20120303 jaws summit-meister-07_vpc
-
Upload
amazon-web-services-japan -
Category
Documents
-
view
879 -
download
5
description
Transcript of 20120303 jaws summit-meister-07_vpc
AWSマイスターリターンズ ~Virtual Private Cloud (VPC)~
2012年3月3日
荒木 靖宏 (@ar1 ) ソリューションアーキテクト
アジェンダ
VPC概要
VPCを理解するためのシナリオスタディ
Amazon VPC利用の典型
AWSクラウド上にプライベートクラウドを構築
オンプレミスとのハイブリッドが簡単に実現
AWSが社内インフラの一部に見える
社内システム、ソフトウェアの移行がより容易に
例:業務システム、バッチ処理、ファイルサーバ
2011年8月から全リージョンで利用可能に
3
お客様のインフラをAWS上に延長する
リージョン
EC2
VPC
NAT
イントラ
プライベート
サブネット パブリック
サブネット
インターネット
EC2内に分離し
たサブネットを自由に作成
VPN
接続
ゲートウェイ
EC2 Dedicated Instance
クラウドのメリット確保
従量課金
柔軟にスケールアップ
瞬時に調達
規制に対応しなければいけないお客様のご要望に応えるサービス
顧客A
物理サーバー
通常のEC2
顧客B 顧客C
顧客A
物理サーバー
顧客B 顧客C
Dedicated Instance
VPC内で専用インスタンス
シングルテナント保証
パケットの出入り管理
ネットワークレイヤでIN/OUTをコントロール
インスタンス単位でもセキュリティグループで
更にIN/OUTコントロール
VPC with a Single Public Subnet
EIPアドレスをパブリックインタフェースにアサイン
適用メリット
高いセキュリティの中でWebアプリを稼働させる
プライベートIPを用いて、インスタンスをまとめられる
7
VPC with Public
and Private Subnets
パブリックサブネットのインスタンスには、EIPをアサインできる
プライベートサブネットのインスタンスはインターネットから直接アクセスできない
適用メリット
Webサーバーをパブリックサブネットを稼働し、プライベートサブネット内のデータベースの読み書きを行う
8
VPC with Public
and Private Subnets and
a VPN Connection
パブリックサブネットのインスタンスには、EIPをアサインできる
プライベートサブネットのインスタンスにVPN経由でアクセス可能
適用メリット
VPCをインターネットに接続しつつ、データセンターをクラウド上に拡張
9
VPC a Private
Subnet and a VPN
Connection
VPC登場時はこの形態のみだった
全てのトラフィックは社内データセンターのファイヤウォール経由で行われる
適用メリット
データセンターをクラウドに拡張しても、中央集権的管理を維持する
10
Amazon VPCをどう考えるか
これからの標準になるもの
ネットワークを仮想化するもの
ネットワークにまつわる多くの要望への答え
IPアドレスの固定
サブネットを使った管理
11
アジェンダ
VPC概要
VPCを理解するためのシナリオスタディ
Stage 1
VPCをつくってみる
VPCを定義する
リージョンを選択する
IPブロックを設定する
最大で16ビット
Dedicated Instanceにするかどうかを選択
Virtual Private Cloud
VPC全体のIPブロック
最大は16ビット
Region
Stage 2
パブリックサブネットの作成
Public Subnet
VPC内にIPブロックを設定する
最大で17ビットマスク
サブネット内の始めの4IPアドレスはAWSが予約
サブネットはAvailabilty Zone (AZ)をまたがない
Virtual Private Cloud
VPC Subnet
サブネットを作成
Availability Zone
注意点
デフォルト
サブネット内での通信のための経路のみ
Network Access Control List (NACL)はフルオープン
Internet Gateway (IGW) の追加
内部のインスタンスのデフォルト経路はIGWに向ける
経路はカスタマイズ可能
VPC外部との通信はこのゲートウェイを通過する
Virtual Private Cloud
VPC Subnet
Internet Gateway
Internet
セキュリティグループとインスタンス
セキュリティグループではInbound, Outboundのフィルタ設定を行う
Statefulなフィルタ
インスタンスにはEIPを付与できる
EC2との違い
EC2ではInboundのみ
いつでも(稼働中でも)セキュリティグループとインスタンスの組み合わせを変更できる
Virtual Private Cloud
VPC Subnet
Internet Gateway
Internet
Security Group
インスタンス
VPC内のインスタンスとEC2との違い
Dedicated Instanceを選択することができる
t1.micro は使うことができない
VPC/subnet選ぶ
IPを固定できる
グローバルIPはEIPを使うといつでも付与、変更できる
プライベートIPを指定して起動できる
InstanceTypeの選択
デフォルトではDedicated Instanceは選択されない。
インスタンス起動
プライベートIPアドレスを指定
プライベートアドレスを固定可能。
無指定時は勝手にアサイン
インスタンスの確認
プライベートアドレスを固定できる
パブリックアドレスなし
EIPのひもづけ
EIPを確認
Stage 3
Create a private subnet
Public subnet + Private subnet
Virtual Private Cloud
Public Subnet
Internet Gateway
Internet
Security Group
Private Subnet
Security Group
NAT
instance
デフォルトはm1.small
Public subnet内に位置
インターネットとの通信が必要ないなら不要
Destination Target
10.0.0.0/16 local
0.0.0.0/0 Internt Gateway
Destination Target
10.0.0.0/16 local
0.0.0.0/0 NAT Instance
Private Subnet
Private Subnet間、Public Subnet間は自由に通信できる。
Private Subnet内からインターネットへ接続するときのみ「NATインスタンス」が必要
Main route table
subnetにRouteTableを紐づけない場合は、mainが適用
NATインスタンス
プライベートサブネットから、インターネット接続するためのNAT
実態はAmazonLinux カスタマイズAMIも可能
手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに
インスタンスサイズ指定可能
停止すると、プライベートサブネットからインターネット接続が不可能になる
S3、RDSなども使用不可になる
3
NATインスタンスの起動
Security Group をNAT用に作成
Disable Source / Destination Checking on NAT
通常のインスタンスでは発信元か宛先のIPアドレスが自分のときのみ処理をする。NATではこのチェックが邪魔になる。
EIPをNATインスタンスにつける
Private Subnetのルーティング更新
0.0.0.0/0の追加し、NAT instance-IDへ向ける
Stage 4
Connect a VPN
Public subnet + Private subnet + VPN GW
Virtual Private Cloud = 10.0.0.0/16
Public Subnet
Internet Gateway
Security Group
Private Subnet
Security Group
NAT
instance
Destination Target
10.0.0.0/16 local
0.0.0.0/0 Internt Gateway
Destination Target
10.0.0.0/16 local
172.16.0.0/16 VPN Gateway
0.0.0.0/0 NAT Instance
VPN Gateway
Corporate = 172.16.0.0/16
ハードウェアVPN
IPsec VPN
BGP (Border gateway protocol)
AES 128 bit の暗号化トンネル
サポート対象
Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software
Juniper J-Series routers running JunOS 9.5 (or later) software
Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software
Yamaha RTX1200 routers (Rev. 10.01.16+)
Phase1:IKEconfigまで
鍵ハッシュとしてSHA-1が使えるかどうか確認
共通鍵としてDH-2が使えるかどうか確認
AES 128ビット暗号が使えるかどうか確認
Mainモードが使えるかどうか確認
AggressiveモードはID情報交換を暗号化しないため、使わない
Phase2: IPsec config
暗号化方法がエンド同士で一致しているかどうか確認
IPsec dead peer connectionが機能するかどうか確認
ESPプロトコルの確認
Phase3: IPsecトンネル
トンネルが設定される
(オプション)最大MTUが1436バイトに設定される
Phase4: BGPピアリング
カスタマLANとVPCサブネットをトンネルで接続
Private ASNをつかってPrimary/secondaryのフェイルオーバー
Stage 5
Advanced
VPCの制限について
数字の制限
ひとつのVPNゲートウェイあたり10までのIPSec接続
1リージョンあたり5つまでのVPNゲートウェイ
機能の制限
ELB: VPC内部のインスタンスと組み合わせて使えない
インターネットゲートウェイを使えばEC2,S3などほとんどの機能は利用可
続々拡張中
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind
ex.html?WhatsNew.html
DHCPオプションの活用
マルチホーム(cloudhub)
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html
?VPN_CloudHub.html