ソリューションセッション#5 awsで構築する仮想プライ...
TRANSCRIPT
![Page 1: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/1.jpg)
ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
荒木靖宏
アマゾン データ サービス ジャパン株式会社
プリンシパルソリューションアーキテクト
![Page 2: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/2.jpg)
自己紹介 名前
• 荒木 靖宏
所属
• アマゾンデータサービスジャパン株式会社
プリンシパルソリューションアーキテクト
ID
• Twitter: ar1
好きなAWSサービス
• Amazon Virtual Private Cloud
• AWS Direct Connect
![Page 3: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/3.jpg)
アジェンダ
「プライベートクラウド」欲求 • ビジネスアジリティ対応
• コスト競争力
• セキュリティ&コンプライアンス
事例
現実として利用できること(技術)
Amazon VPCがおこたえします
![Page 4: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/4.jpg)
AWSプラットフォーム
Compute Storage
AWS Global Infrastructure
Database
App Services
Deployment & Administration
Networking
![Page 5: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/5.jpg)
AWS のネットワークサービス
Amazon Route 53 Scalable Domain Name Service
AWS Direct Connect Private, Dedicated Connection to AWS
Amazon Virtual Private Cloud VPN to Extend Your Network Topology to AWS
Compute Storage
AWS Global Infrastructure
Database
App Services
Deployment & Administration
Networking
![Page 6: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/6.jpg)
Amazon VPC
AWSクラウド上に仮想プライベートクラウドを構築
オンプレミスとのハイブリッドが簡単に実現
• AWSが社内インフラの一部に見える
社内システム、ソフトウェアの移行がより容易に
例:業務システム、バッチ処理、ファイルサーバ
2011年8月から全リージョンで利用可能に
![Page 7: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/7.jpg)
社内ネットワーク
インターネット経由でのVPN接続
専用線接続
AWSパブリック
クラウド環境
社外ユーザ
ルーター
企業ネットワークとAWSを統合:AMAZON VPC
![Page 8: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/8.jpg)
企業内の情報処理で抱える悩み
要件
ビジネス(本業)の俊敏性要求
データ処理要件(新規、バージョンアップ)の増加
データ量の加速度的増加
セキュリティ及びコンプライアンス対応が読めない
‥
コスト
管理者の労力、工数
設備所有コスト
‥
![Page 9: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/9.jpg)
要件 vs コスト
昔なら問題にならなかった
![Page 10: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/10.jpg)
コンシューマライゼーション時代の到来
企業内のほうが不便な環境
![Page 11: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/11.jpg)
クラウドコンピューティングの定義 NIST(米国立標準技術研究所)
オンデマンド・セルフサービス
広範なネットワークアクセス
リソースのプーリング
迅速な弾力的規模拡大・縮小
測定されたサービスによるリソースの自律最適化
大数に鍛えられたクラウドだけが持つ
![Page 12: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/12.jpg)
クラウドで備えよ!
![Page 13: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/13.jpg)
では、自社に
クラウドをつくるとしたら?
![Page 14: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/14.jpg)
プライベートクラウドへの要求
ビジネスアジリティ対応
コスト競争力
セキュリティ&コンプライアンス
Amazon VPCがおこたえします
![Page 15: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/15.jpg)
柔軟なネットワーク、サーバ構成
リージョン
EC2
VPC イントラ
プライベート
サブネット パブリック
サブネット
インターネット
EC2内に分離し
たサブネットを自由に作成
VPN
専用線
ゲートウェイ
複数のネットワークにそれぞれイーサネット接続可能
複数IPアドレスを使用可能
1サーバあたり最大240個まで
![Page 16: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/16.jpg)
AWS Direct Connect(専用線接続)
AWSとデータセンター、オフィス、コロケーション環境間にプライベート接続を確立するサービス
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント
専用線
コロケへの専用線引き込みと違ってサーバ設置場所を限定しない。
相互接続ポイントはサーバの置かれた建屋とは独立した場所
多くの国内キャリアと協業
![Page 17: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/17.jpg)
広域LANサービスでの使用
AWS
Direct
Connect
Amazon Virtual
Private Cloud
(VPC)
キャリアの
広域LANサービス
一拠点としてAWSを追加
![Page 18: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/18.jpg)
マルチホーム(cloudhub)
本社
DirectConnect
Internet
VPN Internet
VPN
Internet
VPN
![Page 19: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/19.jpg)
プライベートクラウドへの要求
ビジネスアジリティ対応
コスト競争力
セキュリティ&コンプライアンス
Amazon VPCがおこたえします
![Page 20: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/20.jpg)
Amazon.comの11月のトラフィック
![Page 21: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/21.jpg)
キャパシティプランニングは下記赤線
![Page 22: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/22.jpg)
実際の利用したリソースの割合
76%
24%
![Page 23: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/23.jpg)
AWSにおける価格の考え方
Pay as you go (従量課金)
• コミットメントや長期契約の必要無し
Pay less when you reserve (確保による値引き)
• キャパシティを確保する事による値引き
Pay even less per unit by using more (ボリュームによ
る値引き)
• 自動的なボリュームディスカウント
Pay even less as AWS grows (AWS成長による値引き)
• 「規模の経済」による値引き (過去6年間で20回の値引き実績)
![Page 24: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/24.jpg)
Dell PowerEdge R310:$1,838
Dell PowerConnect 6224: $2,991 Dell PowerEdge Rack 4220: $2,252
3-year Dell ProSupport and NBD On-site Service: $216 (Server) 3-year Dell ProSupport and NBD On-site Service: $799 (Network)
PUE of 2.5 and electricity price of $0.09 per kW hour
$23,000 per kW of redundant IT power and $300 per square foot
参考:サーバ1台に対するTCO
$120,000/年間/人、比率(サーバ:人) – 50:1
AWSホワイトペーパー:The Total Cost of (Non) Ownership of
Web Applications in the Cloud
![Page 25: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/25.jpg)
プライベートクラウドへの要求
ビジネスアジリティ対応
コスト競争力
セキュリティ&コンプライアンス
Amazon VPCがおこたえします
![Page 26: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/26.jpg)
AWSが取得した第三者認証/認定
クラウド専業のため、集中的に多くのセキュリティ投資が可能
SSAE16/ISAE3402 (旧SAS-70 Type II) 認証
ISO27001認証
PCI DSS 認証(Payment Card Industry Data Security Standard)
FISMA Moderateレベル
日本語ホワイトペーパー公開中
「リスクとコンプライアンス」「セキュリティプロセスの概要」 http://aws.amazon.com/jp/whitepapers/
![Page 27: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/27.jpg)
EC2 Dedicated Instance
クラウドのメリット確保 従量課金
柔軟にスケールアップ
瞬時に調達
規制に対応しなければいけないお客様のご要望に応えるサービス
顧客A
物理サーバー
通常のEC2
顧客B 顧客C
顧客A
物理サーバー
顧客B 顧客C
Dedicated Instance
VPC内で専用インスタンス
シングルテナント保証
![Page 28: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/28.jpg)
サーバ
ネットワーク
サイト
ビジネスのためのセキュリティ考慮点
ロケーション
ファシリティ
ファシリティオペレーション
サーバ、データ機材
お客様のコアビジネス
サービス侵入
構成および運用
コアビジネス以外は、AWSが対応
はAWSが対応
サービス利用妨害
![Page 29: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/29.jpg)
Amazon VPCの成功例
![Page 30: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/30.jpg)
![Page 31: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/31.jpg)
VPC
ガリバーインターナショナル様
![Page 32: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/32.jpg)
UMCエレクトロニクス様
中国
Singtel様 Global WAN
AWS Singapore Region
VPC Private Subnet VPC Public Subnet
EC2 for SAP A1 Production
EC2 for SAP Dev/Test
NAT Instance
SAP様
Realtech様
Internet Elastic IP IGW
Internet-VPN
Internet接続用
Gateway
外部からのメンテナンス用踏み台サーバ
Elastic IP
日本
ベトナム
![Page 33: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/33.jpg)
PCI DSS取得に
顧客むけのPC&モバイル向けウェブサービス
チケット発行
迅速なPCI DSS の取得にVPCが寄与
レスポンス改善によるコンバージョンレート向上
38%以上のコスト削減
![Page 34: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/34.jpg)
オンプレミスとのハイブリッド環境に
DATAPIPE社のサービス例
• Oracle DBをオンプレミスのデータセンタに設置
• 変化するリソースはAWS上
![Page 35: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/35.jpg)
AWS利用例(DR環境)
DR環境をAWS内で構築
利用例
これからDR環境を整備するシステム
コスト面でDRを整備出来なかったシステム(F/S等)
通常は休止または必要最小規模で稼働
既存データセンター
Amazon Elastic Compute Cloud (EC2)
DR環境 本番環境
Direct Connect(専用線)
Virtual Private Cloud (VPC)
採用事例
![Page 36: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/36.jpg)
Amazon VPCの利用の技術
![Page 37: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/37.jpg)
Amazon VPCをどう考えるか
これからの標準になるもの
ネットワークを仮想化するもの
ネットワークにまつわる多くの要望への答え
• サブネットを使った管理
• 複数ネットワークインターフェース
• 複数IPアドレス
• IPアドレスの固定
37
![Page 38: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/38.jpg)
パケットの出入り管理
ネットワークレイヤでIN/OUTをコントロール
インスタンス単位でもセキュリティグループで
更にIN/OUTコントロール
![Page 39: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/39.jpg)
Public subnet + Private subnet
Virtual Private Cloud
Public Subnet
Internet Gateway
Internet
Security Group
Private Subnet
Security Group
NAT
instance
Public subnet内に位置
インターネットとの通信が必要ないなら不要
Destination Target
10.0.0.0/16 local
0.0.0.0/0 Internt Gateway
Destination Target
10.0.0.0/16 local
0.0.0.0/0 NAT Instance
![Page 40: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/40.jpg)
VPC with a Single Public Subnet
EIPアドレスをパブリックインタフェースにアサイン
適用メリット
高いセキュリティの中でWebアプリを稼働させる
プライベートIPを用いて、インスタンスをまとめられる
![Page 41: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/41.jpg)
VPC with Public and Private Subnets
パブリックサブネットのインスタンスには、EIPをアサインできる
プライベートサブネットのインスタンスはインターネットから直接アクセスできない
適用メリット
Webサーバーをパブリックサブネットを稼働し、プライベートサブネット内のデータベースの読み書きを行う
![Page 42: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/42.jpg)
VPC with Public and Private Subnets and
a VPN Connection パブリックサブネットのインスタンスには、EIPをアサインできる
プライベートサブネットのインスタンスにVPN経由でアクセス可能
適用メリット
VPCをインターネットに接続しつつ、データセンターをクラウド上に拡張
42
![Page 43: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/43.jpg)
VPC a Private Subnet and a VPN
Connection VPC登場時はこの形態のみだった
全てのトラフィックは社内データセンターのファイヤウォール経由で行われる
適用メリット
データセンターをクラウドに拡張しても、中央集権的管理を維持する
43
![Page 44: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/44.jpg)
プライベートクラウド4箇条
ビジネスアジリティ対応
コスト競争力
セキュリティ&コンプライアンス
現実として利用できること(技術)
Amazon VPCがおこたえします
![Page 45: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/45.jpg)
Amazon VPCで仮想プライベートクラウドを!
Meet the SAコーナーでお待ちしています
![Page 46: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/46.jpg)
バックアップ
![Page 47: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/47.jpg)
アジェンダ
VPC概要
VPCを理解するためのシナリオスタディ
![Page 48: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/48.jpg)
Stage 1
VPCをつくってみる
Stage 1
VPCをつくってみる
![Page 49: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/49.jpg)
VPCを定義する
リージョンを選択する
IPブロックを設定する
• 最大で16ビット
Dedicated Instanceにするかどうかを選択
Virtual Private Cloud VPC全体のIPブロック
最大は16ビット
Region
![Page 50: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/50.jpg)
Stage 2
パブリックサブネットの作成
![Page 51: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/51.jpg)
Public Subnet
VPC内にIPブロックを設定する
• 最大で17ビットマスク
• サブネット内の始めの4IPアドレスはAWSが予約
サブネットはAvailabilty Zone
(AZ)をまたがない
Virtual Private Cloud
VPC Subnet
サブネットを作成
Availability Zone
![Page 52: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/52.jpg)
注意点
デフォルト
• サブネット内での通信のための経路のみ
• Network Access Control List (NACL)はフルオープン
![Page 53: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/53.jpg)
Internet Gateway (IGW) の追加
内部のインスタンスのデフォルト経路はIGWに向ける
経路はカスタマイズ可能
VPC外部との通信はこのゲートウェイを通過する
Virtual Private Cloud
VPC Subnet
Internet
Gateway
Internet
![Page 54: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/54.jpg)
セキュリティグループとインスタンス
セキュリティグループではInbound, Outboundのフィルタ設定を行う • Statefulなフィルタ
インスタンスにはEIPを付与できる
EC2との違い • EC2ではInboundのみ
• いつでも(稼働中でも)セキュリティグループとインスタンスの組み合わせを変更できる
Virtual Private Cloud
VPC Subnet
Internet Gateway
Internet
Security Group
インスタンス
![Page 55: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/55.jpg)
VPC内のインスタンスとEC2との違い
Dedicated Instanceを選択することができる
t1.micro は使うことができない
VPC/subnet選ぶ
IPを固定できる
• グローバルIPはEIPを使うといつでも付与、変更できる
• プライベートIPを指定して起動できる
![Page 56: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/56.jpg)
InstanceTypeの選択
デフォルトではDedicated Instanceは選択されない。
![Page 57: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/57.jpg)
インスタンス起動
![Page 58: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/58.jpg)
プライベートIPアドレスを指定
プライベートアドレスを固定可能。
無指定時は勝手にアサイン
![Page 59: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/59.jpg)
インスタンスの確認
プライベートアドレスを固定できる
パブリックアドレスなし
![Page 60: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/60.jpg)
EIPのひもづけ
![Page 61: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/61.jpg)
EIPを確認
![Page 62: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/62.jpg)
Stage 3
Create a private subnet
![Page 63: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/63.jpg)
Private Subnet
Private Subnet間、Public Subnet間は自由に通信できる。
Private Subnet内からインターネットへ接続するときのみ「NATインスタンス」が必要
Main route table
• subnetにRouteTableを紐づけない場合は、mainが適用
![Page 64: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/64.jpg)
NATインスタンス
プライベートサブネットから、インターネット接続するためのNAT
停止すると、プライベートサブネットからインターネット接続が不可能になる
• S3、SQSなども使用不可になる
3
![Page 65: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/65.jpg)
NATインスタンスの起動
![Page 66: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/66.jpg)
Security Group をNAT用に作成
![Page 67: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/67.jpg)
Disable Source / Destination Checking on NAT
通常のインスタンスでは発信元か宛先のIPアドレスが自分のときのみ処理をする。NATではこのチェックが邪魔になる。
![Page 68: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/68.jpg)
EIPをNATインスタンスにつける
![Page 69: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/69.jpg)
Private Subnetのルーティング更新
![Page 70: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/70.jpg)
0.0.0.0/0の追加し、NAT instance-IDへ向ける
![Page 71: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/71.jpg)
Stage 4
Connect a VPN
![Page 72: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/72.jpg)
Public subnet + Private subnet + VPN GW
Virtual Private Cloud = 10.0.0.0/16
Public Subnet
Internet Gateway
Security Group
Private Subnet
Security Group
NAT
instance
Destination Target
10.0.0.0/16 local
0.0.0.0/0 Internt Gateway
Destination Target
10.0.0.0/16 local
172.16.0.0/16 VPN Gateway
0.0.0.0/0 NAT Instance
VPN Gateway
Corporate = 172.16.0.0/16
![Page 73: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/73.jpg)
ハードウェアVPN
IPsec VPN
• BGP (Border gateway protocol)
• AES 128 bit の暗号化トンネル
サポート対象
• Cisco Integrated Services routers running Cisco IOS 12.4 (or later) software
• Juniper J-Series routers running JunOS 9.5 (or later) software
• Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later) software
• Yamaha RTX1200 routers (Rev. 10.01.16+)
![Page 74: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/74.jpg)
Phase1:IKEconfigまで
鍵ハッシュとしてSHA-1が使えるかどうか確認
共通鍵としてDH-2が使えるかどうか確認
AES 128ビット暗号が使えるかどうか確認
Mainモードが使えるかどうか確認
• AggressiveモードはID情報交換を暗号化しないため、使わない
![Page 75: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/75.jpg)
Phase2: IPsec config
暗号化方法がエンド同士で一致しているかどうか確認
IPsec dead peer connectionが機能するかどうか確認
ESPプロトコルの確認
![Page 76: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/76.jpg)
Phase3: IPsecトンネル
トンネルが設定される
(オプション)最大MTUが1436バイトに設定される
![Page 77: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/77.jpg)
Phase4: BGPピアリング
カスタマLANとVPCサブネットをトンネルで接続
Private ASNをつかってPrimary/secondaryのフェイルオーバー
![Page 78: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/78.jpg)
Stage 5
Advanced
![Page 79: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/79.jpg)
VPCの制限について
数字の制限
• ひとつのVPNゲートウェイあたり10までのIPSec接続
• 1リージョンあたり5つまでのVPNゲートウェイ
機能の制限
• ELB: VPC内部のインスタンスと組み合わせて使えない
• インターネットゲートウェイを使えばEC2,S3などほとんどの機能は利用可
続々拡張中
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind
ex.html?WhatsNew.html
![Page 80: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/80.jpg)
DHCPオプションの活用
![Page 81: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/81.jpg)
想定利用ケース(w/ Direct Connect)
Direct Connectを利用
転送帯域・速度を確保
大量の更新データを高頻度にスナップショット取得可能
iSCSI Storage
Gateway
Local
Backup
S3
Snapshots
Direct
Connect
![Page 82: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/82.jpg)
Direct Connect
Copyright © 2011 Amazon Web Services
![Page 83: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/83.jpg)
AWS Direct Connectの論理接続
論理的にはPublic向けと、VPC向けで異なる
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント 専用線
Zone A
Zone B
![Page 84: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/84.jpg)
AWS Direct Connect:Publicサービス
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント 専用線
Zone A
Zone B
Public ASを使ったBGP接続
Public ASを運用
![Page 85: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/85.jpg)
AWS Direct Connect:VPCサービス
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント 専用線
Zone A
Zone B
Private ASを使ったBGP接続
Private ASを使用
== VPCをVPNで使う場合と同じ
IPSecトンネルの代わりに専用線上のVLANがあると考えればok
![Page 86: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/86.jpg)
注意点
Public IP transitを行いません
• 複数のカスタマ間のトラフィックを直接通信することはできません
• カスタマのインターネット接続は依然として必要です
• EC2インスタンスをProxyとして使うなどでは可能
リージョン毎の契約です • 東京につないで、シンガポールを使うようなことはできません
VPCからインターネットゲートウェイを使えばPublicサービス (S3など)を使える
86
![Page 87: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/87.jpg)
AWS Direct Connectの利用のために
![Page 88: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/88.jpg)
AWS DirectConnect 接続のステップ
自社で手配する?
検討開始
回線業者選定
回線終端装置の置き場はあ
る?
接続点ラックを契約
Publicサービスを直接使う?
DXSPに依頼
物理接続
Public ASを持っている?
Public ASの取得
Public 接続
VPCを使う?
VPC 接続
利用開始
DXSP:
Direct Connect Solution Provider
![Page 89: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/89.jpg)
Direct Connect接続方法
AWS Direct Connect Solution Providerに依頼する方法
お客様が自分で相互接続ポイントに直接つなぐ方法
![Page 90: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/90.jpg)
AWS DirectConnect 接続のステップ
自社で手配する?
検討開始
回線業者選定
回線終端装置の置き場はあ
る?
接続点ラックを契約
Publicサービスを直接使う?
DXSPに依頼
物理接続
Public ASを持っている?
Public ASの取得
Public 接続
VPCを使う?
VPC 接続
利用開始
DXSP:
Direct Connect Solution Provider
この面倒な手続が省力化されます
![Page 91: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/91.jpg)
物理接続
1Gbpsおよび10Gbpsの接続口を提供
接続口はアベイラビリティゾーンとは独立した別の場所
• 東京リージョンの場合は、Equinix TY2 (東京都品川区)
DXSPを使わない場合には原則 TY2にラックを契約して、必要な機器を設置して接続する
![Page 92: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/92.jpg)
Equinixへラックを設置する方法
WANの終端装置、VLAN対応スイッチをラック内に設置
TY2では構内配線
お客様
ラック
AWS
ラック
AWS
R R 802.1q
1G/10G
キャリア
WAN終端装置
エンド
Equinix TY2
![Page 93: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/93.jpg)
論理接続
1Gbpsおよび10Gbpsの接続の上にVLANを設定
Publicサービス向け
1. VLANを定義
2. Public ASとPrefixをAWSに通知
VPC向け
1. VLANを定義
2. VPCを作成
3. VPNゲートウェイIDをAWSに通知
VPCでのIPSecトンネルに代わりVLAN
![Page 94: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/94.jpg)
VPC
(ZoneB)
論理接続形態
Equinix TY2
AWSラック ラック
10G
1G
キャリアバックボーン
R R
VPC
(ZoneA)
VLAN VLAN VLAN
Public向けVLAN
End user
(多数) AWSの責任範囲
ネットワークプロバイダ
またはEUの責任範囲
コロケーション
プロバイダ
の責任範囲
(構内配線のみ)
EC2,S3などのPublic
サービス
![Page 95: ソリューションセッション#5 AWSで構築する仮想プライ ベートクラウドd36cz9buwru1tt.cloudfront.net/jp/summit2012/pdf/awssummit-awsv… · awsクラウド上に仮想プライベートクラウドを](https://reader033.vdocuments.pub/reader033/viewer/2022060218/5f06841a7e708231d41860ca/html5/thumbnails/95.jpg)
AWS Direct Connect Solution Provider
利用者がやるべきことを肩代わり/お手伝い
• Equinix
• KVH
• NRI (野村総合研究所)
• NTT Communications
• Softbank Telecom
自由に通信回線をご用意いただけます