AWS Black Belt Techシリーズ Amazon VPC
•
46 likes•10,587 views
AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ) Amazon VPC
![今⽇日のAgenda
• VPCとは?
• VPCの構成要素
• [新機能] VPC Peering
• VPC利利⽤用時の注意事項と価格
• まとめ
• Q&A](https://image.slidesharecdn.com/20140604aws-blackbelt-vpcpublic-140605222128-phpapp02/85/AWS-Black-Belt-Tech-Amazon-VPC-2-320.jpg)
![今⽇日のAgenda
• VPCとは?
• VPCの構成要素
• [新機能] VPC Peering
• VPC利利⽤用時の注意事項と価格
• まとめ
• Q&A](https://image.slidesharecdn.com/20140604aws-blackbelt-vpcpublic-140605222128-phpapp02/85/AWS-Black-Belt-Tech-Amazon-VPC-3-320.jpg)
![今⽇日のAgenda
• VPCとは?
• VPCの構成要素
• [新機能] VPC Peering
• VPC利利⽤用時の注意事項と価格
• まとめ
• Q&A](https://image.slidesharecdn.com/20140604aws-blackbelt-vpcpublic-140605222128-phpapp02/85/AWS-Black-Belt-Tech-Amazon-VPC-13-320.jpg)
![[復復習] VPCで操作できる構成要素
• VPC CIDR / Subnet
• Route Table
• Internet Gateway(IGW)
• VPC Security Group
• Network Access Control List (NACL)
• NAT
• EC2 Dedicated Instance
• Elastic Network Interface
• Virtual Private Network (VPN)](https://image.slidesharecdn.com/20140604aws-blackbelt-vpcpublic-140605222128-phpapp02/85/AWS-Black-Belt-Tech-Amazon-VPC-30-320.jpg)
![今⽇日のAgenda
• VPCとは?
• VPCの構成要素
• [新機能] VPC Peering
• VPC利利⽤用時の注意事項と価格
• まとめ
• Q&A](https://image.slidesharecdn.com/20140604aws-blackbelt-vpcpublic-140605222128-phpapp02/85/AWS-Black-Belt-Tech-Amazon-VPC-31-320.jpg)
![今⽇日のAgenda
• VPCとは?
• VPCの構成要素
• [新機能] VPC Peering
• VPC利利⽤用時の注意事項と価格
• まとめ
• Q&A](https://image.slidesharecdn.com/20140604aws-blackbelt-vpcpublic-140605222128-phpapp02/85/AWS-Black-Belt-Tech-Amazon-VPC-44-320.jpg)
AWS Black Belt Techシリーズ Amazon VPC
- 1. Amazon VPC(Virtual Private Cloud) AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ) アマゾンデータサービスジャパン株式会社 パートナー ソリューションアーキテクト 松本 ⼤大樹
- 2. 今⽇日のAgenda • VPCとは? • VPCの構成要素 • [新機能] VPC Peering • VPC利利⽤用時の注意事項と価格 • まとめ • Q&A
- 3. 今⽇日のAgenda • VPCとは? • VPCの構成要素 • [新機能] VPC Peering • VPC利利⽤用時の注意事項と価格 • まとめ • Q&A
- 4. AWSの様々なサービス お客様のアプリケーション ストレージ EBS, S3, Glacier, Storage Gateway コンテンツ配信 CloudFront ネットワーク VPC, Route 53, Direct Connect 認証とログ IAM, CloudTrail, CloudHSM 監視 Cloud Watch Web管理理画⾯面 Management Console デプロイと⾃自動化 Elastic Beanstalk, Cloud Formation, OpsWorks コマンドライン インターフェース CLI ライブラリ & SDKs Java, PHP, .NET, Python, Ruby グローバルインフラ リージョン、アベイラビリティゾーン、エッジロケーション AZRegion コンピュート処理理 データベース RDS, DynamoDB, Redshift, ElastiCache 分析 Elastic MapReduce, Kinesis, Data Pipeline アプリケーションサービス AppStream, Cloud Search, SWF, SQS, SES, SNS, Elastic Transcoder EC2, Auto Scaling, Elastic Load Balancing, Workspaces
- 5. なぜVPCが必要か? • ネットワークのセキュリティを⾼高める為に、⾊色々と設定した い! • クラウド環境においても既存の環境のネットワークルールを 適⽤用したい! • きめ細かいアクセス制御をしたい! • Local IP Addressを固定にしたい! • 1つのEC2で複数IPアドレスや複数ネットワークインター フェースを使いたい! • コンプライアンス対応の為、物理理サーバを占有利利⽤用したい! ・・・・・などなど!
- 6. VPCを使えば実現可能です! • VPC CIDR / Subnet • Route Table • Internet Gateway(IGW) • VPC Security Group(and DB Security Group) • Network Access Control List (NACL) • NAT • EC2 Dedicated Instance • Elastic Network Interface • Virtual Private Network (VPN) • VPC Peering
- 7. Amazon VPC • AWS上にプライベートネットワーク空間を構築 – 社内からVPN接続して閉域網でAWS利利⽤用 – 仮想ネットワーキング • オンプレミスとのハイブリッドが簡単に実現 – AWSが社内インフラの⼀一部に⾒見見える § 社内システム、ソフトウェアの移⾏行行がより容易易に § 例例:業務システム、バッチ処理理、ファイルサーバ • より細やかにネットワーク関連の設定が可能 • 全リージョンで利利⽤用可能
- 9. VPCを利利⽤用した3層Webシステム構成例例 VPC 10.0.0.0/16 Availability Zone - B Availability Zone - A Internet Anyone Internet Gateway Public Subnet 10.0.0.0/24 Public Subnet 10.0.2.0/24 Private Subnet 10.0.1.0/24 Private Subnet 10.0.3.0/24 Amazon RDS Amazon RDS Web 10.0.0.7 EC2 Instance EC2 Instance Web 10.0.2.7 Corporate data center Customer Office DB DB インターネットか らもアクセス可能 DC/社内からの みアクセス可能 VPN接続 DX専用線
- 10. Classic EC2/Default VPC/VPC の違い − Elastic IP − Public IP − Private IP Classic EC2 EC2 − Elastic IP − Public IP − Private IP Default VPC EC2 Default Subnet − Elastic IP − Public IP − Private IP 通常のVPC EC2 Subnet Non Default VPCユーザー Default VPCユーザー
- 11. ⾃自分はdefault VPC ユーザなのか? • EC2ダッシュボードの右上”Account Attributes”で確認可能 Non-Default VPC Default VPC
- 12. AWS上でのIPの種類 • Elastic IP – 明⽰示的にIPを割り当てる – Stop/Startしてもアサインされたまま • Public IP – ランダムに割り当てられるPublic IP – Stop/Startすると別のIPが割当てられる – 割当ての有無を変更更することも可能。 • Private IP – 必ず割り当てられるIPアドレス。 – EC2作成時にIPを指定可能 – Stop/StartしてもIPは変わらず固定 − Elastic IP − Public IP − Private IP EC2 Subnet
- 13. 今⽇日のAgenda • VPCとは? • VPCの構成要素 • [新機能] VPC Peering • VPC利利⽤用時の注意事項と価格 • まとめ • Q&A
- 14. VPCで操作できる構成要素 • VPC CIDR / Subnet • Route Table • Internet Gateway(IGW) • VPC Security Group • Network Access Control List (NACL) • NAT • EC2 Dedicated Instance • Elastic Network Interface • Virtual Private Network (VPN)
- 15. VPC CIDRとSubnetについて Subnet: 10.0.1.0/24 VPC 10.0.0.0/16 Web Server Web Server Subnet: 10.0.2.0/24 CIDR IP Address数 xxx.xxx.xxx.xxx/16 65,534 xxx.xxx.xxx.xxx/20 4,094 xxx.xxx.xxx.xxx/24 254 xxx.xxx.xxx.xxx/28 14 作成後は、VPCのサイズやアドレスブロックは変更できないので注意!!
- 16. Route Tableについて • 各SubnetはRoute Tableを持っている。設定を変更更する ことでデータの流流れを制御可能。 Public SubnetのRoute Table Private SubnetのRoute Table IGW(Internet Gateway)への ルーティングがあるので、イン ターネットへのアクセスが可能
- 17. Route TableとInternet Gateway Public Subnet VPC 10.0.0.0/16 Web Server Private Subnet Web Server Destination Target 10.0.0.0/16 Local 0.0.0.0/0 igw-xxxxx Destination Target 10.0.0.0/16 Local IGWにRoutingされて いないのでインターネッ トと通信できない。 Internet Gateway Internet OK OK NG
- 18. NATについて • Private Subnetから外部のインターネットにアクセスが したい! – パッチやソフトウェアなどのダウンロード – S3, Route53, DynamoDB, SES, SQSなどのVPC外のAWS サービスにアクセス • NAT Instanceを使うことで、Global IP(Elastic IP, Public IP)を設定せずに外部へのアクセスが可能 • AWSからNAT⽤用のEC2 AMIを提供
- 19. NATについて Public Subnet VPC 10.0.0.0/16 Web Server Private Subnet Web Server Destination Target 10.0.0.0/16 Local 0.0.0.0/0 igw-xxxxx Destination Target 10.0.0.0/16 Local 0.0.0.0/0 NAT IGWにRoutingされてい ないので直接インター ネットと通信できない。 Internet Gateway Internet NAT OK NG
- 20. VPC Security Groupと NACL(Network Access Control List) Instanceレベル でIn/Outのアク セス制御 Subnetレベル でIn/Outのアク セス制御
- 21. VPC Security Group Security Group EC2 Instance Port 22 (SSH) Port 80 (HTTP) • VPC環境ではインターネットからのトラフィック(Inbound) をブロックするだけでなく、EC2からのトラフィック (Outbound)を制限する事も可能です。ステートフル。
- 22. NACL(Network Access Control) • 個々のSubnetごとにアクセス 制御が可能。ステートレス。 • Inbound, Outboundに対して下記の設定が可能 – Inbound • Port range(ポート番号) • Source(アクセス元IPアドレス) • Allow/Deny – Outbound • Port range(ポート番号) • Destination(アクセス先IPアドレス) • Allow/Deny
- 23. DNS Settings • VPC内のDNS関連の設定 " Enable DNS resolution. • 基本はtrueとする。 • FalseにするとVPCのDNS機能が無効となる。 " Enable DNS hostname support for instances launched in this VPC. • TrueにするとDNS名が割り当てられる。 • “Enable DNS resolution”をtrueにしないと有効にならない。
- 24. EC2 Dedicated Instance 顧客A 物理理サーバー 通常のEC2 顧客B 顧客C 顧客A 物理理サーバー 顧客B 顧客C Dedicated Instance • VPC内で専⽤用インスタンスシン グルテナント保証 • 規制に対応しなければいけないお 客様のご要望に応えるサービス • クラウドのメリット確保 • 従量量課⾦金金 • 柔軟にスケールアップ • 瞬時に調達
- 25. Elastic Network Interfaces • VPC上で実現する仮想ネットワークインタフェースを複数持てる 機能 • 以下をENIに紐紐づけて維持可能 – Private IP – Elastic IP – MACアドレス – セキュリティグループ • インスタンスによって割り当て可能な数が異異なる。
- 26. Elastic Network Interfaces " インスタンスタイプによる設定数の制限 http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html
- 27. VPN (Virtual Private Network) • オンプレミスの環境もしくはオフィスとAWSのVPC環 境を繋げる⼿手段 • BGPに対応していないVPN Routerも静的ルーティング することで利利⽤用可能に! • IPsec VPNを利利⽤用するために必要な機能の抜粋 – トンネルモードで、IPsec セキュリティ接続を確⽴立立 – AES 128 bit の暗号化トンネル – BGP (Border gateway protocol) ピア • 参考URL <http://aws.amazon.com/jp/vpc/faqs/>
- 28. VPN (Virtual Private Network) • VPN Connectionの設定 IGW Corporate Data center VPC Subnet VPN Gateway VPN Gatewayを作成 してVPCに紐づける。 Customer Gateway Global IPやAS番号を指 定してCustomer Gatewayを作成。 VPN Connection VPN Connectionを作成後、 Configurationファイルをダウンロード し、VPN Routerの設定を実施する。 VPN Router
- 29. Public subnet + Private subnet + VPN GW Public Subnet VPC 10.0.0.0/16 Web Server Private Subnet Web Server Destination Target 10.0.0.0/16 Local 0.0.0.0/0 igw-xxxxx Destination Target 10.0.0.0/16 Local 172.16.0.0/16 VGW IGW OK NG VGW Corporate = 172.16.0.0/16
- 30. [復復習] VPCで操作できる構成要素 • VPC CIDR / Subnet • Route Table • Internet Gateway(IGW) • VPC Security Group • Network Access Control List (NACL) • NAT • EC2 Dedicated Instance • Elastic Network Interface • Virtual Private Network (VPN)
- 31. 今⽇日のAgenda • VPCとは? • VPCの構成要素 • [新機能] VPC Peering • VPC利利⽤用時の注意事項と価格 • まとめ • Q&A
- 32. VPC Peeringとは • 複数のVPCをPeeringする機能。 • これにより⼿手軽にVPC間を繋げて、Private IPで通信す ることが可能になった。 • 同⼀一AWSアカウントのVPC間はもちろん、異異なるAWS アカウントのVPC間をPeeringすることも可能。
- 33. VPC Peeringの設定⽅方法 VPC 10.0.0.0/16 Web Server Destination Target 10.0.0.0/16 Local VPC 11.0.0.0/16 Web Server Destination Target 11.0.0.0/16 Local
- 34. VPC Peeringの設定⽅方法 – Step1 -‐‑‒ Peering Connectionsの作成 ① VPCのページか ら”Peering Connections”を選択 ② “Create VPC Peering Connection”をクリックすると 作成ウィザードが開始する
- 35. VPC Peeringの設定⽅方法 – Step1 -‐‑‒ Peering Connectionsの作成 ③ PeeringするこのAWS アカウントのVPCを選択 ④ もう片方のVPCを選択する。 同一アカウントのVPCと別アカウン トVPCのどちらも設定可能。 同一アカウントのVPCを選択 “My account”を選んで、PeeringするVPCを選択 別アカウントのVPCを選択 “Another account”を選んで、Account IDと VPC IDを入力
- 36. VPC Peeringの設定⽅方法 – Step1 -‐‑‒ Peering Connectionsの作成 xxxxxxxxxxxxxx ⑤ 無事に作成できるとPeering Connectionの情報がでてきて、承 認待ちの状態となります。 Console上にStatusがPendingの状態のエントリーが1行増える
- 37. VPC Peeringの設定⽅方法 – Step1 -‐‑‒ Peering Connectionsの作成 選択した2つのVPCのIPレンジが重複している場合。 • 同⼀一アカウントの場合は下記の様なエラーで、作成できない。 • 別アカウントの場合は⼀一件出来たように⾒見見えるが、ステータスが下 記になっており、作成されない。
- 38. VPC Peeringの設定⽅方法 – Step1 -‐‑‒ Peering Connectionsの作成 ⑥ 新しいPeering Connectionエン トリの“Accept request”をクリックす ることで設定が完了する。 ※ 別アカウントの場合、新しいPeering Connectionのエントリが 表示されるまで数分かかる場合があるので待つ。
- 39. VPC Peeringの設定⽅方法 – Step1 -‐‑‒ Peering Connectionsの作成 VPC 10.0.0.0/16 Web Server Destination Target 10.0.0.0/16 Local Destination Target 11.0.0.0/16 Local VPC 11.0.0.0/16 Web Server pcx-12345
- 40. VPC Peeringの設定⽅方法 – Step2 -‐‑‒ Route Tableの設定 • Route Tableの設定を⾏行行う。設定⽅方法は今まで同じ。 • DestinationにCIDRを、TargetにPeering ConnectionのID である”pcx-‐‑‒XXXXXXX”を⼊入⼒力力する。 • もう⽚片⽅方のVPCに対してもRouteエントリーを設定する。
- 41. VPC Peeringの設定⽅方法 – Step2 -‐‑‒ Route Tableの設定 VPC 10.0.0.0/16 Web Server Destination Target 10.0.0.0/16 Local 11.0.0.0/16 pcx-12345 VPC 11.0.0.0/16 Web Server Pcx-12345 Destination Target 11.0.0.0/16 Local 10.0.0.0/16 pcx-12345
- 43. VPC Peering制約事項 • IP Addressレンジが重なるVPC同⼠士のPeeringはダメ。 • PeeringするVPCは同⼀一Region内のみ。 • 2ホップ以上のRoutingは出来ない。 • Peering先のVPCにあるGlobal IPがアサインされている リソースの名前解決した場合はGlobal IPが返ってくる。 • AWS Solution Architectブログ – http://aws.typepad.com/sajp/2014/04/vpc-‐‑‒peering-‐‑‒tips.html
- 44. 今⽇日のAgenda • VPCとは? • VPCの構成要素 • [新機能] VPC Peering • VPC利利⽤用時の注意事項と価格 • まとめ • Q&A
- 46. Public IPの割当て • EC2の起動時にPublic IPを割当てられます。 " Elastic IPを利利⽤用しなくても、簡単に Global IPを利利⽤用できる機能です。 " IPを固定したい場合はElastic IPを利利 ⽤用ください。
- 47. DHCP options sets • VPCのDHCP機能の設定変更更が可能です。 " domain-‐‑‒name • ドメイン名の指定 " domain-‐‑‒name-‐‑‒servers • DNSサーバの指定 " ntp-‐‑‒servers • NTPサーバの指定 " netbios-‐‑‒name-‐‑‒servers • NetBIOSサーバの指定 " netbios-‐‑‒node-‐‑‒type • NetBIOSのノードタイプの指定 http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html
- 48. VPC Limitsの確認 (上限緩和申請) • デフォルトの上限値が増加したも のがいくつかあります。 – http://docs.aws.amazon.com/ AmazonVPC/latest/UserGuide/ VPC_̲Appendix_̲Limits.html • 必要に応じて弊社Webサイトから 制限解除申請を実施ください。 – http://aws.amazon.com/jp/contact-‐‑‒us/ vpc-‐‑‒request/ • 不不明点はAWSサポートや担当営業 までお問い合わせください。
- 49. VPCの価格について • VPCの利利⽤用は無料料! • VPC Peering Connectionも無料料! • VPN Connectionを利利⽤用する場合は 1時間で $0.05/VPN接続。 (1ヶ⽉月で3800円程度度)
- 50. 本⽇日のまとめ • VPC Peeringがリリースされたことで、VPCはますます便便利利 になりました。VPCはAWSを利利⽤用する上で必須の知識識で す! • Security GroupやNACL, Routing TableなどVPCの各種機能 を利利⽤用し適切切な設定をすることで、AWS上にセキュアなネッ トワーク環境を構築することが可能です! • VPN接続やDirect Connect(DX)、Peering Connectionを利利 ⽤用することで、AWSマルチアカウントやオンプレミス環境と のハイブリッドなど、⾃自由なネットワーク設計が可能です!
- 51. Appendix • 参考資料料 – Amazon VPC Documents http://aws.amazon.com/jp/documentation/vpc/ – Amazon VPC http://aws.amazon.com/jp/vpc/ – Amazon VPC FAQ http://aws.amazon.com/jp/vpc/faqs/
- 52. Webinar資料料の配置場所 • AWS クラウドサービス活⽤用資料料集 – http://aws.amazon.com/jp/aws-‐‑‒jp-‐‑‒introduction/
- 53. ご参加ありがとうございました。