13. VPC
Availability Zone A Availability Zone B
VPC CIDR: 10.1.0.0 /16
■仮想データセンターをAWS上に設定
■VPC内で利用するIPアドレスのブロック
を設定
- 通常であればプライベート
アドレス(RFC1918)を利用
- /28から/16のネットマスクを利用
■複数のアベイラビリティゾーンを利用
可能
作成後はVPCアドレスブロックは変更できないので注意!
14. サブネット
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
■VPCのIPアドレス範囲(CIDR)の中で設定
■アベイラビリティゾーン毎に設定
■アクセスコントロールリストにより
ネットワークレベルでのセキュリティ
を設定
■サブネット毎にルーティングを設定
■最小は/28(14IP)
■サブネット内の先頭の4つ、最後の1つの
IP以外をEC2インスタンス用に利用可能
15. インターネットゲートウェイ
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
■IGW=Internet Gateway
■EC2インスタンスにインターネットへの
接続を提供
■VPCにアタッチすることで利用可能
■サブネットでルーティング指定
■単一障害点や帯域幅のボトルネック
は存在しない
16. バーチャルプライベートゲートウェイ
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Virtual Private Gateway
Customer Gateway
VPN over the
Internet
Corporate Data Center
■VGW=Virtual private Gateway
■オフィスやデータセンターなどの
オンプレミスとのVPN接続のための
エンドポイントとなる仮想ルータ
■Direct Connect(専用線)のエンド
ポイントとしても利用
■1つのVPCあたり1つのVGWのみ
アタッチ可能
■単一障害点や帯域幅のボトルネック
は存在しない
17. カスタマゲートウェイ
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Virtual Private Gateway
Customer Gateway
Corporate Data Center
VPN over the
Internet
■CGW=Customer Gateway
■オンプレミス側のVPN接続エンド
ポイントとなる物理または仮想の
デバイス
■通常はファイアウォールまたはルータ
を利用
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/NetworkAdminGuide/Introduction.html
18. 仮想ルータ
Public Subnet
Availability Zone A
Private Subnet
Public Subnet
Availability Zone B
Private Subnet
Instance A
10.1.1.11 /24
Instance C
10.1.3.33 /24
Instance B
10.1.2.22 /24
Instance D
10.1.4.44 /24
VPC CIDR: 10.1.0.0 /16
.1
.1 .1
.1
■デフォルトではVPC内のすべて
のサブネット間は疎通可能
(制御したい場合はNACL利用)
■サブネットのネットワーク
アドレス+1(.1)がすべての
サブネットのゲートウェイと
なる
19. VPNコネクション
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Virtual Private Gateway
Customer Gateway
Corporate Data Center
VPN over the
Internet
■VPCとオンプレミス間のVPN接続
■CGWとVGWの間でIPsecトンネル
が設定される
■1つのCGW(1つのパブリックIP)に対し
1つのVPNコネクションが設定される
■1つのVPCに対しては複数のVPN
コネクションが設定可能
20. ルートテーブル
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
■どのネットワークに対する通信が
どこに対して転送されるべきかの
定義を記述
(例:インターネットへの通信はIGW)
■各サブネットに1つ設定
■1つのルーティングテーブルには複数の
サブネットが設定可能
■デフォルトではメインルートテーブルが
設定
21. Elastic IP
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
EIP EIP
■EIP=Elastic IP
■アカウントに紐付けられる固定の
パブリックIP
■EC2インスタンスに割り当て可能
■EC2インスタンスに関連づけられた
1つめのEIPには課金されない
■課金されるケース
- 追加でEIPを利用する場合
- 起動中のEC2インスタンスに割当て
られていない場合
- アタッチされていないENIに割当て
られている場合
- 1ヶ月間でリマップ(割当て、取り外し)
が100回を超えた場合
http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html
22. Elastic ネットワークインタフェース
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Subnet: 10.1.10.0/24
ENI
(eth0)
ENI
(eth0)
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
■ENI=Elastic Network Interface
■EC2インスンタンス毎に仮想ネット
ワークインタフェースを複数持つ
ことが可能
■以下をENIに紐づけて維持可能
プライベートIP
Elastic IP
MACアドレス
セキュリティグループ
■インスタンスによって割当て数が
異なる
http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html
23. VPC Peering (VPCピア接続)
Availability Zone A
Subnet: 10.1.1.0/24
VPC CIDR: 10.1.0.0 /16
Availability Zone A
Subnet: 10.2.1.0/24
Route Table
Destination Target
10.2.0.0/16 local
0.0.0.0/0 pcx-xxxxxx
VPC CIDR: 10.1.0.0 /16 VPC CIDR: 10.2.0.0 /16
pcx-xxxxxx
■プライベートIPアドレスを利用して
2つのVPC間でトラフィックの
ルーティングが可能
■同一のAWSアカウントはもちろん、
異なるAWSアカウント間(クロス
アカウント)のVPC間をピア接続
することも可能
■単一障害点や帯域幅のボトルネック
は存在しない
■MTUに注意(VPC Peeringは1,500)
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 pcx-xxxxxx
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpc-peering.html
25. ネットワークアクセスコントロールリスト
Availability Zone A Availability Zone B
VPC Subnet with ACL VPC Subnet with ACL
■NACL=Network Access Control
List
■サブネット毎に設定するフィルタ
機能
■インバウンド、アウトバウンドを
サブネット毎に制御
■ステートレス
■デフォルトはすべて許可
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_ACLs.html
26. セキュリティグループ
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
VPC CIDR: 10.1.0.0 /16
Subnet: 10.1.10.0/24
■EC2インスタンスの仮想ファイア
ウォールとして機能
■1つのEC2インスタンスあたり5つの
セキュリティグループを設定可能
■ステートフル
■デフォルトですべての通信は禁止
■複数のEC2インスタンスを
グルーピング可能
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html
32. ロードバランサ + マルチAZを利用したWeb構成
Availability Zone A Availability Zone B
Public Subnet:
10.1.1.0/24
VPC CIDR: 10.1.0.0 /16
PrivateSubnet:
10.1.1.0/24
Public Subnet:
10.1.2.0/24
PrivateSubnet:
10.1.2.0/24
Internet
Webサーバ
データベースサーバ
37. カスタマゲートウェイのコンフィグレーション
! --------------------------------------------------------------------------------
! IPSec Tunnel #1
! --------------------------------------------------------------------------------
! #1: Internet Key Exchange (IKE) Configuration
!
! A policy is established for the supported ISAKMP encryption,
! authentication, Diffie-Hellman, lifetime, and key parameters.
!
! Note that there are a global list of ISAKMP policies, each identified by
! sequence number. This policy is defined as #200, which may conflict with
! an existing policy using the same number. If so, we recommend changing
! the sequence number to avoid conflicts.
!
crypto isakmp policy 200
encryption aes 128
authentication pre-share
group 2
lifetime 28800
hash sha
exit
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the
! tunnel endpoints.
!
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/NetworkAdminGuide/Introduction.html
40. マルチVPNコネクション
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Customer Gateway
Customer Network
New York
VPN
Router Virtual Private Gateway
Customer Gateway
Customer Network
Chicago
VPN
Customer Gateway
Customer Network
Los Angeles
VPN
41. AWS Direct Connect
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント
専用線
サービス
AWSとお客様設備(データセンター、オフィス、またはコロケーション)
の間に専用線を利用したプライベート接続を提供するサービス
42. AWS Direct ConnectによるVPC接続
Customer
Data Center
AWS Direct Connect
location
AWS Direct Connect のプライベート
仮想インタフェースはVPC上のVGWに接続
• 1プライベート仮想インタフェースあたり
1VPC
• VLANで分割
Public-Facing
Web App
AWS
Region
Prod QA Dev
Internal
Company Apps
Internal
Company Apps
Internal
Company Apps
PVI1 PVI2 PVI3 PVI4 PVI5
AWS Public
API Endpoints
キャリア様の専用線でDirect Connectの
相互接続ポイントとお客様拠点を接続
47. Amazon DNS サーバー
■Amazon Provided DNS
■VPCのネットワーク範囲(CIDR)の
アドレスに+2をプラスしたIP
(10.0.0.0/16の場合は10.0.0.2)
■VPC内のEC2インスタンスからのみ参照
可能
(VPNなどで接続されているオンプレ
ミスからは参照不可)
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html#AmazonDNS
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Corporate Data Center
Amazon Provided DNS
10.1.0.2
48. DNS設定
• VPC内のDNS関連の設定
■Enable DNS resolution.
基本はyesとする
NoにするとVPCのDNS機能が無効となる
■Enable DNS hostname
TrueにするとDNS名が割り当てられる
“Enable DNS resolution”をtrueにしないと有効にならない
54. VPC内の特定ルートの設定は不可
Availability Zone B
Public Subnet
Availability Zone A
Private Subnet
Public Subnet
Private Subnet
Instance A
10.1.1.11 /24
Instance C
10.1.3.33 /24
Instance B
10.1.2.22 /24
Instance D
10.1.4.44 /24
VPC CIDR: 10.1.0.0 /16
Route Table
Destination Target
10.1.0.0/16 local
10.1.1.0/24 InstanceB
55. 注意すべきネットワーク構成
• VPN、AWS Direct Connect、VPC Peeringでの接続においては以
下のように2ホップ以上先のネットワークとの通信はできない。
10.1.0.0/16
10.0.0.0/16
10.2.0.0/16
C
10.1.0.0/16 10.2.0.0/16
C
61. ソフトウェアファイアウォールの利用
Availability Zone A Availability Zone B
Public Subnet:
10.1.1.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
Internet
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Private Subnet:
10.1.10.0/24
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 NAT/F
W
marketplaceから
ISVパートナーの
製品を選択可能
62. リージョン間のVPC間接続例
Public Subnet:
10.1.0.0/24
Availability Zone A
Private Subnet:
10.1.10.0/24
東京リージョン
Public Subnet:
10.2.0.0/24
Availability Zone A
Private Subnet:
10.2.10.0/24
シンガポールリージョン
インターネットVPN
ソフトウェア
VPNルータを
EC2で構築し、
インターネット
VPNで接続
94. 従来のNATインスタンスのベストプラクティス
Public Subnet 1
VPC
Availability Zone 1
NAT
Instance
Private Subnet 1
Public Subnet 2
Availability Zone 2
NAT
Instance
Private Subnet 2
http://aws.clouddesignpattern.org/index.php/CDP:High_Availability_NAT%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3
・NATインスタンスのモニタリングの仕組みを用意
・ルートテーブルの書き換えのスクリプト
・NATインスタンスのスケールアウトも考慮
0/0 – NAT-B
0/0 – NAT-A
Monitormonitor
95. NAT Gatewayのベストプラクティス
Public Subnet 1
VPC
Availability Zone 1
NAT
Gateway
Private Subnet 1
Public Subnet 2
Availability Zone 2
NAT
Gateway
Private Subnet 2
0/0 – NAT-B0/0 – NAT-A
・NAT Gatewayを各AZのパブリックサブネットに
作成
・各AZのプライベートサブネットにそれぞれルート
テーブルを作成し、同じAZ内のNAT Gatewayに
デフォルトルートを設定
AZレベルの障害に対応
96. 価格
NAT Gatewayの
利用時間
Gigaバイト毎の
データ処理
データ転送量
+ +
Region: US East
(N.Virginia)
US West
(Oregon)
US West
(N.California)
EU
(Ireland)
Asia Pasific
(Singapore)
Asia Pasific
(Sydney)
Asia Pacific
(Tokyo)
Asia Pacific
(Seoul)
Asia Pacific
(Mumbai)
Price per NAT
gateway ($/hour):
0.045 0.045 0.048 0.048 0.059 0.059 0.062 0.059 0.056
Price per GB data
processed ($):
0.045 0.045 0.048 0.048 0.059 0.059 0.062 0.059 0.056