[awsマイスターシリーズ] amazon vpc vpn & direct connect
Post on 10-Jun-2015
11.872 Views
Preview:
TRANSCRIPT
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWSマイスターシリーズ
Amazon VPC VPN+AWS DirectConnect
2013.09.04
アマゾン データ サービス ジャパン株式会社
荒木靖宏
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
2
今日のAgenda
VPCとは?
Amazon Direct Connect(DX)とは?
VPC/VPN/Direct Connectの活用例
Q&A
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
3
Amazon VPC
AWS上にプライベートネットワーク空間を構築
• 社内からVPN接続して閉域網でAWS利用
• 仮想ネットワーキング
オンプレミスとのハイブリッドが簡単に実現
• AWSが社内インフラの一部に見える
社内システム、ソフトウェアの移行がより容易に
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
4
AWS上にプライベートのアドレス空間を作成し、お客様のインフラをAWS上に延長する
リージョン
EC2
VPC イントラ
プライベート サブネット
パブリック サブネット
Internet
VPC内に分離したサブネットを自由に作成
VPN接続 専用線
ゲートウェイ
VPN
DX
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
5
VPCを利用した3層Webシステム構成例
VPC 10.0.0.0/16
Availability Zone - B
Availability Zone - A
Internet
Anyone
Internet
Gateway
Public Subnet 10.0.0.0/24
Public Subnet 10.0.2.0/24
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
Amazon RDS
Amazon RDS
Web
10.0.0.7
EC2 Instance
EC2 Instance
Web
10.0.2.7
Corporate
data center
DB
DB
インターネットからもアクセス可能
DC/社内からのみアクセス可能
VPN接続
DX専用線
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
6
VPC内のシステム構築の留意点
ネットワーク分割のベストプラクティス
• ログインする必要のないELB,RDS, Elasticache用のサブネット
• 目的別には分けずに、/22や/24など、わかりやすく大きめのネットワークを指定する。
• ログインする必要のあるEC2は目的別に。
AWSのリソースは原則ホスト名を使ってアクセス
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
7
VPC内のシステム構築の留意点(2)
AWSのAPI使用にはインターネット接続が必要
利用方法
• EIPを使用
• NATインスタンスまたはアプリケーションプロキシを使用
• オンプレ側インターネット線の使用
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
8
Public subnet + Private subnet + VPN GW
Virtual Private Cloud = 10.0.0.0/16
Public Subnet
Internet
Gateway
Security Group
Private Subnet
Security Group NAT
instance
Destination Target
10.0.0.0/16 local
0.0.0.0/0 Internt Gateway
Destination Target
10.0.0.0/16 local
172.16.0.0/16 VPN Gateway
0.0.0.0/0 NAT Instance
VPN
Gateway
Corporate = 172.16.0.0/16
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
9
ハードウェアVPN
IPsec VPN
• AES 128 bit の暗号化トンネル
• Pre-shared キーを使用して、IKE セキュリティ接続を確立る
• SHA-1 ハッシュ
• 「グループ2」モードでのDH Perfect Forward Secrecy
暗号化の前にパケットの断片化を実行する
経路
• BGP (Border gateway protocol) または
• Static
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
10
対応ルータ
http://aws.amazon.com/jp/vpc/faqs/#C9
対応ルータでは設定サンプルを提供
BGP
• Astaro, Cisco, Fortigate, Juniper(J, SRX, SSG, ISG), PaloAlto, Vyatta, Yamaha RTX1200
Static
• Cisco(ASA5500, ISR), Juniper (J, SRX, SSG, ISG), Microsoft windows server 2008R2以降、Yamaha RTX1200
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
11
事前の準備
ハードウェアルータ
Public IPアドレス
• Virtual Gateway (VGW)との通信に使用
• VPCの数だけ必要。同一リージョンでの重複はできない。
IKE(UDP port 500)とIPsec(IP Protocol 50)への通信が可能なこと
• ISPでの制限、FWの存在に注意
• NAT-T(UDP port 4500へのfallback)は使用できません。
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
12
VPNの設定
12
「Hardware VPN Access」 があるWizardを選択
VPCダッシュボードから
「Start VPC Wizard」を選択
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
13
CustomerGatewayとプロトコル選択
13
拠点側のVPNルータのグロ
ーバルIPアドレスを指定
VPN通信プロトコルを
BGPかStaticかを選択
Staticの場合には、拠点側の
Subnetを指定する
※「Add」を忘れずに
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
14
VPCとSubnetのCIDR指定及び確認
14
VPCとPrivateSegmentのSubnetのCIDRを
変更します
内容 内容を確認後、「Create
VPC」を押下
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
15
VPCとPrivate Segment作成処理中
15
作成完了後
拠点側のVPNルータに設定するConfigをダウンロードするため選択します
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
16
VPNルータ設定用Configダウンロード
16
拠点側のVPNルータの以下の情報を選択します
1)ベンダー名 2)機種 3)OSバージョン
「Yes,Download」を選択し、Configをダウンロードします
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
17
AWS Direct Connectの特徴
帯域スループット向上
インターネットベースの接続よりも一貫性がある
ネットワークコスト削減
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント
専用線
サービス
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
18
AWS Direct Connectの物理接続
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント 専用線
Zone A
Zone コロケへの専用線引き込みと違ってサーバ設置場所を限定しない。
相互接続ポイントはサーバのあるゾーンではない場所
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
19
AWS Direct Connectの論理接続
論理的にはPublic向けと、VPC向けで異なる
BGPによる接続
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント 専用線
Zone A
Zone B 東京リージョンでは、
Equinix TY2
(東京都品川区)
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
20
AWS Direct Connect 詳細内容
AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供
リージョン毎に契約
多くの容量が必要な場合、複数の接続のプロビジョニングが可能
• 専用線サービスは、お客様が下記の2つの選択肢から選択
1. お客様自身がエクイニクス相互接続ポイントに専用線を直接つなぐ
2. 通信事業者,APNの接続サービスを利用
Equinix
ソフトバンクテレコム
NRI
NTTコミュニケーションズ,NTTPC
日本でのサービス状況
KVH
TOKAI
cloudpack
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
21
APNにより拡張された AWS Direct Connectサービス
相互接続ポイント(東京リージョンではEquinix TY2)における接続装置等の設置場所
• 専用線とのパッケージ提供する場合も
10Mbps, 100Mbps等1Gbps よりも狭帯域のサービス
お客様指定の場所から相互接続ポイントまでのアクセス
広域WANで複数拠点からAWSへの接続
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
22
AWS Direct Connect:Publicサービス
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント 専用線
Zone A
Zone
Public IPを使ったBGP接続
Private ASの場合はそのIPアドレスはAWSとの通信専用になる
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
23
AWS Direct Connect:VPCサービス
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント 専用線
Zone A
Zone B
Private ASを使ったBGP接続
Private ASを使用
== VPCをVPNで使う場合と同じ
IPSecトンネルの代わりに専用線上のVLANがあると考えればok
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
24
VPC
(ZoneB)
論理接続形態
Equinix TY2
AWSラック ラック
10G
1G
キャリアバックボーン
R R
VPC
(ZoneA)
VLAN VLAN VLAN
Public向けVLAN
End user
(多数) AWSの責任範囲
ネットワークプロバイダ
またはEUの責任範囲
コロケーション
プロバイダ
の責任範囲
(構内配線のみ)
EC2,S3などのPublic
サービス
ラックはEquinix,もしくはAPNから調達
回線終端装置
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
25
AWS DirectConnect 接続のステップ
自社で手配する?
検討開始
回線業者選定
回線終端装置の置き場はあ
る?
接続点ラックを契約
Publicサービスを直接使う?
DXSPに依頼
物理接続
Public ASを持っている?
Public ASの取得
Public 接続
VPCを使う?
VPC 接続
利用開始
DXSP:
Direct Connect Solution Provider
次ページにて 詳細説明
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
26
AWS DirectConnect 接続のステップ 詳細
Direct Connect 使用申請
LOAをお客様へ発行
LOAをEquinixへ 申請
物理結線
物理接続
物理接続 完了
Equinix様 作業
お客様作業
AWS作業 (営業)
AWS NWチーム作業
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
27
DX設定 1
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
28
物理接続の申請
1
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
29
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
30
AWS DirectConnect 接続のステップ 詳細
お客様ルータ VLAN/BGP設定
AWSルータ VLAN/BGP設定
VPC 接続
VLAN ID決定 Private AS番号決定
VPC接続 完了
Public 接続
お客様ルータ VLAN/BGP設定
AWSルータ VLAN/BGP設定
VLAN ID決定
Public接続 完了
Equinix様 作業
お客様作業
AWS作業 (営業)
AWS NWチーム作業
AS番号/Prefix/VLANID/ LOAをMCで入力
AS番号/Prefix/VLANID/ LOAをMCで入力
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
31
DX設定 1
2
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
32
Create Virtual Interface 2
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
33
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
34
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
35
DX設定 1
2
3
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
36
configの取得 3
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
37
DownloadしたConfig抜粋
interface GigabitEthernet0/1
no ip address
interface GigabitEthernet0/1.3
description "Direct Connect to your Amazon VPC or AWS Cloud"
encapsulation dot1Q 3
ip address 169.254.252.2 255.255.255.252
router bgp 65534
neighbor 169.254.252.1 remote-as 10124
neighbor 169.254.252.1 password X_wlwFyyPWLEToUQIU7CRrA1
network 0.0.0.0
exit
パスワードはConfigをダウンロードしないとわからない
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
38
AWS DirectConnect 接続のステップ 詳細(物理結線のIDと利用者が異なる場合)
お客様ルータ VLAN/BGP設定
AWSルータ VLAN/BGP設定
VPC 接続
VLAN ID決定 Private AS番号決定
VPC接続 完了
Public 接続
お客様ルータ VLAN/BGP設定
AWSルータ VLAN/BGP設定
VLAN ID決定
Public接続 完了
Equinix様 作業
お客様作業
AWS作業 (営業)
AWS NWチーム作業
NWチームへ 作業依頼
NWチームへ 作業依頼
AS番号/Prefix/VLANID/ LOAをAWSへ連絡
AS番号/Prefix/VLANID/ LOAをAWSへ連絡
論理接続はWebでは
できない
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
39
CloudHubのHubとしてのVPC
Virtual Private Cloud
本社
Virtual
Gateway
VPN
Connection
AWS Direct Connect
Router
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
40
ハイブリッド環境例
営業支援
会計
BI
文書管理
利用者
保守業者
管理者
AD
監視ソフト
DNS
Direct Connect 接続口
1 VPC
1 VPC
1 VPC
1 VPC
1 VPC
IGW
VGW
VGW
VGW
IGW
VGW
VGW
Router#1
Router#2
Router#1
Router#2
Router#1 Router#2
FW
SSO
NTP
既存環境
Oracle WIN
人事
WIN
WIN Oracle
BI DB
WIN Proxy
専用線
専用線またはVPN
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
41
オンプレミスとVPCの接続冗長化
DirectConnect+DirectConnect
DirectConnect+VPN
VPN+VPN
いずれの方法でも可能。VPNでもBGPによる接続を推奨
Active/Stand-ByのためにはBGP MEDもしくはAS−PREPEND等
Router#1
Router#2
Router#1
Router#2
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
42
Direct Connect 課金体系
月額利用料は下記の計算で課金されます
AWS Direct Connectの月額利用料 =
① ポート使用料
+
② データ転送料
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
43
ポート使用料とデータ転送料
ポート使用料
• 1Gbps: 0.30 USD/時、10Gbps: 2.25 USD/時
データ転送料はリージョン毎で異なる
• 東京リージョン
• データイン:無料
• データアウト:0.045 USD/GB
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
44
AWS Direct Connect使用時 請求の注意点
AWS Direct Connect を介するデータ転送には、使用が発生した同じ月に請求書が送られます。
他の AWS サービスの使用によって発生する標準のインターネットデータ転送使用量は、翌月の請求となります。
例:
• 6月に AWS Direct Connect 経由で 500 GB、インターネット経由で 1500 GB を転送した場合
• AWS Direct Connect のレートで 500 GB のデータ転送料金が6月の請求書で請求され、標準インターネットのレートで 1,500 GB のデータ転送料金が7月の請求書で請求されます。
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
45
本日のまとめ
VPN接続やDirect Connect(DX)を利用することで、オンプレミス環境とのハイブリッドなど、 自由なネットワーク設計が可能です!
© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
46
Appendix
参考資料
• Amazon VPC Documents http://aws.amazon.com/jp/documentation/vpc/
• Amazon VPC http://aws.amazon.com/jp/vpc/
• Amazon VPC FAQ http://aws.amazon.com/jp/vpc/faqs/
top related