AWS Cloud Design Pattern for Enterprise
•
101 likes•25,050 views
2014/3/15のJAWS Days 2014セッション資料
AWS Cloud Design Pattern for Enterprise
- 1. AWS Cloud Design Pattern for Enterprise Ken Tamagawa Akio Katayama JAWS DAYS 2014
- 2. “AWSクラウドを利用する際に発生する、典型的な 問題とそれに対する解決策・設計方法について、先 人たちの知恵を分かりやすく分類して、ノウハウと して利用できるように整理したもの” - Ninja of Three - AWS クラウドデザインパターンとは
- 5. 自己紹介 • 名前: 玉川憲 • Twitter • @KenTamagawa • 好きなAWSサービス • S3 • 好きなCDP • Server Swapping パターン
- 6. 自己紹介 • 名前: 片山 暁雄 • Twitter • @c9katayama • #ヤマン • 好きな言語 • Java,C#,ActionScript • 好きなCDP • Cloud DI パターン
- 7. 自己紹介 • 名前: 鈴木 宏康 Twitter • @suz_lab • 好きな言語 • BGP • 好きなCDP • Cloud HUBパターン
- 8. 本日ご紹介する エンタープライズ的シナリオ • ハイブリッド環境のネットワーク構成 • ハイパフォーマンスな業務アプリケーション • クレジットカード情報を扱う業務システム • 企業システムのディザスタリカバリ
- 17. ハイブリッド環境のネットワーク構成例 Internet オフィス メイン データセンタ 地方/海外 オフィス ソフトウェアVPN もしくはHTTPS BYOD モバイル 会社支給 モバイル (SIM) AWS Direct Connect ソフトウェア VPN HW VPN 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 HW VPN ワイヤレス
- 18. AWSとのつなぎかた
- 19. AWS Direct Connect(DX)による 専用線接続 データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続
- 20. ルータを使ったインターネットVPN データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続 Internet 地方/海外 オフィス HW VPN
- 21. ソフトウェアVPN データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続 Internet 地方/海外 オフィス HW VPN ソフトウェアVPN BYOD モバイル ワイヤレス
- 22. HTTPS データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続 Internet 地方/海外 オフィス HW VPN HTTPS BYOD モバイル ワイヤレス
- 23. 専用線接続(DX)の つなぎかた
- 24. AWS Direct Connect(DX)による 専用線接続 データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続
- 25. AWS Direct Connect(DX)による 専用線接続 データセンタ Virtual Private Cloud Virtual Private Cloud AWS Direct Connect = 専用線接続
- 26. Direct Connectの中には 複数のVPC接続を設定できる データセンタ Virtual Private Cloud Virtual Private Cloud AWS Direct Connect = 専用線接続
- 27. Multi-accounts DXパターン 「DXでは異なるAWSアカウントで、 AWS Direct Connectをシェアできる」 データセンタ Invited Account A Invited Account B AWS Direct Connect = 専用線接続
- 29. VPC間どうしのネットワーク経路? データセンタ Virtual Private Cloud Virtual Private Cloud
- 30. ヘアピンDXパターン VPC間のネットワーク接続をDX経由で データセンタ Virtual Private Cloud Virtual Private Cloud
- 31. ソフトウェアVPNを使って VPC間同士をつなぐ Corporate Data center Virtual Private Cloud Virtual Private Cloud
- 32. 専用線接続(DX)の 冗長化
- 33. Redundant DXパターン データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続
- 34. Hybrid VPN Connectionパターン データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続 インターネットVPN
- 35. IP-VPN網もからめると?
- 37. IP-VPC DXパターン オフィス メイン データセンタ AWS Direct Connect 主回線+ ワイヤレス IP-VPN 主回線+ 副回線
- 39. これまでの話を まとめると
- 43. ハイブリッド環境のネットワーク構成例 Internet オフィス メイン データセンタ 海外オフィス 会社支給 モバイル (SIM) AWS Direct Connect ソフトウェア VPN HW VPN 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 HW VPN
- 44. ハイブリッド環境のネットワーク構成例 Internet オフィス メイン データセンタ 海外オフィス ソフトウェアVPN もしくはHTTPS BYOD モバイル 会社支給 モバイル (SIM) AWS Direct Connect ソフトウェア VPN HW VPN 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 HW VPN ワイヤレス
- 48. Self Healing パターン • インスタンスを起動後、インスタンス自身 でデータ領域のマウントを実施 • Cloud DIパターンを併用 • 実装 • AutoScalingをmin 1,max 1で セットする • Fail後にAMIから起動したインス タンスから、EBSなどをマウン ト • ヘルスチェックは監視サービス やELBも利用可能
- 49. Synchronized Disk パターン • 共有ディスクを使ったフェイルオーバーを 実現したい • 実装 • EC2を複数台起動し、それぞれにデー タ領域用のEBSをマウントする • データソフトウェアを導入し、データ を同期する • DRBD • CLUSTERPRO • DataKeeper など
- 50. Ondemand Disk パターン • ストライピングに加えて、 EBS最適化インスタンスや Provisioned IOPSを利用 • 高いディスクIO性能や、安定したIOが必要
- 51. High Availability NAT パターン • SPOFとなるNATサーバを冗長化したい • 実装 • NATサーバを2台起動し、 source/destチェックを外す • 片方のインスタンスをインター ネットゲートウェイとして登録 • NATインスタンスがダウンした時 点で、ルーティングテーブルを書 き換える
- 52. • その他パターン
- 53. High Availability Forward Proxy パターン • ELB+Proxy+AutoScalingでの実装 • Squid, ExaProxyなどのProxyサーバ を使用 • 利点 • 障害発生時でも自動的に回復する • PROXY部分でログが取れる • 欠点 • アプリ/OSごとのプロキシ設定が 必要 • 外部接続用のProxyを冗長化したい
- 54. On-premise Load Balancing パターン • アクセス元のシステムの都合上、既存の構成を変更せずにクラウド のスケールメリットを生かしたい • オンプレのLBのバックエンドに、仮想サーバを配置する • アクセス元システムの都合 • アクセスIPアドレスを変えられ ない • WAF/IDSの振り先がIPアドレ スしか受け付けない • 認証やコンテントベース振り分 けなど、使いたいLBの機能があ る
- 55. Floating VPN Gateway パターン • テストなどで、同一ネットワーク領域の環境を複数利用したい • クラウド上に同一ネットワーク領域の環境を複数用意し、VPNの接 続口をつけかえることで環境を切り替える
- 57. 事例 コイニー株式会社
- 58. 下記のガイドラインをベースにCDPを整 理してみる https://www.pcisecuritystandards.org/pdfs/PCI_D SS_v2_Cloud_Guidelines.pdf PCI DSS Cloud Computing Guideline AWS PCI Compliance Package (NDAベース) http://aws.amazon.com/jp/compliance/
- 59. PCIデータセキュリティ基準 概要 安全なネットワークの構築と 維持 要件1 カード会員データを保護するために、ファイアウォールをインス トールして構成を維持する 要件2 システムパスワードおよび他のセキュリティパラメータにベンダ提 供のデフォルト値を使用しない カード会員データの保護 要件3 保存されるカード会員データの保護 要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場 合、暗号化する 脆弱性管理プログラムの整備 要件5 アンチウィルスソフトウェアまたはプログラムを使用し、定期的に 更新する 要件6 安全性の高いシステムとアプリケーションを開発し、保守する 強固なアクセス制御手法の導 入 要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8 コンピュータにアクセスできる各ユーザに一意のID を割り当てる 要件9 カード会員データへの物理アクセスを制限する ネットワークの定期的な監視 およびテスト 要件10 ネットワークリソースおよびカード会員データへのすべてのアクセ スを追跡および監視する 要件11 セキュリティシステムおよびプロセスを定期的にテストする 情報セキュリティポリシーの 整備 要件12 すべての担当者の情報セキュリティポリシーを整備する
- 60. PCI-DSS標準に準拠しているAWSサービス as of 2014/03/14 • Amazon DynamoDB / Amazon SimpleDB • Amazon Elastic Block Storage (Amazon EBS) • Amazon Elastic Compute Cloud (Amason EC2) • Amazon Elastic Map Reduce (Amazon EMR) • Amazon Glacier • Amazon Redshift • Amazon Relational Database Service (Amazon RDS) • Amazon Simple Storage Service (Amazon S3) • Amazon Virtual Private Cloud (Amason VPC) • AWS CloudHSM • AWS Direct Connect • AWs Identity and Access Management (IAM) • Elastic Load Balancing (ELB) • 上記の基礎となる物理インフラストラクチャと AWS 管理環境 • 上記に定義されているサービスの AWS PCI 準拠の範囲は、すべての AWS データセンターリージョンと場所に適用されます。
- 61. Chained Defense-in-Depthパターン VPN Web Web App App NAT Web Web App App NAT VPN 縦深防御とは、多数 の防御策を多層的に 施すことで、リスク を軽減する仕組み レイヤ毎にサブネッ トを分けルーティン グを管理 レイヤ毎にセキュリ ティグループを分け 必要部分のみつなぐ
- 62. Chained Defense-in-Depthパターン VPN Web Web App App NAT Web Web App App NAT VPN WebTierAppTierDBTierPublicFacing VPN NFW IPS/I DS WAF AV VPN NFW IPS/I DS WAF AV VPN NFW IPS/I DS WAF AV
- 63. ELB End-to-End Encryptionパターン ELBでSSL termination SSL処理をELBで実施 証明書の管理が楽 Web Web Web Web WebTier Backend-SSLで裏側も暗号化 全通信経路の暗号化 SSL termination Backend SSL
- 64. High Availability Forward Proxy パターン • ELB+Proxy+AutoScalingでの実装 • Squid, ExaProxyなどのProxyサーバ を使用 • 利点 • 障害発生時でも自動的に回復する • PROXY部分でログが取れる • 欠点 • アプリ/OSごとのプロキシ設定が 必要 • 外部接続用のProxyを冗長化したい
- 69. 参考: Storage/Data Security EC2 EBS S3 Glacier Encryption Client Key Management File Encryption Full Disk Encryption Database Encryption AWS Server Side Encryption Key Management File Encryption Full Disk Encryption Database Encryption AWS Server Side Encryption File Encryption Full Disk Encryption Database Encryption AWS Server Side Encryption S3 Glacier On premise Encryption Client EC2 On premise
- 71. ディザスタリカバリ • ディザスタリカバリ― (DR) とは自然災害・人的災害発 生時に企業が技術的なインフラストラクチャを復旧もし くは継続させるために準備する一連のプロセス・ポリシ ー・および手順のこと • クラウドでの解決 • DRにかかる予算やオンプレミスのIT資産を抑える • セカンダリの物理データセンターの除去 • テープバックアップ・アーカイブの安全な格納 • DR=解決したい課題 • 昨今の重要トピックだが、実現できている企業は多くない
- 73. • 実装 • アプリケーションは、オンプレ/AWSにデプロイ • DBは同期書き込みを実施(DB Replication Pattern) • すべてのシステムを起動しておく Hot Standby DC 継続的 可用性 オンプレミス - AWS AWS - AWS
- 74. • 実装 • アプリケーションは、オンプレ/AWSにデプロイ • デプロイ後、DRサイト側のアプリサーバは停止 • DBは同期もしくは非同期で書き込み Warm Standby DC 高い可用性 オンプレミス - AWS AWS - AWS
- 75. • 実装 • アプリケーションはDRにデプロイ後停止 • DBはデータをS3に定期バックアップ/Snapshot • 災害発生時はS3からリストア Cold Standby DC スタンバイ システム オンプレミス - AWS AWS - AWS
- 76. データ リカバリのみVirtual Cloud Storage • 既存のバックアップ方式の変更にはコストがかかる • オンプレミスに、自動的にクラウドにデータをアップロードするス トレージアプライアンスを配置し、既存バックアップに組み込む • アプライアンス • AWS Storage Gateway Stored or Cached Volume LTV(Virtual Tape Library) • Riverbed Whitewater • S3対応NAS(QNAP,Buffalo)
- 77. まとめ
- 78. 本日ご紹介した エンタープライズ的シナリオ • ハイブリッド環境のネットワーク構成 • ハイパフォーマンスな業務アプリケーション • クレジットカード情報を扱う業務システム • 企業システムのディザスタリカバリ
- 79. Resources • AWSクラウドデザインパターン Webサイト • http://aws.clouddesignpattern.org/ • http://en.clouddesignpattern.org (英語) • Facebookページ • https://www.facebook.com/awscdp • Cacoo CDP テンプレート • https://cacoo.com/store/templates/category/10018 • 書籍 • 設計ガイド • http://www.amazon.co.jp/dp/4822211983 • 実装ガイド • http://www.amazon.co.jp/dp/4822211967 • Kindle版設計ガイド • http://www.amazon.co.jp/dp/B00I3XD0I0/