AWSマイスターリターンズ ～Virtual Private Cloud (VPC)～

2012年3月3日

荒木 靖宏 (@ar1 ) ソリューションアーキテクト

アジェンダ

VPC概要

VPCを理解するためのシナリオスタディ

Amazon VPC利用の典型

AWSクラウド上にプライベートクラウドを構築

オンプレミスとのハイブリッドが簡単に実現

AWSが社内インフラの一部に見える

社内システム、ソフトウェアの移行がより容易に

例：業務システム、バッチ処理、ファイルサーバ

2011年8月から全リージョンで利用可能に

3

お客様のインフラをAWS上に延長する

リージョン

EC2

VPC

NAT

イントラ

プライベート

サブネット パブリック

サブネット

インターネット

EC2内に分離し

たサブネットを自由に作成

VPN

接続

ゲートウェイ

EC2 Dedicated Instance

クラウドのメリット確保

従量課金

柔軟にスケールアップ

瞬時に調達

規制に対応しなければいけないお客様のご要望に応えるサービス

顧客A

物理サーバー

通常のEC2

顧客B 顧客C

顧客A

物理サーバー

顧客B 顧客C

Dedicated Instance

VPC内で専用インスタンス

シングルテナント保証

パケットの出入り管理

ネットワークレイヤでIN/OUTをコントロール

インスタンス単位でもセキュリティグループで

更にIN/OUTコントロール

VPC with a Single Public Subnet

EIPアドレスをパブリックインタフェースにアサイン

適用メリット

高いセキュリティの中でWebアプリを稼働させる

プライベートIPを用いて、インスタンスをまとめられる

7

VPC with Public

and Private Subnets

パブリックサブネットのインスタンスには、EIPをアサインできる

プライベートサブネットのインスタンスはインターネットから直接アクセスできない

適用メリット

Webサーバーをパブリックサブネットを稼働し、プライベートサブネット内のデータベースの読み書きを行う

8

VPC with Public

and Private Subnets and

a VPN Connection

パブリックサブネットのインスタンスには、EIPをアサインできる

プライベートサブネットのインスタンスにVPN経由でアクセス可能

適用メリット

VPCをインターネットに接続しつつ、データセンターをクラウド上に拡張

9

VPC a Private

Subnet and a VPN

Connection

VPC登場時はこの形態のみだった

全てのトラフィックは社内データセンターのファイヤウォール経由で行われる

適用メリット

データセンターをクラウドに拡張しても、中央集権的管理を維持する

10

Amazon VPCをどう考えるか

これからの標準になるもの

ネットワークを仮想化するもの

ネットワークにまつわる多くの要望への答え

IPアドレスの固定

サブネットを使った管理

11

アジェンダ

VPC概要

VPCを理解するためのシナリオスタディ

Stage 1

VPCをつくってみる

VPCを定義する

リージョンを選択する

IPブロックを設定する

最大で16ビット

Dedicated Instanceにするかどうかを選択

Virtual Private Cloud

VPC全体のIPブロック

最大は16ビット

Region

Stage 2

パブリックサブネットの作成

Public Subnet

VPC内にIPブロックを設定する

最大で17ビットマスク

サブネット内の始めの4IPアドレスはAWSが予約

サブネットはAvailabilty Zone (AZ)をまたがない

Virtual Private Cloud

VPC Subnet

サブネットを作成

Availability Zone

注意点

デフォルト

サブネット内での通信のための経路のみ

Network Access Control List (NACL)はフルオープン

Internet Gateway (IGW) の追加

内部のインスタンスのデフォルト経路はIGWに向ける

経路はカスタマイズ可能

VPC外部との通信はこのゲートウェイを通過する

Virtual Private Cloud

VPC Subnet

Internet Gateway

Internet

セキュリティグループとインスタンス

セキュリティグループではInbound, Outboundのフィルタ設定を行う

Statefulなフィルタ

インスタンスにはEIPを付与できる

EC2との違い

EC2ではInboundのみ

いつでも(稼働中でも)セキュリティグループとインスタンスの組み合わせを変更できる

Virtual Private Cloud

VPC Subnet

Internet Gateway

Internet

Security Group

インスタンス

VPC内のインスタンスとEC2との違い

Dedicated Instanceを選択することができる

t1.micro は使うことができない

VPC/subnet選ぶ

IPを固定できる

グローバルIPはEIPを使うといつでも付与、変更できる

プライベートIPを指定して起動できる

InstanceTypeの選択

デフォルトではDedicated Instanceは選択されない。

インスタンス起動

プライベートIPアドレスを指定

プライベートアドレスを固定可能。

無指定時は勝手にアサイン

インスタンスの確認

プライベートアドレスを固定できる

パブリックアドレスなし

EIPのひもづけ

EIPを確認

Stage 3

Create a private subnet

Public subnet + Private subnet

Virtual Private Cloud

Public Subnet

Internet Gateway

Internet

Security Group

Private Subnet

Security Group

NAT

instance

デフォルトはm1.small

Public subnet内に位置

インターネットとの通信が必要ないなら不要

Destination Target

10.0.0.0/16 local

0.0.0.0/0 Internt Gateway

Destination Target

10.0.0.0/16 local

0.0.0.0/0 NAT Instance

Private Subnet

Private Subnet間、Public Subnet間は自由に通信できる。

Private Subnet内からインターネットへ接続するときのみ「NATインスタンス」が必要

Main route table

subnetにRouteTableを紐づけない場合は、mainが適用

ＮＡＴインスタンス

プライベートサブネットから、インターネット接続するためのＮＡＴ

実態はAmazonLinux カスタマイズAMIも可能

手動での起動可能→発信元と宛先IPアドレスチェック機能をOFFに

インスタンスサイズ指定可能

停止すると、プライベートサブネットからインターネット接続が不可能になる

S3、RDSなども使用不可になる

3

NATインスタンスの起動

Security Group をNAT用に作成

Disable Source / Destination Checking on NAT

通常のインスタンスでは発信元か宛先のIPアドレスが自分のときのみ処理をする。NATではこのチェックが邪魔になる。

EIPをNATインスタンスにつける

Private Subnetのルーティング更新

0.0.0.0/0の追加し、NAT instance-IDへ向ける

Stage 4

Connect a VPN

Public subnet + Private subnet + VPN GW

Virtual Private Cloud = 10.0.0.0/16

Public Subnet

Internet Gateway

Security Group

Private Subnet

Security Group

NAT

instance

Destination Target

10.0.0.0/16 local

0.0.0.0/0 Internt Gateway

Destination Target

10.0.0.0/16 local

172.16.0.0/16 VPN Gateway

0.0.0.0/0 NAT Instance

VPN Gateway

Corporate = 172.16.0.0/16

ハードウェアVPN

IPsec VPN

BGP (Border gateway protocol)

AES 128 bit の暗号化トンネル

サポート対象

Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software

Juniper J-Series routers running JunOS 9.5 (or later) software

Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software

Yamaha RTX1200 routers (Rev. 10.01.16+)

Phase1:IKEconfigまで

鍵ハッシュとしてSHA-1が使えるかどうか確認

共通鍵としてDH-2が使えるかどうか確認

AES 128ビット暗号が使えるかどうか確認

Mainモードが使えるかどうか確認

AggressiveモードはID情報交換を暗号化しないため、使わない

Phase2: IPsec config

暗号化方法がエンド同士で一致しているかどうか確認

IPsec dead peer connectionが機能するかどうか確認

ESPプロトコルの確認

Phase3: IPsecトンネル

トンネルが設定される

（オプション）最大MTUが1436バイトに設定される

Phase4: BGPピアリング

カスタマLANとVPCサブネットをトンネルで接続

Private ASNをつかってPrimary/secondaryのフェイルオーバー

Stage 5

Advanced

VPCの制限について

数字の制限

ひとつのVPNゲートウェイあたり10までのIPSec接続

1リージョンあたり5つまでのVPNゲートウェイ

機能の制限

ELB: VPC内部のインスタンスと組み合わせて使えない

インターネットゲートウェイを使えばEC2,S3などほとんどの機能は利用可

続々拡張中

http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind

ex.html?WhatsNew.html

DHCPオプションの活用

マルチホーム(cloudhub)

http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html

?VPN_CloudHub.html