cont)

Connectionsのリストに作成したConnectionが表示される。 Statusは”requested”

(30)

②利用申請確認、③利用申請確認応答

Subject: [aws-xxxx-0001] Welcome to AWS Direct Connect

Body:

Dear AWS Customer,

You recently ordered a connection (dxcon-abcdefgh) using the AWS Direct Connect Console. We need additional information to help process your request. Please email us the data center where you have equipment or, if apporopriate, network provider you are using to connect.

利用の意思を確認するために、AWSマネージメントコンソールのメールアドレス宛に 以下のようなメールが送信されます。 ・ご自身でDirect Connectの相互接続ポイントに機器を設置する場合は、データセンター (Equinix TY2など)の名前 ・APNパートナー様の回線を利用している場合はAPNパートナー様の名前 を記載して返信してください。

(31)

④物理配線情報(LOA-CFA)送付、

⑤LOA-CFA転送・物理配線依頼

AWSより、相互接続ポイントの物理配線情報:LOA-CFA(Letter of Authorization and Connecting Facility Assignment)が送付されます。

LOA-CFAの情報をパートナー様もしくは相互接続ポイントのデータセンター事業者 へ送付し、構内の物理配線を依頼してください。

(32)

⑥配線完了連絡

配線が完了すると、AWSマネージメントコンソールの[Direct Connect]- [Connections]から回線を確認することができます。

(33)
(34)
(35)

クロスアカウントでのVirtual Interface利用

Virtual Interfaceを作成

Virtual InterfaceのリクエストをAccept

“Connections”を保持しているアカウント

(36)

VPCのRouteTable設定

オンプレミスのネットワークを宛先、 vgwをターゲットとしてルーティングの エントリを追加。 “Propagate”を設定することでvgwで 受信したルートを自動的に反映。

(37)

オンプレミス拠点側ルータの要件

• BGP対応であること

– MD5認証対応

• IEEE 802.1q VLANが利用できること

– スイッチングハブでタグVLANを終端するなら必要なし

• RFC 3021 (/31サブネット)対応であること

– パブリック接続でAWSからパブリックIPアドレスを利用する場合のみ

(38)

BGPとは?

BGP(Border Gateway Protocol)とは、インターネット上でプロバイダ同士の

相互接続において、お互いの経路情報をやり取りするために使われるルーティング プロトコルの一つです。

ISP-A

ISP-B

ネットワークP ネットワークQ ネットワークPのアドレスを広告 ネットワークQのアドレスを広告 AS65000 AS65001

(39)

ルータ設定

interface GigabitEthernet0/1 no ip address speed 1000 full-duplex interface GigabitEthernet0/1.VLAN_NUMBER description direct connect to aws

encapsulation dot1Q VLAN_NUMBER ip address IP_ADDRESS

router bgp CUSTOMER_BGP_ASN

neighbor NEIGHBOR_IP_ADDRESS remote-as 7224 neighbor NEIGHBOR_IP_ADDRESS password "MD5_key" network 0.0.0.0

exit

edit interfaces ge-0/0/1

set description " AWS Direct Connect " set flexible-vlan-tagging

set mtu 1522 edit unit 0

set vlan-id VLAN_ID set family inet mtu 1500

set family inet address IP_ADDRESS exit

exit

edit protocols bgp group ebgp set type external

set authentication-key "MD5_KEY" set peer-as 7224

set neighbor NEIGHBOR IP ADDRESS

Cisco

(40)

サンプルコンフィグのダウンロード

作成したVirtual Interfaceの設定値を元にしたサンプルコンフィグが ダウンロード可能。

ただし、Connectionsを保持しているアカウントからのみ。

[Direct Connect]-[Virtual Interfaces]を選択し、リストから該当のVirtual Interfaceを選択。

(41)
(42)
(43)

冗長構成の考え方

eBGP eBGP iBGP iBGPにより同AS内の隣接ルータ にBGPのパス属性値を伝達し、 どちらの経路を選択するかAS内 で総合的に判断 論理的には一つのオブジェクトに見えるが、 実際には物理的に冗長化されている

VPC上のVGW(Virtual Private Gateway)に複数のDirect Connect またはVPN接続を終端可能。

AWS上の設定ではなく、お客様ルータの設定により経路制御を行う。 経路制御はBGPの一般的な考え方を適用。

(44)

BGPパス属性

BGPで経路交換している複数の経路から、ベストな経路を選択するために 評価する属性値。今回はLP(Local Preference)とAS-Path Prependを 使った構成を利用。 LP:100 Prepend:2つ LP:200 Prepend:1つ LP:300 Prepend:なし ベストパス オンプレミス ルータ 送信ルートにAS-Path Prependを付与し、 受信トラフィックを制御 (隣接ルータに情報を与え ている) VGW 受信ルートにLPを付与し、 送信トラフィックを制御

(45)

冗長構成(Direct Connect x2, Active/Active)

Active Active トラフィックを ロードバランス Direct Connect2本の間で トラフィックをロードバランス し、Active/Activeとして利用。 障害時は片方の回線に迂回する ため、回線の輻輳がおきない ように帯域に注意が必要。 このとき、2つの経路のBGP属 性値(LP, ASパス長)は等価で ある必要がある。

(46)

冗長構成(Direct Connect x2, Active/Standby)

Standby Active 障害時にStandby へ切り替え Direct Connect2本のどちらか を通常利用とし、障害時は片方 の回線へ自動切り替えを行う。 それぞれのルータのBGP属性値 により、Active/Standbyを判断 するように設定。 LP=200 Prependなし LP=100 Prependあり

(47)

冗長構成(Direct Connect/VPN)

Standby Active Standby用に インターネットVPN を利用 Direct Connect障害時のバック アップ回線としてインターネット VPNを利用。 異なる回線種別のため、フェール オーバー時にはパフォーマンスに 影響が出る場合があるため注意。 LP=200 Prependなし LP=100 Prependあり

(48)

障害時のフェールオーバーに関する注意点

AS1 AS2 スイッチ スイッチ リンク断のタイミングで 障害検知! スイッチの向こうの リンク断は検知できない すぐに切り替わる Hold timerの間 切り替わらない 切断発生〜フェールオーバー までの時間に発生した トラフィックは到達できない。

(49)

障害時のフェールオーバーは、

BGPピア上の障害を

(50)

KeepaliveとHold Timer

隣接するルータはお互いにKeepaliveを予め決められたインターバルで 定期的に送信。 HoldDown Timer(待機時間)はKeepaliveの3倍が設定されており、 Keepaliveを受信すると0にリセットされる。 設定されたHold Timerを超過すると障害と認定。 隣接ルータ間ではそれぞれの時間が短い方を利用する。 反映にはBGPピアのsoftリセットが必要。 Keepalive Hold Timer Keepalive 60秒 0,1,2,3・・・ 0,1,2,3・・・ 0,1,2,3・・・ ・・・180 Keepaliveが到達すると Hold Timerをリセット Hold Timerのカウンタが超 過するとBGPピアを切断 Keepaliveが到達しないので Hold Timerはカウントアップ Keepalive=60 Hold Timer=180 の場合 Keepalive 60秒

(51)

対策1: keepalive/Hold Timerのチューニング

router bgp CUSTOMER_BGP_ASN

neighbor NEIGHBOR_IP_ADDRESS timers 10 30

お客様ルータのKeepaliveとHold Timerを短く設定することで、 フェールオーバーを検知する時間を短縮。

以下の例はKeepaliveを10秒、Hold Timerを30秒に設定。

edit protocols bgp group ebgp set hold-time 30 Cisco Juniper デフォルト値 Keepalive 60秒 Hold Timer 180秒 デフォルト値 Keepalive 30秒 Hold Timer 90秒

(52)

対策2: BFD(Bidirectional Forwarding Direction)

経路上の障害を高速に検知し、ルーティングプロトコル(今回はBGP) に通知する機能。 隣接ルータ同士でパケットをミリ秒単位で送受信する。 例は50ミリ秒でBFDパケットを送信、3度受け取れない場合は障害と みなす。

bfd interval 50 min_rx 50 multiplier 3 router bgp CUSTOMER_BGP_ASN

neighbor NEIGHBOR_IP_ADDRESS fall-over bfd

edit interfaces ge-0/0/1 edit bfd-liveness-detection set minimum-inverval 50 set multiplier 3

(53)

オンプレミス内部のルーティング

Direct ConnectのBGP接続から受 信したルートをOSPFに再配布 VRRP/HSRPなどでLAN上の ゲートウェイを冗長 コアスイッチ コアスイッチ OSPF VRRP コアスイッチはOSPFにより AWSへの経路を選択

(54)
(55)

VPC Peering利用時の注意

オンプレミス オンプレミスのネットワーク

を広告できない

VPC Peeringはオンプレミスのルートを広告できないため、VPC をまたいだ通信はできない。

(56)

経路集約の必要性

192.168.0.0/24 192.168.1.0/24 192.168.2.0/24 192.168.0.0/24 + 192.168.1.0/24 + 192.168.2.0/24

=192.168.0.0/16

お客様ルータから広告できるネットワーク数は

100

まで。 普段から経路集約を意識する設計を! デフォルトルートの広告も有効な場合もあり。

(57)

非対称ルーティング時の注意

非対称ルーティング自体は問題 なく通信可能。 Active/Standbyの場合、 StandbyがVPNを利用している と通信に影響が出る可能性あり。 ファイアウォール利用時には 非対称ルーティングに対応して いないクラスタを利用すると パケットが破棄されるので注意。

(58)

Direct Connectを利用した

ハイブリッド構成の事例

(59)

マルチVPC接続

営業支援 会計 BI 文書管理 利用者 保守業者 管理者 AD 監視ソフト DNS Direct Connect 接続口 1 VPC 1 VPC 1 VPC 1 VPC 1 VPC I G W V G W V G W V G W I G W V G W V G W Router#1 Router#2 Router#1 Router#2 Router#1 Router#2 FW SSO NTP 既存環境 Oracle WIN 人事 WIN WIN Oracle BI DB WIN Proxy 専用線 専用線また はVPN

(60)

3層構造 Webシステム

APPサーバ Webサーバ データベース

(61)

クローズドWorkSpaces

お客様拠点 プライベートネットワーク WorksSpaces 接続エンドポイント AWS Cloud AS65000 AS10124 x.x.x.x/31 or 32 y.y.y.y/30 グローバルIPであること! お客様準備 もしくは AWS提供 S3 プライベートIPで OK AS65001 インターネット 外部ネットワーク/DMZ 内部ネットワーク AWS Cloudとの 通信はルータで NAT プライベートAS でもOK

(62)

オンプレミス環境のWebサーバオフロード

(63)
(64)

まとめ

• AWS Direct Connectを利用することで、オンプレミスとAWS間の

ネットワークにおいて、帯域のスループット向上、一貫性のある

ネットワーク接続、データ転送量コスト削減が実現できる

• APNパートナー様の各種サービスにより、多様なネットワークを構

成することができる

(65)

AWS専用線アクセス体験ラボ sponsored by Intel

http://aws.amazon.com/jp/dx_labo/ ■事前に設定を確認したい ■フェイルオーバー時の動作を確認したい ■スループットがどれだけなのか実際に試してみたい ■自前のルータがDirect Connectに接続できるか確認したい ・・・などなど

お問い合わせは営業・SAまで!

(66)
(67)

Webinar資料の配置場所

• AWS クラウドサービス活用資料集

(68)

公式Twitter/Facebook

AWSの最新情報をお届けします

@awscloud_jp 検索

最新技術情報、イベント情報、お役立ち情報、お得なキャンペーン情報などを

日々更新しています!

もしくは http://on.fb.me/1vR8yWm

(69)

参照

関連したドキュメント

サーバー費用は、Amazon Web Services, Inc.が提供しているAmazon Web Servicesのサーバー利用料とな

サーバー API 複雑化 iOS&Android 間で複雑な API

* 本カタログのオーダーはWEB受注「2018年5月展 >> Chou Chou de maman 」 より https://tiara-order.com よりお客様専用の. ID

4G LTE サービス向け完全仮想化 NW を発展させ、 5G 以降のサービス向けに Rakuten Communications Platform を自社開発。. モデル 3 モデル

本検討で距離 900m を取った位置関係は下図のようになり、2点を結ぶ両矢印線に垂直な破線の波面

重要: NORTON ONLINE BACKUP ソフトウェア /

特に LUNA 、教学 Web

Ⅲ料金 19接続送電サービス (3)接続送電サービス料金 イ低圧で供給する場合 (イ) 電灯定額接続送電サービス d接続送電サービス料金