Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

20190313 AWS Black Belt Online Seminar Amazon VPC Basic

2.963 visualizaciones

Publicado el

AWS公式オンラインセミナー: https://amzn.to/JPWebinar
過去資料: https://amzn.to/JPArchive

Publicado en: Tecnología
  • Sé el primero en comentar

20190313 AWS Black Belt Online Seminar Amazon VPC Basic

  1. 1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS Webinar https://amzn.to/JPWebinar https://amzn.to/JPArchive 2019-03-13 Amazon Virtual Private Cloud(VPC) [AWS Black Belt Online Seminar]
  2. 2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 2
  3. 3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS Black Belt Online Seminar • • ① 吹き出しをクリック ② 質問を入力 ③ Sendをクリック Twitter #awsblackbelt
  4. 4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark • 2019 3 13 AWS (http://aws.amazon.com/) • AWS AWS • • AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
  5. 5. 5
  6. 6. 6
  7. 7. 7
  8. 8. 8
  9. 9. 9
  10. 10. データセンター ラック ネットワーク機器 10
  11. 11. 11
  12. 12. 12
  13. 13. • • • • • 13
  14. 14. 14
  15. 15. 15
  16. 16. 16
  17. 17. Internet 17
  18. 18. 18
  19. 19. 19
  20. 20. 20
  21. 21. 21
  22. 22. 22
  23. 23. ➀ ②希望の を選択 23
  24. 24. 24
  25. 25. 25
  26. 26. ➀ 26
  27. 27. ➀ 27
  28. 28. 28
  29. 29. に使うアドレスレンジの選択 172.31.0.0/16 29
  30. 30. 30
  31. 31. ➀ 31
  32. 32. サブネットマスク サブネット数 サブネットあたりの IPアドレス数 /18 4 16379 /20 16 4091 /22 64 1019 /24 256 ※ 251 /26 1024 ※ 59 /28 16384 ※ 11 32
  33. 33. アベイラビリティゾーン • • • • Asia Pacific (Tokyo) AZは1つ以上のデータセンターで構成される Availability Zone D Availability Zone C Availability Zone B Availability Zone A 33
  34. 34. サブネットに対してAZとアドレスを選択 VPC subnet VPC subnet ap-northeast-1a 172.31.0.0/24 172.31.1.0/24 ap-northeast-1c 34
  35. 35. ・ネームタグ ・VPC ・アベイラビリティゾーン ・IPv4 CIDR block を指定して作成 35
  36. 36. 36
  37. 37. インターネット接続VPCのステップ ➀ 37
  38. 38. • • • 38
  39. 39. 39
  40. 40. 40
  41. 41. ➀ 41
  42. 42. 42
  43. 43. ➀ 43
  44. 44. 44
  45. 45. 45
  46. 46. 46
  47. 47. 47
  48. 48. 48
  49. 49. 49
  50. 50. • 50
  51. 51. 51
  52. 52. Route 53 Resolver for Hybrid Clouds 52
  53. 53. これまでは・・・ 53 https://aws.amazon.com/jp/blogs/security/how-to-set-up-dns-resolution-between-on-premises- networks-and-aws-using-aws-directory-service-and-amazon-route-53/ • いままでは、オンプレミスか らVPC-Provided DNS (VPC に設定したCIDRアドレス X.X.X.2 )へのアクセス不可 の制限があった。 • 解決策としてDNSフォワー ダーをVPC内で構築する必要 があった。 • DNSフォワーダーとしては Simple ADやBind on EC2等 これが必要だった
  54. 54. Route 53 Resolver for Hybrid Clouds ができること 54 https://aws.amazon.com/jp/blogs/aws/new-amazon-route-53-resolver-for-hybrid-clouds/ • オンプレミスからDirect Connect/VPN経由によるVPC Provided DNSへの直接アクセ ス可能なDNSエンドポイントを提 供 • 逆方向(VPC内からオンプレミス への特定ドメイン参照)も可能 • 複数AZに跨ったエンドポイント設 定による冗長 オンプレミスとVPC間のDNS設計が楽になります!
  55. 55. Route 53 Resolver の仕組み 55 • InとOut別々にエンドポイント設定 • 設定すると指定されたVPCにおける VPC Provided DNSへの接続 されるENIが作成される • そのENIを経由してVPC Provided DNSとオンプレミス間 のDNSトラフィックを相互に転送 Inbound Outbound Fowarding Rules ENI ENI ENI ENI
  56. 56. • VPC内で稼働する全てのインスタンスからNTP で利用できる高精度な時刻同期サービス • EC2インスタンス内でNTPサーバのIPアドレス としてとして169.254.169.123を設定するだ けで利用できる – このアドレスはリンクローカルアドレスなので、外部インターネットへ のアクセスは不要。プライベートサブネット内でも利用できる • Leap Smearingによる「うるう秒」への対策が 実装済み • 無料で全リージョンで利用可能 56
  57. 57. 57
  58. 58. http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpc-ip-addressing.html 58
  59. 59. 59
  60. 60. 60
  61. 61. 61
  62. 62. 62
  63. 63. Route Table Destination Target 10.1.0.0/16 local 192.168.10.0/24 vgw 192.168.10.0/24 10.1.0.0/24 10.1.0.0/16 伝達 63
  64. 64. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. • Direct Connect GatewayがHubになり、同一アカウントに所属する複数のリージョンの 複数のロケーションから複数リージョンの複数のVPCに接続できる機能。 • Direct Connectから世界の全リージョン(中国除く)のVPCに接続することができる。 • 1つのDirect Connectの仮想インターフェイスから複数のVPCに接続することができる。 • 複数のDirect Connectの仮想インターフェイスをDirect Connect Gatewayに接続するこ とができる。 1つ以上のDirect Connect ロケーションに繋げば 全世界の全リージョン(中国除く)に閉域網接続でき 同一リージョンまたは世界の複数リージョンをまたいで複数のVPCに接続できる機能 64
  65. 65. us-east-1 (バージニア北部) ap-northeast-1 (東京) (東京 CC1) (大阪 OS1) ap-northeast-3 (大阪ローカル) ap-southeast-1 (シンガポール) 65
  66. 66. オフィス データセンター Direct Connect Connection 東京リージョン シンガポールリージョン VGW DXGW VIF オフィス データセンター VIF 66
  67. 67. 67
  68. 68. 68
  69. 69. 69
  70. 70. 1000以上のVPCとオンプレミス間の相互接続を簡単 に オンプレミス データセンター Amazon VPC AWS Transit Gateway
  71. 71. Account Account Account Account Account Account Account Account Account Account Account Account VP N AWS Direct Connect * Account Account Account Account IAM, cross-account roles Route tables Route tables Transit Gateway Available H1 2019
  72. 72. 72
  73. 73. • • • • • 73
  74. 74. AWSクラウド 74
  75. 75. S3 Dynamo DB VPC Endpoint 75
  76. 76. • • Gateway S3 Dynamo DB VPC Endpoint (vpce-1a2b3c) S3 vpce-1a2bc3 S3 IP pl-xxxxx Destination AWS Amazon Provided DNS S3 IP 52.219.68.108 52.219.68.108 76
  77. 77. • • • PrivateLink (Interface ) EC2 API Kinesis Streams API Amazon Provided DNS API EC2 VPC 10.0.0.100 EC2 VPC 10.0.1.100 EC2 API IP 10.0.0.100 or 10.0.1.100 10.0.0.100 AWS EC2 API API IP IP ELB RDS 77
  78. 78. Gateway型 PrivateLink(Interface型) アクセス制御 IAM Policyと同じ構文でアクセス先のリソース を制限可能。 セキュリティグループでアクセス元IP、ポートを制御 可能。対象のサービスの特定のリソースへのアクセス 制御は不可。 利用料金 サービスごとに、1プライベートIP毎に下記の料金。 0.014 USD/時間(東京)+ 0.01 USD/ GB https://aws.amazon.com/jp/vpc/pricing/ 冗長性 マルチAZで配置するように設定する。 78
  79. 79. NLB “Provider” VPC“Client” VPC PrivateLink 79
  80. 80. AWS Services (対応増加中) AWSKMS Amazon Kinesis AWS STS Amazon SNS Amazon EC2 Systems Manager Amazon EC2 APIs Amazon API Gateway Amazon CloudWatch AWS Direct Connect VPN Connection corporate data center
  81. 81. パブリックサブネット1 プライベートサブネット1 パブリックサブネット2 プライベートサブネット2 VPC アベイラビリティゾーン 1 アベイラビリティゾーン 2 0/0 – NAT-B0/0 – NAT-A ・AWSによるマネージドNATサービス ・プライベートサブネットのリソースが インターネットまたはAWSクラウドへ通信 するために必要 ・EIPの割当て可能 ・高パフォーマンス(45Gbpsまで自動的に拡張) ・高可用性(ビルトインで冗長化) ・アベイラビリティゾーン毎に設置するのが ベストプラクティス Route Table Destination Target 10.0.0.0/16 local 0.0.0.0/0 NATゲートウェイ 81
  82. 82. VPC peering • 1vs1の関係 • 100 VPCまで • VPC間のSecurity groups • Inter-region対応 Transit VPC • スポークの1つに配置 • 帯域の制限 • 制御が複雑 • インスタンスとライセンス費用 • Inter-region対応VPN WAN AW S Direct Connect Transit VPC Shared Services AWS Transit Gateway • 1vs1でも1vsNでもroute table次 第 • スケーラブル • AZごとのエンドポイント費用 • Inter-region未対応 Account Account Account Account Development Account Account Account Account Testing Account Account Account Account Production Shared Services R o u t e T a b l e s R o u t e T a b l e sTransit Gateway AWS PrivateLink • 1 vs Nの関係 • スケーラブル • IPアドレス重複でもOK • NLBとエンドポイント費用 • Inter-region対応
  83. 83. AWS Transit Gateway Account Account Account Account Development Account Account Account Account Testing Account Account Account Account Production Shared Services R o u t e T a b l e s R o u t e T a b l e sTransit Gateway Scope Trust model Dependencies Scale Scope Trust model Dependencies Scale AWS PrivateLink • 1 vs Nの関係 • スケーラブル • IPアドレス重複で もOK • NLBとエンドポイ ント費用 • 1vs1でも1vsNでもroute table次第 • スケーラブル • AZごとのエンドポイント費 用
  84. 84. 84
  85. 85. 85
  86. 86. 86
  87. 87. アベイラビリティゾーン A 10.1.1.0/24 VPC CIDR: 10.1.0.0 /16 アベイラビリティゾーン B 10.2.1.0/24 Route Table Destination Target 10.2.0.0/16 local 0.0.0.0/0 pcx-xxxxxx VPC CIDR: 10.1.0.0 /16 VPC CIDR: 10.2.0.0 /16 pcx-xxxxxx Route Table Destination Target 10.0.0.0/16 local 0.0.0.0/0 pcx-xxxxxx http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpc-peering.html 87
  88. 88. App A Production Account App A Test/UAT Account App A Development Account Master Account App B Production Account App B Test/UAT Account App B Development Account Business Unit A Business Unit B Prod VPC VPC VPC Dev/Test VPCNAT gateway NAT gateway Private VIF Private VIF
  89. 89. • • • •
  90. 90.
  91. 91. Admin Users Account A (VPC Owner) Account B (Participant) Common VPC Same AWS Organization AWS Resource Access Manager Shared Subnet Share subnet with Resource Share EC2 Instance owned by Account A RDS Instance owned by Account B Traffic
  92. 92. • • • •
  93. 93. 94
  94. 94. aws ec2 create-vpc --cidr-block 10.0.0.0/16 from vpc.boto import VPCConnection c = VPCConnecction() vpc = c.create_vpc('10.0.0.0/16') resource "aws_vpc" "main" { cidr_block = "10.0.0.0/16" tags { Name = "main" } } { "AWSTemplateFormatVersion" : "2010-09-09", "Resources" : { "myVPC" : { "Type" : "AWS::EC2::VPC", "Properties" : { "CidrBlock" : "10.0.0.0/16", "EnableDnsSupport" : "false", "EnableDnsHostnames" : "false", "InstanceTenancy" : "dedicated", "Tags" : [ { "Key" : "foo", "Value" : "bar” } ] } } } } 95
  95. 95. aws ec2 create-vpc --cidr 10.10.0.0/16 aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.1.0/24 --a us-west-2a aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.2.0/24 --a us-west-2b 96
  96. 96. 97
  97. 97. 98
  98. 98. 99
  99. 99. 100
  100. 100. による脅威の検知と通知 悪意のあるスキャン インスタンスへの脅威 アカウントへの脅威 Amazon GuardDuty VPC flow logs DNS Logs CloudTrail HIGH MEDIUM LOW Findingデータ ソース脅威の種類
  101. 101. • AWS環境における、脅威検出を目的としたマネージドサービス • 東京含む、14のリージョンで利用可能 • EC2またはIAMにおける脅威を検出 • 機械学習による、異常検知の仕組み • エージェント、センサー、ネットワーク アプライアンス等は不要 • エコシステムの充実 • シンプルなコスト形体と30日間の無料枠
  102. 102. 103
  103. 103. • – • – • 104
  104. 104. 105 • • • • •
  105. 105. https://amzn.to/JPArchive
  106. 106. • •

×