© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

AWSマイスターシリーズ

Amazon VPC VPN+AWS DirectConnect

2013.09.04

アマゾン データ サービス ジャパン株式会社

荒木靖宏

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

2

今日のAgenda

VPCとは？

Amazon Direct Connect(DX)とは？

VPC/VPN/Direct Connectの活用例

Q&A

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

3

Amazon VPC

AWS上にプライベートネットワーク空間を構築

• 社内からVPN接続して閉域網でAWS利用

• 仮想ネットワーキング

オンプレミスとのハイブリッドが簡単に実現

• AWSが社内インフラの一部に見える

社内システム、ソフトウェアの移行がより容易に

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

4

AWS上にプライベートのアドレス空間を作成し、お客様のインフラをAWS上に延長する

リージョン

EC2

VPC イントラ

プライベート サブネット

パブリック サブネット

Internet

VPC内に分離したサブネットを自由に作成

VPN接続 専用線

ゲートウェイ

VPN

DX

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

5

VPCを利用した3層Webシステム構成例

VPC 10.0.0.0/16

Availability Zone - B

Availability Zone - A

Internet

Anyone

Internet

Gateway

Public Subnet 10.0.0.0/24

Public Subnet 10.0.2.0/24

Private Subnet 10.0.1.0/24

Private Subnet 10.0.3.0/24

Amazon RDS

Amazon RDS

Web

10.0.0.7

EC2 Instance

EC2 Instance

Web

10.0.2.7

Corporate

data center

DB

DB

インターネットからもアクセス可能

DC/社内からのみアクセス可能

VPN接続

DX専用線

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

6

VPC内のシステム構築の留意点

ネットワーク分割のベストプラクティス

• ログインする必要のないELB，RDS, Elasticache用のサブネット

• 目的別には分けずに、/22や/24など、わかりやすく大きめのネットワークを指定する。

• ログインする必要のあるEC2は目的別に。

AWSのリソースは原則ホスト名を使ってアクセス

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

7

VPC内のシステム構築の留意点（２）

AWSのAPI使用にはインターネット接続が必要

利用方法

• EIPを使用

• NATインスタンスまたはアプリケーションプロキシを使用

• オンプレ側インターネット線の使用

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

8

Public subnet + Private subnet + VPN GW

Virtual Private Cloud = 10.0.0.0/16

Public Subnet

Internet

Gateway

Security Group

Private Subnet

Security Group NAT

instance

Destination Target

10.0.0.0/16 local

0.0.0.0/0 Internt Gateway

Destination Target

10.0.0.0/16 local

172.16.0.0/16 VPN Gateway

0.0.0.0/0 NAT Instance

VPN

Gateway

Corporate = 172.16.0.0/16

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

9

ハードウェアVPN

IPsec VPN

• AES 128 bit の暗号化トンネル

• Pre-shared キーを使用して、IKE セキュリティ接続を確立る

• SHA-1 ハッシュ

• 「グループ2」モードでのDH Perfect Forward Secrecy

暗号化の前にパケットの断片化を実行する

経路

• BGP (Border gateway protocol) または

• Static

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

10

対応ルータ

http://aws.amazon.com/jp/vpc/faqs/#C9

対応ルータでは設定サンプルを提供

BGP

• Astaro, Cisco, Fortigate, Juniper(J, SRX, SSG, ISG), PaloAlto, Vyatta, Yamaha RTX1200

Static

• Cisco(ASA5500, ISR), Juniper (J, SRX, SSG, ISG), Microsoft windows server 2008R2以降、Yamaha RTX1200

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

11

事前の準備

ハードウェアルータ

Public IPアドレス

• Virtual Gateway (VGW)との通信に使用

• VPCの数だけ必要。同一リージョンでの重複はできない。

IKE(UDP port 500)とIPsec（IP Protocol 50)への通信が可能なこと

• ISPでの制限、FWの存在に注意

• NAT-T(UDP port 4500へのfallback)は使用できません。

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

12

VPNの設定

12

「Hardware VPN Access」 があるWizardを選択

VPCダッシュボードから

「Start VPC Wizard」を選択

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

13

CustomerGatewayとプロトコル選択

13

拠点側のVPNルータのグロ

ーバルIPアドレスを指定

VPN通信プロトコルを

BGPかStaticかを選択

Staticの場合には、拠点側の

Subnetを指定する

※「Add」を忘れずに

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

14

VPCとSubnetのCIDR指定及び確認

14

VPCとPrivateSegmentのSubnetのCIDRを

変更します

内容 内容を確認後、「Create

VPC」を押下

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

15

VPCとPrivate Segment作成処理中

15

作成完了後

拠点側のVPNルータに設定するConfigをダウンロードするため選択します

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

16

VPNルータ設定用Configダウンロード

16

拠点側のVPNルータの以下の情報を選択します

１）ベンダー名 ２）機種 ３）OSバージョン

「Yes,Download」を選択し、Configをダウンロードします

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

17

AWS Direct Connectの特徴

帯域スループット向上

インターネットベースの接続よりも一貫性がある

ネットワークコスト削減

お客様

AWS Cloud

EC2, S3などの

Public サービス

Amazon VPC

相互接続ポイント

専用線

サービス

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

18

AWS Direct Connectの物理接続

お客様

AWS Cloud

EC2, S3などの

Public サービス

Amazon VPC

相互接続ポイント 専用線

Zone A

Zone コロケへの専用線引き込みと違ってサーバ設置場所を限定しない。

相互接続ポイントはサーバのあるゾーンではない場所

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

19

AWS Direct Connectの論理接続

論理的にはPublic向けと、VPC向けで異なる

BGPによる接続

お客様

AWS Cloud

EC2, S3などの

Public サービス

Amazon VPC

相互接続ポイント 専用線

Zone A

Zone B 東京リージョンでは、

Equinix TY2

(東京都品川区）

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

20

AWS Direct Connect 詳細内容

AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供

リージョン毎に契約

多くの容量が必要な場合、複数の接続のプロビジョニングが可能

• 専用線サービスは、お客様が下記の2つの選択肢から選択

1. お客様自身がエクイニクス相互接続ポイントに専用線を直接つなぐ

2. 通信事業者,APNの接続サービスを利用

Equinix

ソフトバンクテレコム

NRI

NTTコミュニケーションズ,NTTPC

日本でのサービス状況

KVH

TOKAI

cloudpack

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

21

APNにより拡張された AWS Direct Connectサービス

相互接続ポイント（東京リージョンではEquinix TY2）における接続装置等の設置場所

• 専用線とのパッケージ提供する場合も

10Mbps, 100Mbps等1Gbps よりも狭帯域のサービス

お客様指定の場所から相互接続ポイントまでのアクセス

広域WANで複数拠点からAWSへの接続

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

22

AWS Direct Connect：Publicサービス

お客様

AWS Cloud

EC2, S3などの

Public サービス

Amazon VPC

相互接続ポイント 専用線

Zone A

Zone

Public IPを使ったBGP接続

Private ASの場合はそのIPアドレスはAWSとの通信専用になる

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

23

AWS Direct Connect：VPCサービス

お客様

AWS Cloud

EC2, S3などの

Public サービス

Amazon VPC

相互接続ポイント 専用線

Zone A

Zone B

Private ASを使ったBGP接続

Private ASを使用

== VPCをVPNで使う場合と同じ

IPSecトンネルの代わりに専用線上のVLANがあると考えればok

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

24

VPC

（ZoneB)

論理接続形態

Equinix TY２

AWSラック ラック

10G

1G

キャリアバックボーン

R R

VPC

（ZoneA)

VLAN VLAN VLAN

Public向けVLAN

End user

（多数） AWSの責任範囲

ネットワークプロバイダ

またはEUの責任範囲

コロケーション

プロバイダ

の責任範囲

（構内配線のみ）

EC2,S3などのPublic

サービス

ラックはEquinix，もしくはAPNから調達

回線終端装置

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

25

AWS DirectConnect 接続のステップ

自社で手配する?

検討開始

回線業者選定

回線終端装置の置き場はあ

る?

接続点ラックを契約

Publicサービスを直接使う?

DXSPに依頼

物理接続

Public ASを持っている?

Public ASの取得

Public 接続

VPCを使う?

VPC 接続

利用開始

DXSP:

Direct Connect Solution Provider

次ページにて 詳細説明

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

26

AWS DirectConnect 接続のステップ 詳細

Direct Connect 使用申請

LOAをお客様へ発行

LOAをEquinixへ 申請

物理結線

物理接続

物理接続 完了

Equinix様 作業

お客様作業

AWS作業 (営業)

AWS NWチーム作業

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

27

DX設定 １

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

28

物理接続の申請

１

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

29

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

30

AWS DirectConnect 接続のステップ 詳細

お客様ルータ VLAN/BGP設定

AWSルータ VLAN/BGP設定

VPC 接続

VLAN ID決定 Private AS番号決定

VPC接続 完了

Public 接続

お客様ルータ VLAN/BGP設定

AWSルータ VLAN/BGP設定

VLAN ID決定

Public接続 完了

Equinix様 作業

お客様作業

AWS作業 (営業)

AWS NWチーム作業

AS番号/Prefix/VLANID/ LOAをMCで入力

AS番号/Prefix/VLANID/ LOAをMCで入力

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

31

DX設定 １

２

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

32

Create Virtual Interface ２

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

33

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

34

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

35

DX設定 １

２

3

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

36

configの取得 3

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

37

DownloadしたConfig抜粋

interface GigabitEthernet0/1

no ip address

interface GigabitEthernet0/1.3

description "Direct Connect to your Amazon VPC or AWS Cloud"

encapsulation dot1Q 3

ip address 169.254.252.2 255.255.255.252

router bgp 65534

neighbor 169.254.252.1 remote-as 10124

neighbor 169.254.252.1 password X_wlwFyyPWLEToUQIU7CRrA1

network 0.0.0.0

exit

パスワードはConfigをダウンロードしないとわからない

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

38

AWS DirectConnect 接続のステップ 詳細（物理結線のIDと利用者が異なる場合）

お客様ルータ VLAN/BGP設定

AWSルータ VLAN/BGP設定

VPC 接続

VLAN ID決定 Private AS番号決定

VPC接続 完了

Public 接続

お客様ルータ VLAN/BGP設定

AWSルータ VLAN/BGP設定

VLAN ID決定

Public接続 完了

Equinix様 作業

お客様作業

AWS作業 (営業)

AWS NWチーム作業

NWチームへ 作業依頼

NWチームへ 作業依頼

AS番号/Prefix/VLANID/ LOAをAWSへ連絡

AS番号/Prefix/VLANID/ LOAをAWSへ連絡

論理接続はWebでは

できない

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

39

CloudHubのHubとしてのVPC

Virtual Private Cloud

本社

Virtual

Gateway

VPN

Connection

AWS Direct Connect

Router

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

40

ハイブリッド環境例

営業支援

会計

BI

文書管理

利用者

保守業者

管理者

AD

監視ソフト

DNS

Direct Connect 接続口

1 VPC

1 VPC

1 VPC

1 VPC

1 VPC

IGW

VGW

VGW

VGW

IGW

VGW

VGW

Router#1

Router#2

Router#1

Router#2

Router#1 Router#2

FW

SSO

NTP

既存環境

Oracle WIN

人事

WIN

WIN Oracle

BI DB

WIN Proxy

専用線

専用線またはVPN

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

41

オンプレミスとVPCの接続冗長化

DirectConnect＋DirectConnect

DirectConnect+VPN

VPN+VPN

いずれの方法でも可能。VPNでもBGPによる接続を推奨

Active/Stand-ByのためにはBGP MEDもしくはAS−PREPEND等

Router#1

Router#2

Router#1

Router#2

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

42

Direct Connect 課金体系

月額利用料は下記の計算で課金されます

AWS Direct Connectの月額利用料 ＝

① ポート使用料

＋

② データ転送料

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

43

ポート使用料とデータ転送料

ポート使用料

• １Gbps: 0.30 USD/時、10Gbps: 2.25 USD/時

データ転送料はリージョン毎で異なる

• 東京リージョン

• データイン：無料

• データアウト：0.045 USD/GB

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

44

AWS Direct Connect使用時 請求の注意点

AWS Direct Connect を介するデータ転送には、使用が発生した同じ月に請求書が送られます。

他の AWS サービスの使用によって発生する標準のインターネットデータ転送使用量は、翌月の請求となります。

例：

• 6月に AWS Direct Connect 経由で 500 GB、インターネット経由で 1500 GB を転送した場合

• AWS Direct Connect のレートで 500 GB のデータ転送料金が6月の請求書で請求され、標準インターネットのレートで 1,500 GB のデータ転送料金が7月の請求書で請求されます。

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

45

本日のまとめ

VPN接続やDirect Connect(DX)を利用することで、オンプレミス環境とのハイブリッドなど、 自由なネットワーク設計が可能です！

© 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

46

Appendix

参考資料

• Amazon VPC Documents http://aws.amazon.com/jp/documentation/vpc/

• Amazon VPC http://aws.amazon.com/jp/vpc/

• Amazon VPC FAQ http://aws.amazon.com/jp/vpc/faqs/