jslug勉強会 awsと比較するネットワーク
TRANSCRIPT
AWSの知識で読み解くSOFTLAYERネットワーク
基礎編JSLUG @tokida
自己紹介常田秀明
Twitter: @tokidaFacebook : hideaki.tokida
ときだ ひであき
所属:日本情報通信株式会社NI+C クラウドエバンジェリスト
SoftLayerとの関わり・日本SoftLayerユーザ会 運営員・2013年からSoftLayerを利用したシステム構築を実施
2014年9⽉号〜12⽉号「SoftLayerを使ってみませんか(全4回)」執筆
SoftLayerシステム構築実践ガイド2015年4⽉28⽇ Amazonにて販売中!
2015年4⽉号「トラブルシューティングの極意」2章クラウド編 執筆
ユーザ会での活動
本日の勉強会の主旨
◦ このセッションではAWSとSoftLayerのいずれかが優れているかという評価はしていません。
◦ パブリッククラウドといえば「AWS」、「AWS」といえばブリッククラウドという時代なのでAWSの用語でなるべくSoftLayerを紐解きます。が無理そうなところは程々に。
◦ 今回はネットワーク基礎編なので主にIaaSレイヤーが中心になりますがSoftLayer上で「ネットワーク」に分類される項目で整理をしています。
本日の20分で覚えて欲しいこと
◦SoftLayerのネットワークは分かりやすい◦「オンプレの知識」がクラウドで使える
10個の特徴1.リージョン(AWS)とデータセンター(SoftLayer)2.展開拠点の比較3.VPCとVLAN4.インターネットへの接続5.通信速度スループットとレイテンシから見るWAN6.ネットワーク通信量の課金ポイント7.抽象化されたAWSと、素なSoftLayerのセキュリティ機能8.ハイアベイラビリティなELB、オンプレ技術が活かせるSoftLayer Load Balancer9.Route53とDNS10.専用線接続DirectConnectとDirectLink
1.リージョンとデータセンター
◦ AWSと、SoftLayerの管理において決定的に違うのはAWSは各リージョン単位で閉じた環境であり他のリージョンとの通信ということを考えなければいけない。それに対してSoftLayerは単一のネットワークで構成されている。
◦ 管理コンソールの構成からも「リージョン」は独立したAWSの単位となっており利用者は複数の異なる環境が利用できる。(現在は、様々なサービスがマルチリージョンに対応して着つつあるが基本となるのは別の環境という事です。
1.リージョンとデータセンター◦ AWSでは、リージョン(地域)は国別に定義されている。そして各リージョンにはAWSの最も特徴的な Availability Zoneと呼ばれる近距離に複数のデータセンターを配置して作る構成となっている。この複数のデータセンターを含むリージョンが、世界中に複数あることになる。
Multiple kilometers
Region:TOKYORegion : Singapore
Different NetworkDC
DC<0.25ms DC
DC
<1ms
DC
DC<0.25ms DC
DC
<1ms
AZ
AZ
AZ
AZ
1.リージョンとデータセンター◦ SoftLayerでは、リージョン(地域)という概念はなく複数のデータセンターが存在している。そしてこの複数のデータセンターは「プライベートネットワーク」というもので接続されている。
DC
DC
Datacenter : Tokyo
Datacenter: Singapore
DCDC
DC
DC
DC
DC
The Same Network
1.リージョンとデータセンター◦ SoftLayerでは、どこのデータセンターにサーバ等が有るかは管理上、気にすることは少ない。◦ 全てのデータセンター上のサーバは標準(機能)で通信が可能なネットワークに属している。また各データセンター間の接続経路(どのデータセンター通しが接続されているか)、接続キャリアそして時間帯におけるスループットは公開されている。
2.拠点展開数の比較
◦ 「クラウドサービス」である以上、拠点数は「多い」ほうが少なよりも良い。また別の観点からするとその顧客にとって必要なところがあることが望ましい。
◦ AWSは、リージョン数:9拠点(北京、米国GovClooudを除く)◦ SoftLayerは、データセンター数:20拠点(POP拠点:)
今後、5大陸40箇所にデータセンターを設置する予定
SoftLayerのネットワーク図
3.VPCとVLAN◦ AWSでは、サーバが利用できるネットワークは利用者毎に仮想的に作られます。この環境を「Virtual Private Cloud(VPC)」と呼びます。この環境は、論理的な分離したネットワークを提供してくれます。
Amazon VPC router Internet gateway
customer gateway
virtual private gateway
VPN connection
VPC peeringnew!
VPC VPCにたいして、沢山のネットワークサービスを付与することでネットワークが作られる(実体は不明で論理的な構造)自由にIP体系を作れるよ!
3.VPCとVLAN◦ SoftLayerでは、大きくは1つのネットワークで構成されておりその中をVLANでユーザにセグメント単位で払い出しを行います。利用者は必要なだけVLANを申請して利用することが出来ます。このネットワークは全てのデータセンターで1つのネットワーク構成となっておりSoftLayerの特徴となります。
VLAN
IPの体型はSoftLayerが管理していて其の一部を払いだされるよ。→なので自由にはIP体系を管理できない!
3. VPCとVLAN
◦ VLANはが払い出されるのは一定のルールがあり、28bitで割り当てが行われる。◦ AWSでは、最初にVPCの設定を行う必要がある。SoftLayerでは割り当て済みのためネットワークについて何かを実施する必要はない。
4.インターネットへの接続
◦ インターネットへの接続は、AWSとSoftLayerでは大きく違います。これは両者のアーキテクチャが大きく異る結果です。
◦ ネットワークが仮想かされているAWSでは、サーバは直接インターネットに接続されることなく仮想化されたVPCを経由して仮想ルータを経由しインターネットに接続することが可能となります。
◦ それに対してSoftLayerはもっと直接的に各サーバに対してインターネットへ直結したインターフェースが割当たります。
4. インターネットへの接続◦ 仮想化されたネットワーク上にInstance(EC2)は稼働する。◦ 外部からアクセスにはEIPという機能を利用してグローバルIPアドレスをEC2に付与する(1:1NAT)◦ ネットワークには、ルーティング情報があり、Internet Gatewayを利用することで外部へ通信を行う。
VPC
Internet gateway instanceElastic IP
Internet
EIPの機能によりグローバルIPアドレスをNATとして付与して利用する
プライベートIPグローバ
ルIP
Internetへの出入口
意外にインターネットへの接続はコツ(仕組み)が必要。
4.インターネットへの接続◦ SoftLayerでは、サーバは3つのネットワークに所属している。「パブリックネットワーク」、「プライベートネットワーク」、「管理ネットワーク」この構成の中でも「パブリックネットワーク」は利用の有無を選択する事が出来る。
◦ インターネットへアクセスする最も簡単な方法はサーバをパブリックネットワークに所属させることで実現することが出来る。
Internet
Front Customer
Router
プライベートIP
グローバルIP
Internetへの出入口
既にインターネットへつながっている。セキュリティに注意。。
5.通信速度
◦ AWSと、SoftLayerの特徴の中でSoftLayerは「高度に仮想化されていない」という点があります。このようにオーバヘッドの少ない環境下で有ることと回線の帯域などの結果単純なファイル転送ではSoftLayerの方が一般的に高速に動作すると言えます。
通信速度◦ AWSとSoftLayerで、「東京」「フランクフルト」間でデータ通信を測定してみた結果
東京からフランクフルト 東京から{サンノゼ、北カルフォルニア}
フランクフルトから{サンノゼ、北カルフォルニア}
232 ms 57 Mbps 105 ms 36 Mbps 168 ms 52 Mbps
255 ms 30 Mbps 100 ms 78 Mbps 155 ms 50 Mbps
※ これは一例であり常にこの速度を保証するものではありません。
6. ネットワーク通信量と課金
◦ クラウドのIaaSであるので当然何かしらのリソースを利用すると費用が発生します。◦ SoftLayerの特徴はネットワーク通信量が非常に安価である点があげられます。
6. ネットワーク通信量と課金◦ AWSは、基本的にはAZ(データセンタ)から出て行く通信に課金されます。◦ データセンター間(リージョン間)やVPN接続でのオンプレミスとの通信にも課金
参考:http://www.slideshare.net/AmazonWebServicesJapan/aws-27000873
6. ネットワーク通信量と課金◦ インターネットへ出て行く通信のみが課金対象◦ VPN接続は、「内部(プライベート)」通信となるので上り下りいずれも無料
DC DC
①
① Internetへ出て行く場合には、$0.10/Gbyte の通信量
② 基本無料枠・ 仮想サーバ1台あたり 500GB/Month・ ベアメタルサーバ1台あたり 250GB/Month
③ 無料枠のプール化・ 複数台の無料枠を$25で1つのプールにする
7.セキュリティ機能
◦ こと、ネットワークの通信セキュリティの面からは仮想化され通信が完全にコントロールされているAWSは非常に容易にセキュリティ対策をおおなうことが出来ます。特にパケットフィルタのレイヤは簡単に高性能な機能があります。
7.セキュリティ機能
security group security group
security group
◦ 「セキュリティグループ」という、非常に柔軟なポートフィルタ機能が適応できる。◦ 通信のポートフィルタを定義し複数にまたがってサーバ(EC2)に適応させることでFirewallとして利用することが出来る(通信を「許可」するルールを定義)
◦ ネットワーク(VPC)に対しても同様に「ネットワークACL」が適応可能
7.セキュリティ機能◦ AWSとは正反対に、いままでのオンプレス同様の考え方で作る。◦ 複数のサービスがあり、必要に応じて配置する
◦ Firewall サービス(共有・専有)◦ ゲートウェイサービス(専有)◦ WAF(専有)
Internet Gateway
Frontend Customer Router
Backend Customer Router
CCIor
BARE METALServer
#1Server
#2Server
#3Server
#4Server
#5WAF
Firewall機能Routing Firewall NAT IPsec
8.サーバだけでない専用サーバ
◦ SoftLayerでよく言われる「ベアメタルサーバ」というサービスがあります。これは物理サーバを提供するサービスです。
◦ ネットワークにおいても同様に、利用者の「専有」サービスがありこの機能を利用することで他の利用者に影響することのないフルコントールの機能を利用することが出来ます。(逆に言えばフルコントロールいしなければいけない(フルマネージドでないサービスとなるケースもあるので注意が必要))
8.サーバだけでない専用サーバ◦ ネットワーク機器についても「専用」型のサービスが存在します。これにより通信ログの取得、安定した(推測可能な)パフォーマンスが期待されます。
専有型ファイヤーウォールFortinet Firewall
専用型ゲートウェイサービスVyattaアプライアンスゲートウェイ
WAFNetScaler MPX
9. Route53とDNS
◦ インターネットからの利用をかんがえた場合に、名前解決は非常に重要な機能です。またそれ以上に昨今ではIPアドレスベースではなくて名前ベースで解決したほうが良いことが多いので積極的に利用したいサービスです。
9. Route53とDNS◦ AWSの「Route53」は、AWSの各種のサービス(特にEC2等)と密接に絡み非常に便利です。◦ 従来の使用から追加で「プライベートネットワーク」用のDNSサーバとしても利用可能になりました。またAPIからも利用可能なためこの辺りを作りこむと便利に!
◦ その他の機能◦ Latency Base DNS◦ Geo DNS◦ Cloud Front Zone Apex Support◦ S3 Zone Apex Support◦ Etc.
9. Route53とDNS◦ シンプルなDNSとして利用可能、APIベースで登録が可能。(登録は全て手動で任意)◦ Domain Registryと連携して自動的にDNS側に登録されるため便利。◦ AWSと違いパブリック側のみの管理なところが残念なところ
◦ その他の機能◦ Secondary DNS
10. SSL-VPNという出入口
◦ SoftLayerの特徴であるプライベートネットワークを最大に活かしたサービスが「SSL-VPN」接続サービスです。
◦ AWSでは、利用者がサーバを利用するためにこのような機能は用意されていないため独自にSSL-VPNサーバなどを構築する必要があります。
10. SSL-VPNという出入口◦ SSL-VPNで接続できるユーザは、管理ポータルから無料で作成可能。◦ SSL-VPNで接続すると、SoftLayerのプライベートネットワークに接続される。◦ 其の結果、インターネットへ接続していないサーバへも接続できる。◦ この機能は、最初から無償で利用可能。
Backend Customer Router
Server#1
Private Network
CCIor
BARE METAL
リージョン:
InternetSSL-VPN
管理者
Server#2
Server#3
SSL-VPN Gateway
SoftLayerGlobal Network
東京POP
Server#4
Server#5
まとめ◦SoftLayerのネットワークはシンプル。
◦ネットワーク機器も専有モデルが選択可能。
◦世界中のデータセンターでやりとしたい場合、SoftLayerのプライベートネットワークが役に立つ(無料、かつ特別な設定無しに利用が可能)。
用途に応じた利用を
◦クラウドサービス毎に良い所があるので必要に応じて活用して行きましょう!
