AWS Black Belt Techシリーズ Amazon VPC

Amazon VPC(Virtual Private Cloud)
AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ)
アマゾンデータサービスジャパン株式会社
パートナーソリューションアーキテクト　松本⼤大樹

今⽇日のAgenda
•  VPCとは？
•  VPCの構成要素
•  [新機能] VPC Peering
•  VPC利利⽤用時の注意事項と価格
•  まとめ
•  Q&A

AWSの様々なサービス
お客様のアプリケーション
ストレージ
EBS, S3, Glacier, Storage Gateway
コンテンツ配信
CloudFront
ネットワーク
VPC, Route 53, Direct Connect
認証とログ
IAM,
CloudTrail,
CloudHSM
監視
Cloud
Watch
Web管理理画⾯面
Management
Console
デプロイと⾃自動化
Elastic Beanstalk,
Cloud Formation,
OpsWorks
コマンドライン
インターフェース
CLI
ライブラリ & SDKs
Java, PHP, .NET,
Python, Ruby
グローバルインフラ
リージョン、アベイラビリティゾーン、エッジロケーション
AZRegion
コンピュート処理理
データベース
RDS, DynamoDB,
Redshift, ElastiCache
分析
Elastic MapReduce,
Kinesis, Data Pipeline
アプリケーションサービス
AppStream, Cloud Search, SWF, SQS, SES, SNS, Elastic Transcoder
EC2, Auto Scaling, Elastic Load
Balancing, Workspaces

なぜVPCが必要か？
•  ネットワークのセキュリティを⾼高める為に、⾊色々と設定した
い！
•  クラウド環境においても既存の環境のネットワークルールを
適⽤用したい！
•  きめ細かいアクセス制御をしたい！
•  Local IP Addressを固定にしたい！
•  1つのEC2で複数IPアドレスや複数ネットワークインター
フェースを使いたい！
•  コンプライアンス対応の為、物理理サーバを占有利利⽤用したい！
・・・・・などなど！

VPCを使えば実現可能です！
•  VPC CIDR / Subnet
•  Route Table
•  Internet Gateway(IGW)
•  VPC Security Group(and DB Security Group)
•  Network Access Control List (NACL)
•  NAT
•  EC2 Dedicated Instance
•  Elastic Network Interface
•  Virtual Private Network (VPN)
•  VPC Peering

Amazon VPC
•  AWS上にプライベートネットワーク空間を構築
–  社内からVPN接続して閉域網でAWS利利⽤用
–  仮想ネットワーキング
•  オンプレミスとのハイブリッドが簡単に実現
–  AWSが社内インフラの⼀一部に⾒見見える
§  社内システム、ソフトウェアの移⾏行行がより容易易に
§  例例：業務システム、バッチ処理理、ファイルサーバ
•  より細やかにネットワーク関連の設定が可能
•  全リージョンで利利⽤用可能

AWS上にプライベートのアドレス空間を作成し、お客
様のインフラをAWS上に延⻑⾧長する
リージョン
EC2
VPCイントラ
プライベート
　サブネット
パブリック
　サブネット
Internet
VPC内に分離離し
たサブネットを
⾃自由に作成
VPN接続
専⽤用線
ゲート
ウェイ
VPN
DX

VPCを利利⽤用した3層Webシステム構成例例
VPC 10.0.0.0/16
Availability Zone - B
Availability Zone - A
Internet
Anyone
Internet
Gateway
Public Subnet 10.0.0.0/24
Public Subnet 10.0.2.0/24
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
Amazon RDS
Amazon RDS
Web
10.0.0.7
EC2 Instance
EC2 Instance
Web
10.0.2.7
Corporate data center
Customer Office
DB
DB
インターネットか
らもアクセス可能
DC/社内からの
みアクセス可能
VPN接続
DX専用線

Classic EC2/Default VPC/VPC の違い
−  Elastic IP
−  Public IP
−  Private IP
Classic EC2
EC2
−  Elastic IP
−  Public IP
−  Private IP
Default VPC
EC2
Default Subnet
−  Elastic IP
−  Public IP
−  Private IP
通常のVPC
EC2
Subnet
Non Default VPCユーザー
Default VPCユーザー

⾃自分はdefault VPC ユーザなのか？
•  EC2ダッシュボードの右上”Account Attributes”で確認可能
Non-Default VPC
Default VPC

AWS上でのIPの種類
•  Elastic IP
–  明⽰示的にIPを割り当てる
–  Stop/Startしてもアサインされたまま
•  Public IP
–  ランダムに割り当てられるPublic IP
–  Stop/Startすると別のIPが割当てられる
–  割当ての有無を変更更することも可能。
•  Private IP
–  必ず割り当てられるIPアドレス。
–  EC2作成時にIPを指定可能
–  Stop/StartしてもIPは変わらず固定
−  Elastic IP
−  Public IP
−  Private IP
EC2
Subnet

VPCで操作できる構成要素
•  Route Table
•  VPC Security Group
•  NAT

VPC CIDRとSubnetについて
Subnet: 10.0.1.0/24
VPC 10.0.0.0/16
Web
Server
Web
Server
Subnet: 10.0.2.0/24
CIDR
IP Address数
xxx.xxx.xxx.xxx/16
65,534
xxx.xxx.xxx.xxx/20
4,094
xxx.xxx.xxx.xxx/24
254
xxx.xxx.xxx.xxx/28
14
作成後は、VPCのサイズやアドレスブロックは変更できないので注意！！

Route Tableについて
•  各SubnetはRoute Tableを持っている。設定を変更更する
ことでデータの流流れを制御可能。
Public SubnetのRoute Table
Private SubnetのRoute Table
IGW(Internet Gateway)への
ルーティングがあるので、イン
ターネットへのアクセスが可能

Route TableとInternet Gateway
Public Subnet
VPC 10.0.0.0/16
Web
Server
Private Subnet
Web
Server
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 igw-xxxxx
Destination Target
10.0.0.0/16 Local
IGWにRoutingされて
いないのでインターネッ
トと通信できない。
Internet
Gateway
Internet
OK
OK
NG

NATについて
•  Private Subnetから外部のインターネットにアクセスが
したい！
–  パッチやソフトウェアなどのダウンロード
–  S3, Route53, DynamoDB, SES, SQSなどのVPC外のAWS
サービスにアクセス
•  NAT Instanceを使うことで、Global IP(Elastic IP,
Public IP)を設定せずに外部へのアクセスが可能
•  AWSからNAT⽤用のEC2 AMIを提供

NATについて
Public Subnet
VPC 10.0.0.0/16
Web
Server
Private Subnet
Web
Server
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 igw-xxxxx
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 NAT
IGWにRoutingされてい
ないので直接インター
ネットと通信できない。
Internet
Gateway
Internet
NAT
OK
NG

VPC Security Groupと
NACL(Network Access Control List)
Instanceレベル
でIn/Outのアク
セス制御
Subnetレベル
でIn/Outのアク
セス制御

VPC Security Group
Security
Group
EC2
Instance
Port 22
(SSH)
Port 80
(HTTP)
•  VPC環境ではインターネットからのトラフィック(Inbound)
をブロックするだけでなく、EC2からのトラフィック
(Outbound)を制限する事も可能です。ステートフル。

NACL(Network Access Control)
•  個々のSubnetごとにアクセス制御が可能。ステートレス。
•  Inbound, Outboundに対して下記の設定が可能
–  Inbound
•  Port range(ポート番号)
•  Source(アクセス元IPアドレス)
•  Allow/Deny
–  Outbound
•  Port range(ポート番号)
•  Destination(アクセス先IPアドレス)
•  Allow/Deny

DNS Settings
•  VPC内のDNS関連の設定
" Enable DNS resolution.
•  基本はtrueとする。
•  FalseにするとVPCのDNS機能が無効となる。
" Enable DNS hostname support for instances launched in this VPC.
•  TrueにするとDNS名が割り当てられる。
•  “Enable DNS resolution”をtrueにしないと有効にならない。

EC2 Dedicated Instance
顧客A
物理理サーバー
　通常のEC2
顧客B 顧客C
顧客A
物理理サーバー
顧客B 顧客C
Dedicated Instance
•  VPC内で専⽤用インスタンスシン
グルテナント保証
•  規制に対応しなければいけないお
客様のご要望に応えるサービス
•  クラウドのメリット確保
•  従量量課⾦金金
•  柔軟にスケールアップ
•  瞬時に調達

Elastic Network Interfaces
•  VPC上で実現する仮想ネットワークインタフェースを複数持てる
機能
•  以下をENIに紐紐づけて維持可能
–  Private IP
–  Elastic IP
–  MACアドレス
–  セキュリティグループ
•  インスタンスによって割り当て可能な数が異異なる。

Elastic Network Interfaces
"  インスタンスタイプによる設定数の制限
http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html

VPN (Virtual Private Network)
•  オンプレミスの環境もしくはオフィスとAWSのVPC環
境を繋げる⼿手段
•  BGPに対応していないVPN Routerも静的ルーティング
することで利利⽤用可能に！
•  IPsec VPNを利利⽤用するために必要な機能の抜粋
–  トンネルモードで、IPsec セキュリティ接続を確⽴立立
–  AES 128 bit の暗号化トンネル
–  BGP (Border gateway protocol) ピア
•  参考URL
<http://aws.amazon.com/jp/vpc/faqs/>

VPN (Virtual Private Network)
•  VPN Connectionの設定
IGW
Corporate Data center
VPC Subnet VPN
Gateway
VPN Gatewayを作成
してVPCに紐づける。
Customer
Gateway
Global IPやAS番号を指
定してCustomer
Gatewayを作成。
VPN Connection
VPN Connectionを作成後、
Configurationファイルをダウンロード
し、VPN Routerの設定を実施する。
VPN Router

Public subnet + Private subnet + VPN GW
Public Subnet
VPC 10.0.0.0/16
Web
Server
Private Subnet
Web
Server
Destination Target
10.0.0.0/16 Local
0.0.0.0/0 igw-xxxxx
Destination Target
10.0.0.0/16 Local
172.16.0.0/16 VGW
IGW
OK
NG
VGW
Corporate = 172.16.0.0/16

[復復習] VPCで操作できる構成要素
•  Route Table
•  VPC Security Group
•  NAT

VPC Peeringとは
•  複数のVPCをPeeringする機能。
•  これにより⼿手軽にVPC間を繋げて、Private IPで通信す
ることが可能になった。
•  同⼀一AWSアカウントのVPC間はもちろん、異異なるAWS
アカウントのVPC間をPeeringすることも可能。

VPC Peeringの設定⽅方法
VPC 10.0.0.0/16
Web
Server
Destination Target
10.0.0.0/16 Local
VPC 11.0.0.0/16
Web
Server
Destination Target
11.0.0.0/16 Local

VPC Peeringの設定⽅方法 – Step1
-‐‑‒ Peering Connectionsの作成
① VPCのページか
ら”Peering
Connections”を選択
② “Create VPC Peering
Connection”をクリックすると
作成ウィザードが開始する

③ PeeringするこのAWS
アカウントのVPCを選択
④ もう片方のVPCを選択する。
同一アカウントのVPCと別アカウン
トVPCのどちらも設定可能。
同一アカウントのVPCを選択
“My account”を選んで、PeeringするVPCを選択
別アカウントのVPCを選択
“Another account”を選んで、Account IDと
VPC IDを入力

ｘｘｘｘｘｘｘｘｘｘｘｘｘｘ
⑤ 無事に作成できるとPeering
Connectionの情報がでてきて、承
認待ちの状態となります。
Console上にStatusがPendingの状態のエントリーが1行増える

選択した2つのVPCのIPレンジが重複している場合。
•  同⼀一アカウントの場合は下記の様なエラーで、作成できない。
•  別アカウントの場合は⼀一件出来たように⾒見見えるが、ステータスが下
記になっており、作成されない。

⑥ 新しいPeering Connectionエン
トリの“Accept request”をクリックす
ることで設定が完了する。
※ 別アカウントの場合、新しいPeering Connectionのエントリが
表示されるまで数分かかる場合があるので待つ。

VPC 10.0.0.0/16
Web
Server
Destination Target
10.0.0.0/16 Local
Destination Target
11.0.0.0/16 Local
VPC 11.0.0.0/16
Web
Server
pcx-12345

-‐‑‒ Route Tableの設定
•  Route Tableの設定を⾏行行う。設定⽅方法は今まで同じ。
•  DestinationにCIDRを、TargetにPeering ConnectionのID
である”pcx-‐‑‒XXXXXXX”を⼊入⼒力力する。
•  もう⽚片⽅方のVPCに対してもRouteエントリーを設定する。

-‐‑‒ Route Tableの設定
VPC 10.0.0.0/16
Web
Server
Destination Target
10.0.0.0/16 Local
11.0.0.0/16 pcx-12345
VPC 11.0.0.0/16
Web
Server
Pcx-12345
Destination Target
11.0.0.0/16 Local
10.0.0.0/16 pcx-12345

VPC Peering構成例例
•  構成例例についてはドキュメントを参照
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/peering-scenarios.html

VPC Peering制約事項
•  IP Addressレンジが重なるVPC同⼠士のPeeringはダメ。
•  PeeringするVPCは同⼀一Region内のみ。
•  2ホップ以上のRoutingは出来ない。
•  Peering先のVPCにあるGlobal IPがアサインされている
リソースの名前解決した場合はGlobal IPが返ってくる。
•  AWS Solution Architectブログ
–  http://aws.typepad.com/sajp/2014/04/vpc-‐‑‒peering-‐‑‒tips.html

Tag機能の充実
•  Tag付けが可能なVPCリソースが増えました。

Public IPの割当て
•  EC2の起動時にPublic IPを割当てられます。
"   Elastic IPを利利⽤用しなくても、簡単に
Global IPを利利⽤用できる機能です。
"   IPを固定したい場合はElastic IPを利利
⽤用ください。

DHCP options sets
•  VPCのDHCP機能の設定変更更が可能です。
"   domain-‐‑‒name
•  ドメイン名の指定
"   domain-‐‑‒name-‐‑‒servers
•  DNSサーバの指定
" ntp-‐‑‒servers
•  NTPサーバの指定
" netbios-‐‑‒name-‐‑‒servers
•  NetBIOSサーバの指定
" netbios-‐‑‒node-‐‑‒type
•  NetBIOSのノードタイプの指定
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html

VPC Limitsの確認 (上限緩和申請)
•  デフォルトの上限値が増加したも
のがいくつかあります。
–  http://docs.aws.amazon.com/
AmazonVPC/latest/UserGuide/
VPC_̲Appendix_̲Limits.html
•  必要に応じて弊社Webサイトから
制限解除申請を実施ください。
–  http://aws.amazon.com/jp/contact-‐‑‒us/
vpc-‐‑‒request/
•  不不明点はAWSサポートや担当営業
までお問い合わせください。

VPCの価格について
•  VPCの利利⽤用は無料料！
•  VPC Peering Connectionも無料料！
•  VPN Connectionを利利⽤用する場合は
1時間で $0.05/VPN接続。
(1ヶ⽉月で3800円程度度)

本⽇日のまとめ
•  VPC Peeringがリリースされたことで、VPCはますます便便利利
になりました。VPCはAWSを利利⽤用する上で必須の知識識で
す！
•  Security GroupやNACL, Routing TableなどVPCの各種機能
を利利⽤用し適切切な設定をすることで、AWS上にセキュアなネッ
トワーク環境を構築することが可能です！
•  VPN接続やDirect Connect(DX)、Peering Connectionを利利
⽤用することで、AWSマルチアカウントやオンプレミス環境と
のハイブリッドなど、⾃自由なネットワーク設計が可能です！

Appendix
•  参考資料料
–  Amazon VPC Documents
http://aws.amazon.com/jp/documentation/vpc/
–  Amazon VPC
http://aws.amazon.com/jp/vpc/
–  Amazon VPC FAQ
http://aws.amazon.com/jp/vpc/faqs/

Webinar資料料の配置場所
•  AWS クラウドサービス活⽤用資料料集
–  http://aws.amazon.com/jp/aws-‐‑‒jp-‐‑‒introduction/

ご参加ありがとうございました。

AWS Black Belt Techシリーズ Amazon VPC

Recommended

More Related Content

What's hot (20)

Viewers also liked (12)

Similar to AWS Black Belt Techシリーズ Amazon VPC (20)

More from Amazon Web Services Japan (20)

AWS Black Belt Techシリーズ Amazon VPC