SlideShare a Scribd company logo
Amazon
Virtual Private Cloud
        (VPC)

アマゾン データ サービス ジャパン 株式会社
AWSの様々なサービス
                                 お客様のアプリケーション
                                                                                            デプロイと自動化
ライブラリ & SDKs            IDEプラグイン           Web管理画面                        モニタリング                               Development &
                                                             認証                              AWS Elastic
 Java, PHP, .NET,           Eclipse        Management                       Amazon
                                                            AWS IAM                           Beanstalk        Administration
   Python, Ruby          Visual Studio       Console                      CloudWatch
                                                                                          AWS CloudFromation


             メッセージ
                                                   メール配信                               ワークフロー管理
            Amazon SNS
                                                  Amazon SES                           Amazon SWF
            Amazon SQS
                                                                                                                Application
                                                                                                                Service
           コンテンツ配信                                  分散処理                               キャッシング
          Amazon CloudFront                    Elastic MapReduce                    Amazon Elasticache



                                                 ストレージ                                 データベース
      コンピュータ処理
                                                Amazon S3                            Amazon RDS
            Amazon EC2
                                               Amazon EBS                         Amazon DynamoDB
            Auto Scale
                                            AWS StorageGateway                     Amazon SimpleDB

                                                                                                               Infrastructure
                                    ネットワーク & ルーティング                                                            Service
                 Amazon VPC / Amazon Elastic Load Balancer / Amazon Route 53 /AWS Direct Connect



                                     AWS グローバルインフラ
 Region     AZ
                  Geographical Regions, Availability Zones, Points of Presence
 2
Agenda

 VPCとは?
 VPCの構成要素
 Hands-on
 Amazon Direct Connectとは
 VPC + VPN/Direct Connectを使った構成例
 Q&A




         Copyright © 2012 Amazon Web Services
VPCとは?
Amazon VPC

AWSクラウド上にプライベートクラウドを構築
 ①社内からVPN接続して閉域網でAWS利用
 ②仮想ネットワーキング
オンプレミスとのハイブリッドが簡単に実現
 AWSが社内インフラの一部に見える
 社内システム、ソフトウェアの移行がより容易に
 例:業務システム、バッチ処理、ファイルサーバ
より細やかにネットワークがコントロール可能
全リージョンで利用可能


      Copyright © 2012 Amazon Web Services   5
なぜVPCが必要か?
ネットワークセキュリティを高める
  きめ細かなアクセス制御が可能
    Security Group, NACL, Route Table, etc
  VPN, DXを使って完全に外部と閉じた環境を
  実現
自由なネットワーク設計が可能
  既存のネットワークルールを適用可能
  ローカルIPを固定で使用可能



           Copyright © 2012 Amazon Web Services
お客様のインフラをAWS上に延長する

               リージョン                      EC2内に分離し
       VPN                                たサブネットを
               EC2
       接続                                  自由に作成

                                                            Internet
イントラ            VPC                                   ゲート
                                                      ウェイ
                プライベート                   パブリック
                 サブネット                    サブネット
                                 NAT


         VPN

         DX




               Copyright © 2012 Amazon Web Services
VPCのテンプレートを準備
     • IPアドレス割り当て・複数サブネット
     • インターネットGW・カスタマーGW
     • 以下は構成例(柔軟な構成が可能)




    パブリック   パブリック+プライベート   パブリック+プライベート   プライベート
    サブネット       +VPN          サブネット        +VPN

8
VPC with a Single Public Subnet

 EIP(Elastic IP)アドレスをパブリックイ
 ンタフェースにアサイン
 適用メリット
   高いセキュリティの中でWebアプリを稼
    働させる
   プライベートIPを用いて、インスタンス
    をまとめられる




          Copyright © 2012 Amazon Web Services   9
VPC with Public
and Private Subnets
パブリックサブネットのイン
スタンスには、EIPをアサイン
できる
プライベートサブネットのイ
ンスタンスはインターネット
から直接アクセスできない
適用メリット
 Webサーバーをパブリックサブ
  ネットを稼働し、プライベート
  サブネット内のデータベースの
  読み書きを行う



         Copyright © 2012 Amazon Web Services   10
VPC with Public
 and Private Subnets and
 a VPN Connection
パブリックサブネットのインスタ
ンスには、EIPをアサインできる
プライベートサブネットのインス
タンスにVPN経由でアクセス可能
適用メリット
 VPCをインターネットに接続しつ
  つ、データセンターをクラウド上
  に拡張




         Copyright © 2012 Amazon Web Services   11
VPC a Private
Subnet and a VPN
Connection
VPC登場時はこの形態のみだった
全てのトラフィックは社内データセンタ
ーのファイヤウォール経由で行われる
適用メリット
 データセンターをクラウドに拡張しても
  中央集権的管理を維持する




         Copyright © 2012 Amazon Web Services   12
VPCの構成要素
VPCで操作できる構成要素
VPCで操作できる構成要素
  Security Group(and DB Security Group)
  Network Access Control (NACL)
  Route TableとInternet Gateway (IGW)
  NAT
  EC2 Dedicated Instance
  Elastic Network Interface




            Copyright © 2012 Amazon Web Services
VPCでのSecurity GroupとNACL
                           Instanceレベル
                           でIn/Outのアク
                              セス制御




                           Subnetレベルで
                           In/Outのアクセ
                               ス制御
EC2のセキュリティグループ設定
インターネットからのトラフィック(Inbound)をブロック
するだけでなく、EC2からのトラフィック(Outbound)を
制限する事も可能です。


                            Port 80
                             (HTTP)



              EC2
            Instance          Port 22
           Security Group      (SSH)
EC2のセキュリティグループ設定
   セキュリティグループの”Source”に対して、
   セキュリティグループのIDを指定することが可能です。
  Port range     Source
  80             0.0.0.0/0
                                         Port range      Source
                                         3306            sg-aaaaaa
                             Apache
                              EC2

                      Security Group-A
                       (ID: sg-aaaaaa)                MySQL
                                                       EC2

                                             Security Group-B
                             Apache           (ID: sg-bbbbbb)
                              EC2

                      Security Group-C
                       (ID: sg-cccccc)
Port range     Source
80             0.0.0.0/0
Route Tableについて
 各SubnetはRoute Tableを持っている。設定を
変更することでデータの流れを制御可能。
                                                   IGW(Internet Gateway)へ
Public SubnetのRoute Table
                                                   のルーティングがあるので、
                                                    外部とのアクセスが可能




Private SubnetのRoute Table




                  Copyright © 2012 Amazon Web Services
Route Tableについて
                                   Internet
                                                                 IGWにRoutingされて
                                            Internet
                                                                 いないので外部と通
                                            Gateway              信できない。




                    Web                                 Web
                   Server                              Server

               Public Subnet                   Private Subnet
                             VPC 10.0.0.0/16
                                                             Destination   Target
Destination   Target
                                                             10.0.0.0/16   Local
10.0.0.0/16   Local
0.0.0.0/0     igw-xxxxx

                      Copyright © 2012 Amazon Web Services
ELB on VPC

ELB on VPCの機能
  パブリッククラウドのELBと機能面は同等
  ELBのトラフィックをサブネットをまたいで分散
  ELBセキュリティグループで、より細かくコントロー
   ル可能
ELB on VPCの制約
  IPv6サポートは現状なし
  /27 CIDRブロック以上のIPアドレスが必要
RDS for MySQL on VPC

MySQL RDSはVPCで使えるように
マルチAZ対応、リードレプリカ対応
VPC上での注意点
 DB Subnet Groupを事前に作成する
   • RDSを利用するVPC及びサブネットを指定
 RDSをVPC内で起動
   • DB Subnet Groupを指定
 DBセキュリティグループも指定する

                             21
VPC設定時の注意点
 VPC内で構成するEC2 Instance, ELB, Elastic IP,
Security Groupなどを作成する際、VPCを明示的に指定す
る必要がある。
 EC2のt1.micro は使うことができない
 プライベートIPを指定して起動できる
   指定しないと自動で割り振られる
Elastic IPの挙動が異なる
   VPCではEC2を再起動しても割当てられたままとなる
   既にElastic IPが割当てられているEC2に対して、別のElastic
   IPを割り当ててもErrorになる




           Copyright © 2012 Amazon Web Services
Hands-on


Copyright © 2012 Amazon Web Services
EC2 Dedicated Instance
                              通常のEC2
VPC内で専用インスタンス
                              物理サーバー
 シングルテナント保証
クラウドのメリット確保
 従量課金                            顧客A          顧客B   顧客C

 柔軟にスケールアップ                  Dedicated Instance
 瞬時に調達                        物理サーバー
規制に対応しなければい
けないお客様のご要望に
応えるサービス                          顧客A          顧客B   顧客C




       Copyright © 2012 Amazon Web Services
NATについて
 AWSからNAT用のEC2 AMIを提供している
 Private Subnetから外部インターネットにアク
セスする際の手段
  ソフトウェアリポジトリにアクセス
  外部パッチサイトにアクセス
  S3, Route53, DynamoDB, SES, SQSなどの
  VPC外のAWSサービスにアクセス
 NAT Instanceを使うことで、セキュリティを確
保したまま外部へのアクセスが可能


         Copyright © 2012 Amazon Web Services
NATについて
                                    Internet
                                                                  IGWにRoutingされて
                                             Internet
                                                                  いないので直接外部
                                             Gateway              と通信できない。




               Web                                       Web
              Server                                    Server
                             NAT
               Public Subnet                    Private Subnet
                              VPC 10.0.0.0/16
                                                              Destination   Target
Destination   Target
                                                              10.0.0.0/16   Local
10.0.0.0/16   Local
                                                              0.0.0.0/0     NAT
0.0.0.0/0     igw-xxxxx

                       Copyright © 2012 Amazon Web Services
Public subnet + Private subnet +
VPN GW                   Corporate = 172.16.0.0/16




                   Internet                                            VPN
                   Gateway                                           Gateway



                Security Group                                   Security Group
                                            NAT
                Public Subnet             instance               Private Subnet

                           Virtual Private Cloud = 10.0.0.0/16
   Destination Target
                                                       Destination Target
   10.0.0.0/16 local
                                                       10.0.0.0/16 local
   0.0.0.0/0   Internt Gateway
                                                       172.16.0.0/16 VPN Gateway
                                                       0.0.0.0/0    NAT Instance
ハードウェアVPN

IPsec VPN
  BGP (Border gateway protocol)
  AES 128 bit の暗号化トンネル
サポート対象
  Cisco Integrated Services routers running Cisco IOS 12.4 (or later)
   software
  Juniper J-Series routers running JunOS 9.5 (or later) software
  Juniper SRX Series Service Gateway running JunOS 9.5 (or Later)software
  Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software
  Yamaha RTX1200 routers (Rev. 10.01.16+)
参考URL
 <http://aws.amazon.com/jp/vpc/faqs/#C8>
Amazon Direct Connectとは




     Copyright © 2012 Amazon Web Services
AWS Direct Connectとは

 AWS Direct Connect:AWSとデータセンター、オフィス、
 コロケーション環境間にプライベート接続を確立するサービス
 特徴
   • ネットワークのコスト削減
   • 帯域幅のスループット向上
   • インターネットベースの接続よりも一貫性がある

                                                  AWS Cloud
                                                 EC2, S3などの
                                                 Public サービス

                                        AWS Direct
        専用線       エクイニクス                Connect
                 相互接続ポイント
                                        AWS Direct
                                        Connect
                                                 Amazon VPC
  お客様


          Copyright © 2012 Amazon Web Services
AWS Direct Connect 詳細内容
 AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供
  専用線サービスは、お客様が下記の2つの選択肢から選択
    • お客様がエクイニクス相互接続ポイントにお客様が専用線を
      直接つなぐ
    • 複数の通信事業者の専用線接続サービスを利用
       –   NTTコミュニケーションズ
       –   KVH
       –   ソフトバンクテレコム
       –   野村総合研究所


  前提条件
    • PublicなAWS サービス(EC2, S3, RDS, etc.)と接続する場合
       – PublicなAS番号が必要
    • Amazon VPCと接続する場合
       – PrivateなAS番号を使用
    • リージョン毎に契約が必要
    • 多くの容量が必要な場合、複数の接続のプロビジョニングが可能

              Copyright © 2012 Amazon Web Services
Equinixへラックを設置する方法

  WANの終端装置、VLAN対応スイッチをラック内に設置
  TY2では構内配線

エンド   キャリア
                                  AWS

      WAN終端
       装置
      お客様                   AWS
      ラック                   ラック
                  802.1q
        R         1G/10G     R


              Equinix TY2
課金体系(1/2)
 月額利用料は下記の計算で課金されます
 (月額利用料 =
   AWS Direct Connect料金+通信事業者の専用線サービス料金)

  AWS Direct Connect 料金
   (回線利用料 + データ転送料)
 回線利用料(本数分)
   ロケーション                                      1 Gbps ポート      10 Gbps ポート

   CoreSite One Wilshire, Los Angeles, CA      $0.30/時間        $2.25/時間

   Equinix DC1 – DC6, Ashburn, VA              $0.30/時間        $2.25/時間
   Equinix SV1 & SV5, San Jose, CA             $0.30/時間        $2.25/時間
   Equinix SG2、シンガポール                          $0.30/時間        $2.25/時間
   Equinix TY2、東京                              $0.30/時間        $2.25/時間
   TelecityGroup Docklands、ロンドン                $0.30/時間        $2.25/時間




                        Copyright © 2012 Amazon Web Services
課金体系(2/2)
  AWS Direct Connect 料金
   (回線利用料 + データ転送料)
 データ転送料 (割引されたデータ転送料金を適用)
 ロケーション                                    データ転送受信(イン)    データ転送送信(アウト)

 CoreSite, One Wilshire と米国西部(北カリフォルニ
                                           無料             $0.030/GB
 ア)リージョン間
 バージニア州アッシュバーンの Equinix(エクイニク
                                           無料             $0.020/GB
 ス)と米国東部(バージニア北部)リージョン間
 Equinix SV1 and SV5 と米国西部(北カリフォルニア)
                                           無料             $0.020/GB
 リージョン間
 Equinix, SG2 とアジアパシフィック(シンガポール)
                                           無料             $0.045/GB
 リージョン間
 Equinix, TY2 とアジアパシフィック(東京)リージョン
                                           無料             $0.045/GB
 間
 TelecityGroup, ロンドン Docklands' と欧州(アイルラ
                                           無料             $0.030/GB
 ンド)リージョン間




 通信事業者の専用線サービス料金
    • 各通信事業者様にお問い合わせください
                   Copyright © 2012 Amazon Web Services
VPC+VPN/Direct Connect
      の構成例
AWS構成例(仮想グループクラウド)
                  貴社プライベートクラウド




        本社
各種団体等




                                            グループクラウド網と専用線
                                             サービス接続
                                            イントラネットの一部として
                                   グループ
                                   クラウド網     AWSの利用が可能
                                            (仮想グループクラウド)
                                            ハイブリッドクラウドサービス
                                             の一つ選択肢としてAWSを提
                                             供




  生産関連会社A          生産関連会社B       生産関連会社C




             36
AWS利用例(バックアップ)
  既存データセンター
                        隔地保管                                       複数世代管理
統合バックアップ

        Xxシステム
                   Direct Connect(専用線)                   ・・・
                 Virtual Private Network (VPN)
                                                 Amazon Simple Storage
                                                     Service (S3)
                    直接バックアップ


S3:データ耐久性99.999999999%
AWS Storage Gateway:透過的にS3にバックアップを行う

利用例
テープ隔地保管の代替として
バックアップシステムを直接S3へ
Amazon Storage Gateway




           DirectConnect
                VPN
                           http://aws.amazon.com/storagegateway
AWS利用例(開発/維持管理環境)
 既存データセンター

    本番環境
                                                   開発環境

               Direct Connect(専用線)
             Virtual Private Network (VPN)

                                             Amazon Elastic Compute
                                                  Cloud (EC2)



 本番環境はこれまで同様既存DCにて構築
 開発、維持管理環境はAWS構築
 専用線接続、またはVPN接続
                                                                行内L/W
  旧来の環境とシームレスに接続可能
利用例
 本番開発環境差異:ハードウェアに依存しないシステム開発
AWS利用例(連動性)
  既存データセンター
                             監視
  OVO


             Xxシステム
                        Direct Connect(専用線)
                      Virtual Private Network (VPN)

                                                      Amazon Elastic Compute
                                                           Cloud (EC2)
                             データ連動


 UID    AD                        認証


 既存システムとの連動
利用例
 監視、認証
 データ連動、受け渡し
AWS利用例(データ処理のみCloudを利用)
  既存データセンター
                                                                           スケールアップ/ア
                                                                           ウト、休止自在

                                                                   CPU処理

                              Direct Connect(専用線)
                                                                     ・・・
                            Virtual Private Network (VPN)

                                                            Amazon Elastic Compute
  Oracle Database Servers                                        Cloud (EC2)



 データベースは既存データセンター内で構築
 CPUパワー不足時、またはCPU処理のみAWS EC2, HPC, EMRを利用
 (使用時のみ課金)

利用例
 データベースは外に出したくない業務
 バッチジョブ、HPC、季節連動性の業務
オンプレミスとのハイブリッド環境

DATAPIPE社のサービス例
  Oracle DBをオンプレミスのデータセンタに設置
  変化するリソースはAWS上
AWS利用例(DR環境)
  既存データセンター

    本番環境
                                                    DR環境

                Direct Connect(専用線)
              Virtual Private Network (VPN)

                                              Amazon Elastic Compute
                                                   Cloud (EC2)



 本番環境は既存DCにて構築
 DR環境はAWS内で構築

利用例
 これからDR環境を整備するシステム
 コスト面でDRを整備出来なかったシステム(F/S等)
 通常は休止または必要最小規模で稼働
Q&A




Copyright © 2012 Amazon Web Services
最後に(非常に大事です!)

全てのサービスを終了しましょう!!

後からAWSにご連絡があっても、対処でき
ませんので、ご了承くださいませ。。




      Copyright © 2012 Amazon Web Services
Appendix




Copyright © 2012 Amazon Web Services
Elastic Network Interfacesとは

 VPC上で実現する仮想ネットワークインタ
フェースを複数持てる機能
 インスタンスによって割り当てられる数が異なる。
 以下をENIに紐づけて維持可能
   Private IP
   Elastic IP
   MACアドレス
   セキュリティグループ



          Copyright © 2012 Amazon Web Services
Elastic Network Interfaces
    インスタンスタイプによる設定数の制限
                                         Elastic Network      Private IP
                Type                                                            Name
                                        Interfaces (ENIs) Addresses per ENI
Micro                                                 N/A                N/A      t1.micro
Small                                                    2                4      m1.small
Medium                                                   2                6    m1.medium
Large                                                    3               10       m1.large
Extra Large                                              4               15      m1.xlarge
High-CPU Medium                                          2                6     c1.medium
High-CPU Extra Large                                     4               15       c1.xlarge
High-Memory Extra Large                                  4               15      m2.xlarge
High-Memory Double Extra Large                           4               30    m2.2xlarge
High-Memory Quadruple Extra Large                        8               30    m2.4xlarge
Cluster Compute Quadruple Extra Large                  N/A              N/A    cc1.4xlarge
Cluster Compute Eight Extra Large                        8               30    cc2.8xlarge
Cluster GPU Quadruple Extra Large                      N/A              N/A    cg1.4xlarge


                         Copyright © 2012 Amazon Web Services
Elastic Network Interfaces

 ユースケース
   サービス用と管理用のENIの分離
   複数ENIを前提としたソフトウェアの利用
   MACアドレスでライセンスが固定されたソフ
   トウェア利用
   1台サーバ上での複数SSL証明書の利用
   複数の仮想ホスト設定




           Copyright © 2012 Amazon Web Services
NACL(Network Access Control)
個々のSubnetごとにアクセス 制御が可能
Inbound, Outboundに対して下記の設定が可能
   Inbound
      Port range(ポート番号)
      Source(アクセス元IPアドレス)
      Allow/Deny
   Outbound
      Port range(ポート番号)
      Destination(アクセス先IPアドレス)
      Allow/Deny


          Copyright © 2012 Amazon Web Services
NATインスタンスの作成

1. AWSではNAT用のインスタンスを用意していますので、
   ”ami-vpc-nat”で検索します。
  例: AMI NAME “ami-vpc-nat-1.0.0-beta.x86_64-ebs”
2. 上記AMIを使って、Public SubnetにNATインスタンスを起
   動します。
3. NATインスタンスの”Change Source / Dest Check”を
   Disableにします。
4. NATインスタンスにElastic IPを付けます。
5. Public SubnetのRoute TableにNATインスタンスのIDを追
   加
6. 必要に応じてNATインスタンスのSecurity Groupを設定。
NATインスタンスの作成/起動(1)
                            Internet

                                     Internet
                                     Gateway




       Web                                       Web
      Server                                    Server
                     NAT
       Public Subnet                    Private Subnet
                      VPC 10.0.0.0/16

①② NATインスタンスを                    ③NATインスタンスの”Change Source
AMIから起動                          / Dest Check”をDisableに設定



               Copyright © 2012 Amazon Web Services
NATインスタンスの作成/起動(1) - ③
NATインスタンスを右クリックして”Change Source / Dest
Check”を選択し、”Yes, Disable”を選択します。
NATインスタンスの作成/起動(2)
     ④Elastic IPの追加                    Internet
                                                                 ⑤Route TableにNATインス
                                                                 タンスを追加
                                             Internet
                                             Gateway




                             Elastic
                               IP
               Web                                       Web
              Server                                    Server
                             NAT
               Public Subnet                      Private Subnet
                              VPC 10.0.0.0/16
                                                     Destination    Target
Destination   Target
                                                     10.0.0.0/16    Local
10.0.0.0/16   Local
                                                     0.0.0.0/0      NAT(Instance ID)
0.0.0.0/0     igw-xxxxx

                       Copyright © 2012 Amazon Web Services
NATインスタンスの作成/起動(3)
   ⑥必要に応じてNATインスタ
                                       Internet
   ンスのSecurity Groupを設定

                                             Internet
                                             Gateway




                             Elastic
                               IP
               Web                                       Web
              Server                                    Server
                             NAT
               Public Subnet                      Private Subnet
                              VPC 10.0.0.0/16
                                                     Destination   Target
Destination   Target
                                                     10.0.0.0/16   Local
10.0.0.0/16   Local
                                                     0.0.0.0/0     NAT(Instance ID)
0.0.0.0/0     igw-xxxxx

                       Copyright © 2012 Amazon Web Services
NATインスタンスの作成/起動(4)
      NAT経由でのアクセ                    Internet
      スを確認ください。                                                    IGWにRoutingされて
                                             Internet
                                                                   いないので直接外部
                                             Gateway               と通信できない。




               Web                                       Web
              Server                                    Server
                             NAT
               Public Subnet                    Private Subnet
                              VPC 10.0.0.0/16
                                                     Destination   Target
Destination   Target
                                                     10.0.0.0/16   Local
10.0.0.0/16   Local
                                                     0.0.0.0/0     NAT(Instance ID)
0.0.0.0/0     igw-xxxxx

                       Copyright © 2012 Amazon Web Services

More Related Content

Amazon VPCトレーニング-VPCの説明

  • 1. Amazon Virtual Private Cloud (VPC) アマゾン データ サービス ジャパン 株式会社
  • 2. AWSの様々なサービス お客様のアプリケーション デプロイと自動化 ライブラリ & SDKs IDEプラグイン Web管理画面 モニタリング Development & 認証 AWS Elastic Java, PHP, .NET, Eclipse Management Amazon AWS IAM Beanstalk Administration Python, Ruby Visual Studio Console CloudWatch AWS CloudFromation メッセージ メール配信 ワークフロー管理 Amazon SNS Amazon SES Amazon SWF Amazon SQS Application Service コンテンツ配信 分散処理 キャッシング Amazon CloudFront Elastic MapReduce Amazon Elasticache ストレージ データベース コンピュータ処理 Amazon S3 Amazon RDS Amazon EC2 Amazon EBS Amazon DynamoDB Auto Scale AWS StorageGateway Amazon SimpleDB Infrastructure ネットワーク & ルーティング Service Amazon VPC / Amazon Elastic Load Balancer / Amazon Route 53 /AWS Direct Connect AWS グローバルインフラ Region AZ Geographical Regions, Availability Zones, Points of Presence 2
  • 3. Agenda VPCとは? VPCの構成要素 Hands-on Amazon Direct Connectとは VPC + VPN/Direct Connectを使った構成例 Q&A Copyright © 2012 Amazon Web Services
  • 5. Amazon VPC AWSクラウド上にプライベートクラウドを構築  ①社内からVPN接続して閉域網でAWS利用  ②仮想ネットワーキング オンプレミスとのハイブリッドが簡単に実現  AWSが社内インフラの一部に見える  社内システム、ソフトウェアの移行がより容易に  例:業務システム、バッチ処理、ファイルサーバ より細やかにネットワークがコントロール可能 全リージョンで利用可能 Copyright © 2012 Amazon Web Services 5
  • 6. なぜVPCが必要か? ネットワークセキュリティを高める きめ細かなアクセス制御が可能 Security Group, NACL, Route Table, etc VPN, DXを使って完全に外部と閉じた環境を 実現 自由なネットワーク設計が可能 既存のネットワークルールを適用可能 ローカルIPを固定で使用可能 Copyright © 2012 Amazon Web Services
  • 7. お客様のインフラをAWS上に延長する リージョン EC2内に分離し VPN たサブネットを EC2 接続 自由に作成 Internet イントラ VPC ゲート ウェイ プライベート パブリック サブネット サブネット NAT VPN DX Copyright © 2012 Amazon Web Services
  • 8. VPCのテンプレートを準備 • IPアドレス割り当て・複数サブネット • インターネットGW・カスタマーGW • 以下は構成例(柔軟な構成が可能) パブリック パブリック+プライベート パブリック+プライベート プライベート サブネット +VPN サブネット +VPN 8
  • 9. VPC with a Single Public Subnet EIP(Elastic IP)アドレスをパブリックイ ンタフェースにアサイン 適用メリット  高いセキュリティの中でWebアプリを稼 働させる  プライベートIPを用いて、インスタンス をまとめられる Copyright © 2012 Amazon Web Services 9
  • 10. VPC with Public and Private Subnets パブリックサブネットのイン スタンスには、EIPをアサイン できる プライベートサブネットのイ ンスタンスはインターネット から直接アクセスできない 適用メリット  Webサーバーをパブリックサブ ネットを稼働し、プライベート サブネット内のデータベースの 読み書きを行う Copyright © 2012 Amazon Web Services 10
  • 11. VPC with Public and Private Subnets and a VPN Connection パブリックサブネットのインスタ ンスには、EIPをアサインできる プライベートサブネットのインス タンスにVPN経由でアクセス可能 適用メリット  VPCをインターネットに接続しつ つ、データセンターをクラウド上 に拡張 Copyright © 2012 Amazon Web Services 11
  • 12. VPC a Private Subnet and a VPN Connection VPC登場時はこの形態のみだった 全てのトラフィックは社内データセンタ ーのファイヤウォール経由で行われる 適用メリット  データセンターをクラウドに拡張しても 中央集権的管理を維持する Copyright © 2012 Amazon Web Services 12
  • 14. VPCで操作できる構成要素 VPCで操作できる構成要素  Security Group(and DB Security Group)  Network Access Control (NACL)  Route TableとInternet Gateway (IGW)  NAT  EC2 Dedicated Instance  Elastic Network Interface Copyright © 2012 Amazon Web Services
  • 15. VPCでのSecurity GroupとNACL Instanceレベル でIn/Outのアク セス制御 Subnetレベルで In/Outのアクセ ス制御
  • 17. EC2のセキュリティグループ設定 セキュリティグループの”Source”に対して、 セキュリティグループのIDを指定することが可能です。 Port range Source 80 0.0.0.0/0 Port range Source 3306 sg-aaaaaa Apache EC2 Security Group-A (ID: sg-aaaaaa) MySQL EC2 Security Group-B Apache (ID: sg-bbbbbb) EC2 Security Group-C (ID: sg-cccccc) Port range Source 80 0.0.0.0/0
  • 18. Route Tableについて 各SubnetはRoute Tableを持っている。設定を 変更することでデータの流れを制御可能。 IGW(Internet Gateway)へ Public SubnetのRoute Table のルーティングがあるので、 外部とのアクセスが可能 Private SubnetのRoute Table Copyright © 2012 Amazon Web Services
  • 19. Route Tableについて Internet IGWにRoutingされて Internet いないので外部と通 Gateway 信できない。 Web Web Server Server Public Subnet Private Subnet VPC 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 Local 10.0.0.0/16 Local 0.0.0.0/0 igw-xxxxx Copyright © 2012 Amazon Web Services
  • 20. ELB on VPC ELB on VPCの機能  パブリッククラウドのELBと機能面は同等  ELBのトラフィックをサブネットをまたいで分散  ELBセキュリティグループで、より細かくコントロー ル可能 ELB on VPCの制約  IPv6サポートは現状なし  /27 CIDRブロック以上のIPアドレスが必要
  • 21. RDS for MySQL on VPC MySQL RDSはVPCで使えるように マルチAZ対応、リードレプリカ対応 VPC上での注意点  DB Subnet Groupを事前に作成する • RDSを利用するVPC及びサブネットを指定  RDSをVPC内で起動 • DB Subnet Groupを指定  DBセキュリティグループも指定する 21
  • 22. VPC設定時の注意点 VPC内で構成するEC2 Instance, ELB, Elastic IP, Security Groupなどを作成する際、VPCを明示的に指定す る必要がある。 EC2のt1.micro は使うことができない プライベートIPを指定して起動できる 指定しないと自動で割り振られる Elastic IPの挙動が異なる VPCではEC2を再起動しても割当てられたままとなる 既にElastic IPが割当てられているEC2に対して、別のElastic IPを割り当ててもErrorになる Copyright © 2012 Amazon Web Services
  • 23. Hands-on Copyright © 2012 Amazon Web Services
  • 24. EC2 Dedicated Instance 通常のEC2 VPC内で専用インスタンス 物理サーバー シングルテナント保証 クラウドのメリット確保 従量課金 顧客A 顧客B 顧客C 柔軟にスケールアップ Dedicated Instance 瞬時に調達 物理サーバー 規制に対応しなければい けないお客様のご要望に 応えるサービス 顧客A 顧客B 顧客C Copyright © 2012 Amazon Web Services
  • 25. NATについて AWSからNAT用のEC2 AMIを提供している Private Subnetから外部インターネットにアク セスする際の手段 ソフトウェアリポジトリにアクセス 外部パッチサイトにアクセス S3, Route53, DynamoDB, SES, SQSなどの VPC外のAWSサービスにアクセス NAT Instanceを使うことで、セキュリティを確 保したまま外部へのアクセスが可能 Copyright © 2012 Amazon Web Services
  • 26. NATについて Internet IGWにRoutingされて Internet いないので直接外部 Gateway と通信できない。 Web Web Server Server NAT Public Subnet Private Subnet VPC 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 Local 10.0.0.0/16 Local 0.0.0.0/0 NAT 0.0.0.0/0 igw-xxxxx Copyright © 2012 Amazon Web Services
  • 27. Public subnet + Private subnet + VPN GW Corporate = 172.16.0.0/16 Internet VPN Gateway Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance
  • 28. ハードウェアVPN IPsec VPN  BGP (Border gateway protocol)  AES 128 bit の暗号化トンネル サポート対象  Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software  Juniper J-Series routers running JunOS 9.5 (or later) software  Juniper SRX Series Service Gateway running JunOS 9.5 (or Later)software  Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software  Yamaha RTX1200 routers (Rev. 10.01.16+) 参考URL <http://aws.amazon.com/jp/vpc/faqs/#C8>
  • 29. Amazon Direct Connectとは Copyright © 2012 Amazon Web Services
  • 30. AWS Direct Connectとは AWS Direct Connect:AWSとデータセンター、オフィス、 コロケーション環境間にプライベート接続を確立するサービス 特徴 • ネットワークのコスト削減 • 帯域幅のスループット向上 • インターネットベースの接続よりも一貫性がある AWS Cloud EC2, S3などの Public サービス AWS Direct 専用線 エクイニクス Connect 相互接続ポイント AWS Direct Connect Amazon VPC お客様 Copyright © 2012 Amazon Web Services
  • 31. AWS Direct Connect 詳細内容 AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供  専用線サービスは、お客様が下記の2つの選択肢から選択 • お客様がエクイニクス相互接続ポイントにお客様が専用線を 直接つなぐ • 複数の通信事業者の専用線接続サービスを利用 – NTTコミュニケーションズ – KVH – ソフトバンクテレコム – 野村総合研究所  前提条件 • PublicなAWS サービス(EC2, S3, RDS, etc.)と接続する場合 – PublicなAS番号が必要 • Amazon VPCと接続する場合 – PrivateなAS番号を使用 • リージョン毎に契約が必要 • 多くの容量が必要な場合、複数の接続のプロビジョニングが可能 Copyright © 2012 Amazon Web Services
  • 32. Equinixへラックを設置する方法 WANの終端装置、VLAN対応スイッチをラック内に設置 TY2では構内配線 エンド キャリア AWS WAN終端 装置 お客様 AWS ラック ラック 802.1q R 1G/10G R Equinix TY2
  • 33. 課金体系(1/2) 月額利用料は下記の計算で課金されます (月額利用料 = AWS Direct Connect料金+通信事業者の専用線サービス料金)  AWS Direct Connect 料金 (回線利用料 + データ転送料) 回線利用料(本数分) ロケーション 1 Gbps ポート 10 Gbps ポート CoreSite One Wilshire, Los Angeles, CA $0.30/時間 $2.25/時間 Equinix DC1 – DC6, Ashburn, VA $0.30/時間 $2.25/時間 Equinix SV1 & SV5, San Jose, CA $0.30/時間 $2.25/時間 Equinix SG2、シンガポール $0.30/時間 $2.25/時間 Equinix TY2、東京 $0.30/時間 $2.25/時間 TelecityGroup Docklands、ロンドン $0.30/時間 $2.25/時間 Copyright © 2012 Amazon Web Services
  • 34. 課金体系(2/2)  AWS Direct Connect 料金 (回線利用料 + データ転送料) データ転送料 (割引されたデータ転送料金を適用) ロケーション データ転送受信(イン) データ転送送信(アウト) CoreSite, One Wilshire と米国西部(北カリフォルニ 無料 $0.030/GB ア)リージョン間 バージニア州アッシュバーンの Equinix(エクイニク 無料 $0.020/GB ス)と米国東部(バージニア北部)リージョン間 Equinix SV1 and SV5 と米国西部(北カリフォルニア) 無料 $0.020/GB リージョン間 Equinix, SG2 とアジアパシフィック(シンガポール) 無料 $0.045/GB リージョン間 Equinix, TY2 とアジアパシフィック(東京)リージョン 無料 $0.045/GB 間 TelecityGroup, ロンドン Docklands' と欧州(アイルラ 無料 $0.030/GB ンド)リージョン間 通信事業者の専用線サービス料金 • 各通信事業者様にお問い合わせください Copyright © 2012 Amazon Web Services
  • 35. VPC+VPN/Direct Connect の構成例
  • 36. AWS構成例(仮想グループクラウド) 貴社プライベートクラウド 本社 各種団体等  グループクラウド網と専用線 サービス接続  イントラネットの一部として グループ クラウド網 AWSの利用が可能 (仮想グループクラウド)  ハイブリッドクラウドサービス の一つ選択肢としてAWSを提 供 生産関連会社A 生産関連会社B 生産関連会社C 36
  • 37. AWS利用例(バックアップ) 既存データセンター 隔地保管 複数世代管理 統合バックアップ Xxシステム Direct Connect(専用線) ・・・ Virtual Private Network (VPN) Amazon Simple Storage Service (S3) 直接バックアップ S3:データ耐久性99.999999999% AWS Storage Gateway:透過的にS3にバックアップを行う 利用例 テープ隔地保管の代替として バックアップシステムを直接S3へ
  • 38. Amazon Storage Gateway DirectConnect VPN http://aws.amazon.com/storagegateway
  • 39. AWS利用例(開発/維持管理環境) 既存データセンター 本番環境 開発環境 Direct Connect(専用線) Virtual Private Network (VPN) Amazon Elastic Compute Cloud (EC2) 本番環境はこれまで同様既存DCにて構築 開発、維持管理環境はAWS構築 専用線接続、またはVPN接続 行内L/W  旧来の環境とシームレスに接続可能 利用例 本番開発環境差異:ハードウェアに依存しないシステム開発
  • 40. AWS利用例(連動性) 既存データセンター 監視 OVO Xxシステム Direct Connect(専用線) Virtual Private Network (VPN) Amazon Elastic Compute Cloud (EC2) データ連動 UID AD 認証 既存システムとの連動 利用例 監視、認証 データ連動、受け渡し
  • 41. AWS利用例(データ処理のみCloudを利用) 既存データセンター スケールアップ/ア ウト、休止自在 CPU処理 Direct Connect(専用線) ・・・ Virtual Private Network (VPN) Amazon Elastic Compute Oracle Database Servers Cloud (EC2) データベースは既存データセンター内で構築 CPUパワー不足時、またはCPU処理のみAWS EC2, HPC, EMRを利用 (使用時のみ課金) 利用例 データベースは外に出したくない業務 バッチジョブ、HPC、季節連動性の業務
  • 42. オンプレミスとのハイブリッド環境 DATAPIPE社のサービス例  Oracle DBをオンプレミスのデータセンタに設置  変化するリソースはAWS上
  • 43. AWS利用例(DR環境) 既存データセンター 本番環境 DR環境 Direct Connect(専用線) Virtual Private Network (VPN) Amazon Elastic Compute Cloud (EC2) 本番環境は既存DCにて構築 DR環境はAWS内で構築 利用例 これからDR環境を整備するシステム コスト面でDRを整備出来なかったシステム(F/S等) 通常は休止または必要最小規模で稼働
  • 44. Q&A Copyright © 2012 Amazon Web Services
  • 46. Appendix Copyright © 2012 Amazon Web Services
  • 47. Elastic Network Interfacesとは VPC上で実現する仮想ネットワークインタ フェースを複数持てる機能 インスタンスによって割り当てられる数が異なる。 以下をENIに紐づけて維持可能 Private IP Elastic IP MACアドレス セキュリティグループ Copyright © 2012 Amazon Web Services
  • 48. Elastic Network Interfaces インスタンスタイプによる設定数の制限 Elastic Network Private IP Type Name Interfaces (ENIs) Addresses per ENI Micro N/A N/A t1.micro Small 2 4 m1.small Medium 2 6 m1.medium Large 3 10 m1.large Extra Large 4 15 m1.xlarge High-CPU Medium 2 6 c1.medium High-CPU Extra Large 4 15 c1.xlarge High-Memory Extra Large 4 15 m2.xlarge High-Memory Double Extra Large 4 30 m2.2xlarge High-Memory Quadruple Extra Large 8 30 m2.4xlarge Cluster Compute Quadruple Extra Large N/A N/A cc1.4xlarge Cluster Compute Eight Extra Large 8 30 cc2.8xlarge Cluster GPU Quadruple Extra Large N/A N/A cg1.4xlarge Copyright © 2012 Amazon Web Services
  • 49. Elastic Network Interfaces ユースケース サービス用と管理用のENIの分離 複数ENIを前提としたソフトウェアの利用 MACアドレスでライセンスが固定されたソフ トウェア利用 1台サーバ上での複数SSL証明書の利用 複数の仮想ホスト設定 Copyright © 2012 Amazon Web Services
  • 50. NACL(Network Access Control) 個々のSubnetごとにアクセス 制御が可能 Inbound, Outboundに対して下記の設定が可能 Inbound Port range(ポート番号) Source(アクセス元IPアドレス) Allow/Deny Outbound Port range(ポート番号) Destination(アクセス先IPアドレス) Allow/Deny Copyright © 2012 Amazon Web Services
  • 51. NATインスタンスの作成 1. AWSではNAT用のインスタンスを用意していますので、 ”ami-vpc-nat”で検索します。 例: AMI NAME “ami-vpc-nat-1.0.0-beta.x86_64-ebs” 2. 上記AMIを使って、Public SubnetにNATインスタンスを起 動します。 3. NATインスタンスの”Change Source / Dest Check”を Disableにします。 4. NATインスタンスにElastic IPを付けます。 5. Public SubnetのRoute TableにNATインスタンスのIDを追 加 6. 必要に応じてNATインスタンスのSecurity Groupを設定。
  • 52. NATインスタンスの作成/起動(1) Internet Internet Gateway Web Web Server Server NAT Public Subnet Private Subnet VPC 10.0.0.0/16 ①② NATインスタンスを ③NATインスタンスの”Change Source AMIから起動 / Dest Check”をDisableに設定 Copyright © 2012 Amazon Web Services
  • 53. NATインスタンスの作成/起動(1) - ③ NATインスタンスを右クリックして”Change Source / Dest Check”を選択し、”Yes, Disable”を選択します。
  • 54. NATインスタンスの作成/起動(2) ④Elastic IPの追加 Internet ⑤Route TableにNATインス タンスを追加 Internet Gateway Elastic IP Web Web Server Server NAT Public Subnet Private Subnet VPC 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 Local 10.0.0.0/16 Local 0.0.0.0/0 NAT(Instance ID) 0.0.0.0/0 igw-xxxxx Copyright © 2012 Amazon Web Services
  • 55. NATインスタンスの作成/起動(3) ⑥必要に応じてNATインスタ Internet ンスのSecurity Groupを設定 Internet Gateway Elastic IP Web Web Server Server NAT Public Subnet Private Subnet VPC 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 Local 10.0.0.0/16 Local 0.0.0.0/0 NAT(Instance ID) 0.0.0.0/0 igw-xxxxx Copyright © 2012 Amazon Web Services
  • 56. NATインスタンスの作成/起動(4) NAT経由でのアクセ Internet スを確認ください。 IGWにRoutingされて Internet いないので直接外部 Gateway と通信できない。 Web Web Server Server NAT Public Subnet Private Subnet VPC 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 Local 10.0.0.0/16 Local 0.0.0.0/0 NAT(Instance ID) 0.0.0.0/0 igw-xxxxx Copyright © 2012 Amazon Web Services