Amazon VPCトレーニング-VPCの説明

1. AmazonVirtual Private Cloud (VPC)アマゾンデータサービスジャパン株式会社

2. AWSの様々なサービスお客様のアプリケーションデプロイと自動化ライブラリ & SDKs IDEプラグイン Web管理画面モニタリング Development & 認証 AWS Elastic Java, PHP, .NET, Eclipse Management Amazon AWS IAM Beanstalk Administration Python, Ruby Visual Studio Console CloudWatch AWS CloudFromation メッセージメール配信ワークフロー管理 Amazon SNS Amazon SES Amazon SWF Amazon SQS Application Service コンテンツ配信分散処理キャッシング Amazon CloudFront Elastic MapReduce Amazon Elasticache ストレージデータベースコンピュータ処理 Amazon S3 Amazon RDS Amazon EC2 Amazon EBS Amazon DynamoDB Auto Scale AWS StorageGateway Amazon SimpleDB Infrastructure ネットワーク & ルーティング Service Amazon VPC / Amazon Elastic Load Balancer / Amazon Route 53 /AWS Direct Connect AWS グローバルインフラ Region AZ Geographical Regions, Availability Zones, Points of Presence 2

4. VPCとは？

5. Amazon VPCAWSクラウド上にプライベートクラウドを構築 ①社内からVPN接続して閉域網でAWS利用 ②仮想ネットワーキングオンプレミスとのハイブリッドが簡単に実現 AWSが社内インフラの一部に見える 社内システム、ソフトウェアの移行がより容易に 例：業務システム、バッチ処理、ファイルサーバより細やかにネットワークがコントロール可能全リージョンで利用可能 Copyright © 2012 Amazon Web Services 5

8. VPCのテンプレートを準備 • IPアドレス割り当て・複数サブネット • インターネットGW・カスタマーGW • 以下は構成例(柔軟な構成が可能) パブリックパブリック+プライベートパブリック+プライベートプライベートサブネット＋ＶＰＮサブネット＋ＶＰＮ8

10. VPC with Publicand Private Subnetsパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスはインターネットから直接アクセスできない適用メリット Webサーバーをパブリックサブネットを稼働し、プライベートサブネット内のデータベースの読み書きを行う Copyright © 2012 Amazon Web Services 10

11. VPC with Public and Private Subnets and a VPN Connectionパブリックサブネットのインスタンスには、EIPをアサインできるプライベートサブネットのインスタンスにVPN経由でアクセス可能適用メリット VPCをインターネットに接続しつつ、データセンターをクラウド上に拡張 Copyright © 2012 Amazon Web Services 11

13. VPCの構成要素

14. VPCで操作できる構成要素VPCで操作できる構成要素  Security Group(and DB Security Group)  Network Access Control (NACL)  Route TableとInternet Gateway (IGW)  NAT  EC2 Dedicated Instance  Elastic Network Interface Copyright © 2012 Amazon Web Services

15. VPCでのSecurity GroupとNACL InstanceレベルでIn/Outのアクセス制御 Subnetレベルで In/Outのアクセス制御

16. EC2のセキュリティグループ設定インターネットからのトラフィック(Inbound)をブロックするだけでなく、EC2からのトラフィック(Outbound)を制限する事も可能です。 Port 80 (HTTP) EC2 Instance Port 22 Security Group (SSH)

17. EC2のセキュリティグループ設定セキュリティグループの”Source”に対して、セキュリティグループのIDを指定することが可能です。 Port range Source 80 0.0.0.0/0 Port range Source 3306 sg-aaaaaa Apache EC2 Security Group-A (ID: sg-aaaaaa) MySQL EC2 Security Group-B Apache (ID: sg-bbbbbb) EC2 Security Group-C (ID: sg-cccccc)Port range Source80 0.0.0.0/0

18. Route Tableについて各SubnetはRoute Tableを持っている。設定を変更することでデータの流れを制御可能。 IGW(Internet Gateway)へPublic SubnetのRoute Table のルーティングがあるので、外部とのアクセスが可能Private SubnetのRoute Table Copyright © 2012 Amazon Web Services

19. Route Tableについて Internet IGWにRoutingされて Internet いないので外部と通 Gateway 信できない。 Web Web Server Server Public Subnet Private Subnet VPC 10.0.0.0/16 Destination TargetDestination Target 10.0.0.0/16 Local10.0.0.0/16 Local0.0.0.0/0 igw-xxxxx Copyright © 2012 Amazon Web Services

20. ELB on VPCELB on VPCの機能  パブリッククラウドのELBと機能面は同等  ELBのトラフィックをサブネットをまたいで分散  ELBセキュリティグループで、より細かくコントロール可能ELB on VPCの制約  IPv6サポートは現状なし  /27 CIDRブロック以上のIPアドレスが必要

21. RDS for MySQL on VPCMySQL RDSはVPCで使えるようにマルチAZ対応、リードレプリカ対応VPC上での注意点 DB Subnet Groupを事前に作成する • RDSを利用するVPC及びサブネットを指定 RDSをVPC内で起動 • DB Subnet Groupを指定 DBセキュリティグループも指定する 21

22. VPC設定時の注意点 VPC内で構成するEC2 Instance, ELB, Elastic IP,Security Groupなどを作成する際、VPCを明示的に指定する必要がある。 EC2のt1.micro は使うことができないプライベートIPを指定して起動できる指定しないと自動で割り振られるElastic IPの挙動が異なる VPCではEC2を再起動しても割当てられたままとなる既にElastic IPが割当てられているEC2に対して、別のElastic IPを割り当ててもErrorになる Copyright © 2012 Amazon Web Services

24. EC2 Dedicated Instance 通常のEC2VPC内で専用インスタンス物理サーバーシングルテナント保証クラウドのメリット確保従量課金顧客A 顧客B 顧客C 柔軟にスケールアップ Dedicated Instance 瞬時に調達物理サーバー規制に対応しなければいけないお客様のご要望に応えるサービス顧客A 顧客B 顧客C Copyright © 2012 Amazon Web Services

25. NATについて AWSからNAT用のEC2 AMIを提供している Private Subnetから外部インターネットにアクセスする際の手段ソフトウェアリポジトリにアクセス外部パッチサイトにアクセス S3, Route53, DynamoDB, SES, SQSなどの VPC外のAWSサービスにアクセス NAT Instanceを使うことで、セキュリティを確保したまま外部へのアクセスが可能 Copyright © 2012 Amazon Web Services

26. NATについて Internet IGWにRoutingされて Internet いないので直接外部 Gateway と通信できない。 Web Web Server Server NAT Public Subnet Private Subnet VPC 10.0.0.0/16 Destination TargetDestination Target 10.0.0.0/16 Local10.0.0.0/16 Local 0.0.0.0/0 NAT0.0.0.0/0 igw-xxxxx Copyright © 2012 Amazon Web Services

27. Public subnet + Private subnet +VPN GW Corporate = 172.16.0.0/16 Internet VPN Gateway Gateway Security Group Security Group NAT Public Subnet instance Private Subnet Virtual Private Cloud = 10.0.0.0/16 Destination Target Destination Target 10.0.0.0/16 local 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance

28. ハードウェアVPNIPsec VPN  BGP (Border gateway protocol)  AES 128 bit の暗号化トンネルサポート対象  Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software  Juniper J-Series routers running JunOS 9.5 (or later) software  Juniper SRX Series Service Gateway running JunOS 9.5 (or Later)software  Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software  Yamaha RTX1200 routers (Rev. 10.01.16+)参考URL <http://aws.amazon.com/jp/vpc/faqs/#C8>

30. AWS Direct Connectとは AWS Direct Connect：AWSとデータセンター、オフィス、コロケーション環境間にプライベート接続を確立するサービス特徴 • ネットワークのコスト削減 • 帯域幅のスループット向上 • インターネットベースの接続よりも一貫性がある AWS Cloud EC2, S3などの Public サービス AWS Direct 専用線エクイニクス Connect 相互接続ポイント AWS Direct Connect Amazon VPC お客様 Copyright © 2012 Amazon Web Services

31. AWS Direct Connect 詳細内容 AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供  専用線サービスは、お客様が下記の2つの選択肢から選択 • お客様がエクイニクス相互接続ポイントにお客様が専用線を直接つなぐ • 複数の通信事業者の専用線接続サービスを利用 – NTTコミュニケーションズ – KVH – ソフトバンクテレコム – 野村総合研究所  前提条件 • PublicなAWS サービス(EC2, S3, RDS, etc.)と接続する場合 – PublicなAS番号が必要 • Amazon VPCと接続する場合 – PrivateなAS番号を使用 • リージョン毎に契約が必要 • 多くの容量が必要な場合、複数の接続のプロビジョニングが可能 Copyright © 2012 Amazon Web Services

32. Equinixへラックを設置する方法 WANの終端装置、VLAN対応スイッチをラック内に設置 TY2では構内配線エンドキャリア AWS WAN終端装置お客様 AWS ラックラック 802.1q R 1G/10G R Equinix TY2

33. 課金体系(1/2) 月額利用料は下記の計算で課金されます（月額利用料＝ AWS Direct Connect料金＋通信事業者の専用線サービス料金)  AWS Direct Connect 料金（回線利用料＋データ転送料）回線利用料（本数分）ロケーション 1 Gbps ポート 10 Gbps ポート CoreSite One Wilshire, Los Angeles, CA $0.30/時間 $2.25/時間 Equinix DC1 – DC6, Ashburn, VA $0.30/時間 $2.25/時間 Equinix SV1 & SV5, San Jose, CA $0.30/時間 $2.25/時間 Equinix SG2、シンガポール $0.30/時間 $2.25/時間 Equinix TY2、東京 $0.30/時間 $2.25/時間 TelecityGroup Docklands、ロンドン $0.30/時間 $2.25/時間 Copyright © 2012 Amazon Web Services

34. 課金体系(2/2)  AWS Direct Connect 料金（回線利用料＋データ転送料）データ転送料 (割引されたデータ転送料金を適用) ロケーションデータ転送受信（イン）データ転送送信（アウト） CoreSite, One Wilshire と米国西部（北カリフォルニ無料 $0.030/GB ア）リージョン間バージニア州アッシュバーンの Equinix（エクイニク無料 $0.020/GB ス）と米国東部（バージニア北部）リージョン間 Equinix SV1 and SV5 と米国西部（北カリフォルニア）無料 $0.020/GB リージョン間 Equinix, SG2 とアジアパシフィック（シンガポール）無料 $0.045/GB リージョン間 Equinix, TY2 とアジアパシフィック（東京）リージョン無料 $0.045/GB 間 TelecityGroup, ロンドン Docklands と欧州（アイルラ無料 $0.030/GB ンド）リージョン間通信事業者の専用線サービス料金 • 各通信事業者様にお問い合わせください Copyright © 2012 Amazon Web Services

35. VPC+VPN/Direct Connect の構成例

36. AWS構成例（仮想グループクラウド）貴社プライベートクラウド本社各種団体等  グループクラウド網と専用線サービス接続  イントラネットの一部としてグループクラウド網 AWSの利用が可能（仮想グループクラウド）  ハイブリッドクラウドサービスの一つ選択肢としてAWSを提供生産関連会社A 生産関連会社B 生産関連会社C 36

37. AWS利用例（バックアップ）既存データセンター隔地保管複数世代管理統合バックアップ Xxシステム Direct Connect（専用線）･･･ Virtual Private Network (VPN) Amazon Simple Storage Service (S3) 直接バックアップS3：データ耐久性99.999999999%AWS Storage Gateway：透過的にS3にバックアップを行う利用例テープ隔地保管の代替としてバックアップシステムを直接S3へ

38. Amazon Storage Gateway DirectConnect VPN http://aws.amazon.com/storagegateway

39. AWS利用例（開発/維持管理環境）既存データセンター本番環境開発環境 Direct Connect（専用線） Virtual Private Network (VPN) Amazon Elastic Compute Cloud (EC2) 本番環境はこれまで同様既存DCにて構築開発、維持管理環境はAWS構築専用線接続、またはVPN接続行内L/W  旧来の環境とシームレスに接続可能利用例本番開発環境差異：ハードウェアに依存しないシステム開発

40. AWS利用例（連動性）既存データセンター監視 OVO Xxシステム Direct Connect（専用線） Virtual Private Network (VPN) Amazon Elastic Compute Cloud (EC2) データ連動 UID AD 認証既存システムとの連動利用例監視、認証データ連動、受け渡し

41. AWS利用例(データ処理のみCloudを利用) 既存データセンタースケールアップ/アウト、休止自在 CPU処理 Direct Connect（専用線）･･･ Virtual Private Network (VPN) Amazon Elastic Compute Oracle Database Servers Cloud (EC2) データベースは既存データセンター内で構築 CPUパワー不足時、またはCPU処理のみAWS EC2, HPC, EMRを利用（使用時のみ課金）利用例データベースは外に出したくない業務バッチジョブ、HPC、季節連動性の業務

42. オンプレミスとのハイブリッド環境DATAPIPE社のサービス例  Oracle DBをオンプレミスのデータセンタに設置  変化するリソースはAWS上

43. AWS利用例（DR環境）既存データセンター本番環境 DR環境 Direct Connect（専用線） Virtual Private Network (VPN) Amazon Elastic Compute Cloud (EC2) 本番環境は既存DCにて構築 DR環境はAWS内で構築利用例これからDR環境を整備するシステムコスト面でDRを整備出来なかったシステム（F/S等）通常は休止または必要最小規模で稼働

48. Elastic Network Interfaces インスタンスタイプによる設定数の制限 Elastic Network Private IP Type Name Interfaces (ENIs) Addresses per ENIMicro N/A N/A t1.microSmall 2 4 m1.smallMedium 2 6 m1.mediumLarge 3 10 m1.largeExtra Large 4 15 m1.xlargeHigh-CPU Medium 2 6 c1.mediumHigh-CPU Extra Large 4 15 c1.xlargeHigh-Memory Extra Large 4 15 m2.xlargeHigh-Memory Double Extra Large 4 30 m2.2xlargeHigh-Memory Quadruple Extra Large 8 30 m2.4xlargeCluster Compute Quadruple Extra Large N/A N/A cc1.4xlargeCluster Compute Eight Extra Large 8 30 cc2.8xlargeCluster GPU Quadruple Extra Large N/A N/A cg1.4xlarge Copyright © 2012 Amazon Web Services

50. NACL(Network Access Control)個々のSubnetごとにアクセス制御が可能Inbound, Outboundに対して下記の設定が可能 Inbound Port range(ポート番号) Source(アクセス元IPアドレス) Allow/Deny Outbound Port range(ポート番号) Destination(アクセス先IPアドレス) Allow/Deny Copyright © 2012 Amazon Web Services

51. NATインスタンスの作成1. AWSではNAT用のインスタンスを用意していますので、 ”ami-vpc-nat”で検索します。例: AMI NAME “ami-vpc-nat-1.0.0-beta.x86_64-ebs”2. 上記AMIを使って、Public SubnetにNATインスタンスを起動します。3. NATインスタンスの”Change Source / Dest Check”を Disableにします。4. NATインスタンスにElastic IPを付けます。5. Public SubnetのRoute TableにNATインスタンスのIDを追加6. 必要に応じてNATインスタンスのSecurity Groupを設定。

52. NATインスタンスの作成/起動(1) Internet Internet Gateway Web Web Server Server NAT Public Subnet Private Subnet VPC 10.0.0.0/16①② NATインスタンスを ③NATインスタンスの”Change SourceAMIから起動 / Dest Check”をDisableに設定 Copyright © 2012 Amazon Web Services

53. NATインスタンスの作成/起動(1) - ③NATインスタンスを右クリックして”Change Source / DestCheck”を選択し、”Yes, Disable”を選択します。

54. NATインスタンスの作成/起動(2) ④Elastic IPの追加 Internet ⑤Route TableにNATインスタンスを追加 Internet Gateway Elastic IP Web Web Server Server NAT Public Subnet Private Subnet VPC 10.0.0.0/16 Destination TargetDestination Target 10.0.0.0/16 Local10.0.0.0/16 Local 0.0.0.0/0 NAT(Instance ID)0.0.0.0/0 igw-xxxxx Copyright © 2012 Amazon Web Services

55. NATインスタンスの作成/起動(3) ⑥必要に応じてNATインスタ Internet ンスのSecurity Groupを設定 Internet Gateway Elastic IP Web Web Server Server NAT Public Subnet Private Subnet VPC 10.0.0.0/16 Destination TargetDestination Target 10.0.0.0/16 Local10.0.0.0/16 Local 0.0.0.0/0 NAT(Instance ID)0.0.0.0/0 igw-xxxxx Copyright © 2012 Amazon Web Services

56. NATインスタンスの作成/起動(4) NAT経由でのアクセ Internet スを確認ください。 IGWにRoutingされて Internet いないので直接外部 Gateway と通信できない。 Web Web Server Server NAT Public Subnet Private Subnet VPC 10.0.0.0/16 Destination TargetDestination Target 10.0.0.0/16 Local10.0.0.0/16 Local 0.0.0.0/0 NAT(Instance ID)0.0.0.0/0 igw-xxxxx Copyright © 2012 Amazon Web Services

http://d.hatena.ne.jp	10,510
http://www.sochiai.com	126
http://localhost	35
https://twitter.com	17
http://search2memo.net	14
https://www.google.co.jp	8
http://webcache.googleusercontent.com	7
http://plus.url.google.com	5
http://www.google.co.jp	5
https://translate.googleusercontent.com	3
http://sochiai.com	2
https://www.chatwork.com	2
http://hatena.ne.jp	2
http://cache.yahoofs.jp	1
https://home.jolicloud.com	1
http://s.deeeki.com	1
http://dev.nursejinzaibank.com	1
http://hatenatunnel.appspot.com	1
http://translate.googleusercontent.com	1

SlideShare for iOS

Views

Actions

Embeds 10,742

Report content

Transcript