[aws black belt online seminar] aws re:invent 2018アップデート … ·...

© 2018, Amazon Web Services, Inc. or its affiliates. All rights

reserved.

AWS re:Invent 2018 ダイジェスト

Compute/Networkセッション

2018/12/13

アマゾンウェブサービスジャパン株式会社松尾康博


reserved.

アジェンダ

• Compute/EC2関連の新機能

• Network関連の新機能


reserved.


reserved.

re:Invent期間中に発表された主なCompute関連サービス

• Amazon EC2 A1インスタンス• Amazon EC2 C5nインスタンス• Amazon EC2 P3dnインスタンス• Elastic Fabric Adapter

• AWS Outposts

4


reserved.

Amazon EC2のラインナップについて


reserved.

EC2のプロセッサとアーキテクチャの幅広い選択肢

6


reserved.

コスト効率の高いAMDインスタンス

7


reserved.

コストパフォーマンスの高いARMインスタンス

45%

AWS Gravitonプロセッサ

8


reserved.

特定ワークロード用のアクセラレータ

Elastic Graphics Elastic Inference

9


reserved.

幅広く深いEC2プラットフォームの選択肢

カテゴリー機能オプション

あらゆるワークロードとビジネスニーズに対応

10


reserved.

A1インスタンス


reserved.

ARMベースのAWS Gravitonプロセッサ搭載 A1インスタンス

• 64-bit ARMアーキテクチャGravitonプロセッサを搭載

• 他ファミリと比較して最大45%のコスト削減を期待できる

• バージニア、オレゴン、アイルランド、オハイオの各リージョンで利用可

a1ファミリ vCPU メモリ(GiB)

EBS帯域(Gbps)

NW帯域(Gbps)

コスト($/時)

a1.medium 1 2 Max 3.5 Max 10 0.0255

a1.large 2 4 Max 3.5 Max 10 0.0510

a1.xlarge 4 8 Max 3.5 Max 10 0.1020

a1.2xlarge 8 16 Max 3.5 Max 10 0.2040

a1.4xlarge 16 32 3.5 Max 10 0.4080

12


reserved.

Amazon EC2 汎用インスタンス

13

時々高いCPU使用率を必要とする多くのワークロード

CPU、メモリおよびネットワークリソースそれぞれをバランスよく使用するワークロード

複数のCPUコアを複数インスタンスに跨ってスケールアウトし、広範なARMエコシステムによってサポートされるワークロード


reserved.

Amazon EC2 A1のターゲットアプリケーション

14

ウェブサーバー

キャッシュサーバー

コンテナマイクロサービス

開発/テスト環境


reserved.

ARMインスタンスとソフトウェアエコシステム

15


reserved.

C5nと100Gbpsネットワーク


reserved.

Amazon EC2インスタンスネットワークの変遷• EC2のネットワーク帯域は1G,10G,20G,25Gと拡張され、今回100G対応が発表

• 100Gbpsに対応するインスタンスとしてC5n、P3dnが発表済み

17


reserved.

C5とC5nの違い• ネットワーク帯域が最大25→100Gbpsに拡張

• ネットワークキュー数が最大8→32に拡張

• メモリサイズが同一インスタンスサイズで約1.3倍に増量、メモリアクセス速度も最大19%向上

• 価格はC5と比較して約1.27倍 (リリース時点バージニアリージョンLinuxオンデマンド価格)

c5nファミリ vCPU メモリ(GiB)

EBS帯域(Gbps)

NW帯域(Gbps)

c5n.large 2 5.25 Max 3.5 Max 25

c5n.xlarge 4 10.5 Max 3.5 Max 25

c5n.2xlarge 8 21 Max 3.5 Max 25

c5n.4xlarge 16 42 3.5 Max 25

c5n.9xlarge 36 96 7 50

c5n.18xlarge 72 192 14 100

c5ファミリ vCPU メモリ(GiB)

EBS帯域(Gbps)

NW帯域(Gbps)

c5.large 2 4 Max 3.5 Max 10

c5.xlarge 4 8 Max 3.5 Max 10

c5.2xlarge 8 16 Max 3.5 Max 10

c5.4xlarge 16 32 3.5 Max 10

c5.9xlarge 36 72 7 10

c5.18xlarge 72 144 14 25

18


reserved.

EC2インスタンスのネットワーク帯域についての注意点

• EC2間のトラフィックには下記の制限がある• シングルフロー通信：最大5Gbps または 10Gbps (同一Cluster Placement Groupの場合)

• マルチフロー通信：最大100Gbps (c5n.18xlargeの場合)

通信方式通信先

同一Cluster Placement Group 同一AZ 別AZ リージョン外

シングルフロー最大10Gbps 最大5Gbps 最大5Gbps最大5Gbps

マルチフロー最大100Gbps 最大100Gbps 最大100Gbps

https://aws.amazon.com/jp/blogs/news/the-floodgates-are-open-increased-network-bandwidth-for-ec2-instances/

100Gbpsの帯域を最大限活用する為には、通信の多重化、マルチコアへの分散を意識する必要がある (RPS/RFSの設定 etc.)

https://aws.amazon.com/jp/blogs/news/the-floodgates-are-open-increased-network-bandwidth-for-ec2-instances/


reserved.

GPUインスタンス：P3DN


reserved.

P3DNの特徴• ネットワーク帯域が最大25→100Gbpsに拡張

• NVIDIA Tesla V100 32GBメモリ版を8枚搭載 (P3は16GBメモリ版)

• 900GB x 2のNVMe SSDを内蔵

• P3 : 2.3GHz(2.7GHz) Broadwell E5-2686v4 64vCPUに対して、P3dnは2.5GHz(3.1GHz) Skylake P-8175M 96vCPU

21


reserved.

EFA(Elastic Fabric Adapter)

Preview


reserved.

HPC の並列性能向上にはレイテンシ改善が重要


reserved.

ENA(Elastic Network Adaptor)とEFAの比較

25


reserved.

Libfabricコンポーネント

26


reserved.

AWS Outposts


reserved.

低遅延通信が必要なシステムにはハイブリッドクラウドが必要

金融サービス高頻度取引、為替取引

リアルタイム推論自動運転、野外センサーデータ

コンテンツ開発、配布、ゲーム

ロスレス信号処理、ライブイベント、ゲームストリーミング

レガシーシステム連携ERP等とトランザクション連携

工場の自動化

製造業、センサー制御、ロボット

通信企業Virtual Network Functions


reserved.

例：Outposts(前哨基地)を設置しリージョンを拡張


reserved.

AWS Outpostsの概要

• オンプレミスのシステムとの低遅延な連携を実現するために『AWSを拡張する』サービス

• 通常のEC2同様、マネジメントコンソールやAPI/CLIなどで操作

• AWSが設計したハードウェアを提供。AWSネイティブまたはVMware Cloud on AWSのいずれかの環境を選択できる予定

• 2019年下半期 (2H)に開始予定

• 料金体系などは未定


reserved.


reserved.

re:Invent期間中に発表された主なNetwork関連サービス

• AWS Global Accelerator

• VPC Sharing

• AWS Transit Gateway

37


reserved.

AWS Global Accelerator


reserved.

お客様の求めるもの

エンドユーザーを極力早くアプリケーションに接続し

たい

インターネットアプリケーションをグローバルにスケー

ルアウト

即時のフェイルオーバーによる高可用性システムの構

築


reserved.

現在の課題

信頼できないクライアントアプリケーションの

IPキャッシング

パブリックインターネット経由通信の一貫性のない

パフォーマンス

管理が面倒なDNSベースの複雑なIP管理


reserved.

AWS

us-east-1

Elastic IP

Address

us-west-1

Elastic IP

Address

Region Region

インターネットを利用することにより混雑やルーティングの変更により性能が安定しない

リージョン毎に異なるIPでの提供になるなど、

IPが固定できないリージョン間フェイルオーバーが難しい


reserved.

AWS Global Acceleratorのご紹介

AWSグローバルネットワークを使用してエンドユーザのアプリケーションの可用性とパフォーマンスを向上

User ApplicationAWS Global

Accelerator


reserved.

Edge Location Edge Location Edge Location

AWS GLOBAL ACCELERATOR

AWS

AMAZON GLOBAL NETWORK

us-east-1

Elastic IP

Address

192.0.2.1 192.0.2.1 192.0.2.1

Region

エニーキャストを利用し、同じIPをグローバルで利用


reserved.

Edge Location

Edge

location

Edge Location

Edge

location

Edge Location

Edge

locationAWS GLOBAL ACCELERATOR

AWS


us-east-1

Elastic IP

Address

Region

エンドユーザはそれぞれ最寄りのEdge Locationから誘導される

インターネットは使わずGlobal

Networkを利用

設定された内容に基づき、エンドポイントグループにアクセス


reserved.

Edge Location

Edge

location

Edge Location

Edge

location

Edge Location

Edge

locationAWS GLOBAL ACCELERATOR

AWS


us-east-1

Elastic IP

Address

us-west-1

Elastic IP

Address

Region Region

エンドユーザはそれぞれ最寄りのEdge Locationから誘導される

設定された内容に基づき、それぞれエンドポイントグループにアクセス

インターネットは使わない


reserved.

AWS Global Accelerator: 主な機能

AWS Global

Accelerator

単一または複数地域アプリケーションのための固定エニーキャストIPアドレス

インテリジェントなトラフィック配信

TCP/UDPプロトコルサポート

即時リージョンフェールオーバー

フォールトトレランスの強化

詳細なトラフィック制御

NLB, ALBおよびIP endpointsサポート


reserved.

Global Accelerator Before/AfterBefore

• リージョンにたどり着くまでに複数のISPを経由

• 混雑や遅延に巻き込まる可能性があるため、可用性や性能安定に問題が発生する可能性がある

After• 最寄りのEdge LocationからAWSバックボーンを経由してアクセス

• 混雑や遅延に巻き込まる可能性が低減されるため、可用性や性能安定が実現する


reserved.

• マルチリージョンアプリケーションへの固定IPアドレス• バックエンドへの継続的なヘルスチェック• 数秒で自動フェイルオーバー• クライアントデバイスによるIPアドレスキャッシング問題を回避

• エニーキャスト技術によりトラフィックは、クライアントに最も近いAWSエッジロケーションを経由

• エッジロケーション通過後、パブリックインターネットではなく、AWSグローバルネットワークを通過

• リージョンを超えて簡単にアプリケーションを拡張可能• 企業のファイアーウォールでのIPホワイトリスト定義が容易

• ウェイトの定義により、テスト/スタックアップグレードのためにリージョンへのトラフィックの優先度を手動で変更可能

• バックエンドキャパシティに応じたリージョンへのトラフィック制御

ハイアベイラビリティ

パフォーマンスの向上

簡単な運用

より詳細なトラフィックコントロール

AWS Global Accelerator: 長所


reserved.

ユースケース – リアルタイムゲーム

• ゲームサーバは複数リージョンで動作

• プレイヤーは全世界から接続

• 一貫性のあるパフォーマンス要求

• レイテンシの悪化がユーザエクスペリエンスの低下に直結


reserved.

ユースケース – 支払取引

• ダウンタイムによる収益損失

• 予測不能なクライアントデバイスのIPキャッシング

• 瞬時のフェイルオーバーと変更の伝播の要求


reserved.

ユースケース – デジタルセキュリティと脅威インテリジェンス

• セキュリティアプリケーションによるホワイトリストIPアドレスの要求

• アプリケーションのスケールアウト及びスケールダウンによるIPアドレスの変化

• アプリケーション対応のためIPアドレスレンジををホワイトリストに登録するとセキュリティポリシーを侵害するケース

• 小規模な固定IPアドレスにより、管理が容易


reserved.

その他のユースケース

デジタルパブリッシング

モバイルアプリケーション

メディア

Internet of Things(IoT)

フィナンシャルサービス

ウェブサイト


reserved.

Global Acceleratorの設定

アクセラレータ IP

リスナー

エンドポイントグループ

1.2.3.4

us-east-1

Endpoints: ALB 1,

ALB 2

TCP

80,443

UDP

53

eu-west-1

Endpoints: NLB 1,

NLB 2

3.4.5.6

Network Zone A Network Zone B


reserved.

AWS Global Accelerator: 価格

Data Transfer-PremiumDestination (AWS edge location)

NA EU APAC

Source

(AWS

Region)

NA $0.015 /GB $0.015 /GB $0.035 /GB

EU $0.015 /GB $0.015 /GB $0.043 /GB

APAC $0.012 /GB $0.043 /GB $0.010 /GB

• 固定費用: アカウント内で動いているAccelerator毎に1時間（1時間未満の場合は繰り上げ）毎に$0.025

• Data Transfer-Premium(DT-Premium): AWSネットワークで転送されたGBあたりの課金。DT-Premiumの料金はリクエストを受け付けたAWS リージョン（Source）とレスポンスを扱ったAWSエッジロケーション（Destination）により異なります。

• .


reserved.

AWS Global Accelerator: サポートリージョン

• N.Virginia

• Oregon

• N. California

• Ohio

• Dublin

• Frankfurt

• Tokyo

• Singapore

• Canada (central)

• London

• Paris

• Seoul

• Osaka-Local

• Sydney

• Mumbai

• Sau Paulo

2018 2019


reserved.

AWS Transit Gateway


reserved.

お客様の求めるもの

オンプレミスとVPC間の

相互接続

リージョンを超えたスケールアウトできる接続性

ネットワークの設定単純化


reserved.

これまでのネットワークの課題

従来の複雑なポイントto ポイントのVPCピアリングではスケールし

ない。

VPN帯域の制約ルーティング構成の管理と設定時間の浪費


reserved.

AWS Transit Gatewayのご紹介

1000以上のVPCとオンプレミス間の相互接続を簡単に

オンプレミスデータセンター

AWS VPCAWS Transit

Gateway


reserved.

必要に応じて多くのVPCに拡張可能

Account Account

Account Account

開発

Account Account

Account Account

ステージング

Account Account

Account Account

本番環境共有サービス

Authentication, monitoring

Route

tables

Route

tables

Transit Gateway

単一のルーティングテーブルまたは分離されたルーティングテーブル（VRF)で動作

Account Account

Account Account

検証環境

アプリケーション例• 認証• ロギング• DevOps ツール• セキュリティリソース

AWS Transit Gatewayによる共有サービスの実現


reserved.

AWS Transit Gateway: 主要機能

AWS Transit

Gateway

VPCとオンプレミス間のルーティングポリシーを集中管理

マルチアカウント間での1000を超えるVPC間接続をサポート

柔軟なルーティングテーブルの分割とルーティングルール

スケーラブル

マルチVPNコネクションのスループット向上

運用の単純化


reserved.

• アカウント間の複数VPC間の相互接続の集中管理• VPNとDirect Connectの接続点を集中化

• ピアツーピアネットワークが必要であった構成の削減、または廃止が可能

• ECMPルーティングによるVPNスループットの向上(50 Gbps+)

• AWS Transit Gatewayによりリージョン間のピアリングが可能• AWSグローバルネットワークを活用して、低遅延のクロスリージョン接続を実現

• Regional construct reduces blast radius

• AWSとオンプレミス間の設定時間を削減• 1カ所で管理および監視が簡単に可能• CloudWatchとVPC Flow Logsとの統合• 既存のVPCセキュリティグループとネットワークアクセスコントロールリストを利用可能

ネットワーク構成の単純化

Global Connectivity

管理を簡単に

AWS Transit Gateway: 長所


reserved.

ユースケース – 地理的に分散されたオンプレミスネットワークとVPCの相互接続

• 複数のVPCを使用しているお客様

• 多数のVPCにまたがるアプリケーションを構築するお客様

• ネットワークサービスの共有が可能 (DNS, Active Directory, ファイアーウォール, IDS)

• 管理のオーバーヘッドを削減


reserved.

ユースケース – エッジの集約

• すべてのVPCで共通のVPNまたはDirect Connect Gateway（DXGW）を共有

• 複数のVPCにオンプレミスネットワークを接続する時間を短縮

• AWS Transit GatewayにVPCを追加する際、追加する顧客ネットワークに変更は不要


reserved.

Use Case – デジタルセキュリティと脅威インテリジェンス

• 共有のVPCホストセキュリティツール

• Firewall as a service

• Webアプリケーションファイアウォール（WAF）、データ損失防止（DLP）、侵入検知/保護（IDS / IPS）

• ネイティブAWSサービスでスケールアウト


reserved.

Internet

Account Account

Account Account

開発環境

Account Account

Account Account

テスト環境

Account Account

Account Account

本番環境

アウトバウンド

URL filtering

NAT gateway

DLP / Proxy

エッジサービス

WAF / ADC

SD-WAN

VPN / Firewall

IDS / IPS

Firewall / NGFW

インラインサービス

共有サービス

Authentication, Monitoring

VPNAWS Direct

Connect *

Account Account Account Account

管理アカウント (logging, AWS Organizations, billing, landing zone)

IAM, Cross-account roles

Route

tables

Route

tables

Transit Gateway East-West + North-South

Available Q1 2019

AWS Transit Gateway リファレンスアーキテクチャ


reserved.

AWS Transit GatewayとPrivateLinkの使い分け

AWS Transit Gateway

• 多対多、1対多でルーティングテーブルを利用するもの

• Highly scalable

• 1時間当たりのAZエンドポイントコスト

Account Account

Account Account

Development

Account Account

Account Account

Testing

Account Account

Account Account

ProductionShared Services

Authentication, Monitoring

Route

Tables

Route

Tables

Transit Gateway

適用範囲：アプリケーション共有サービス

信頼モデル：VPC間に相互信頼をもたない

依存関係：ロードバランサとアプリケーションアーキテクチャ

規模：数千のスポークVPC

対象範囲：多数のVPCへのネットワーク共有サービス

信頼モデル：VPC単位の信頼、集中管理

依存関係：Transit Gatewayによる集中管理

規模：数千のスポークVPC

AWS PrivateLink

• 1対多のコネクティビティ

• Highly scalable

• IPアドレス重複のサポート

• Elastic Load Balancingの使用

• ロードバランサと1時間当たりのエンドポイントコスト


reserved.

Transit GatewayとVPN

VPN

Route

tables

Route

tables

Transit Gateway

Customer Gateway

Transit Gateway (TGW)によるVPNの統合• VPNはVirtual Private Gateway (VGW)に接続しているように動作• 帯域、設定、API,コストおよびエクスペリエンスは従来通り

• VPNはVGWではなくTGWに接続• VGW同様トンネルあたり1.25 gbpsの帯域幅を適用

多数のVPCのエッジへの暗号化• トラフィックはVPC内に入るまで暗号化• VPC間の通信は自動では暗号化されない

• インターリージョンVPCはデフォルト暗号化


reserved.

Transit GatewayとVPN: VPN帯域の向上

VPN

Route

tables

Route

tables

Transit Gateway

Customer Gateway

複数トンネルによるトラフィックの分散サポート• BGPマルチパスによるEqual Cost Multi Path（ECMP）のサポート

• 最大50 Gbpsの帯域までテスト済み• トラフィックの小さな複数のフローへの分割, マルチパートアップロード, etc.

オンプレミス環境側の設定確認事項• マルチパスBGPサポート• ECMPサポート, ECMPのパスの最大数, reverse-path

forwarding/spoofing機能の有無• BGPサポートのみ、スタティックルートは未サポート


reserved.

AWS Direct ConnectとTransit Gateway

Direct Connectの複数VPCでの利用

Public接続を利用したDirect Connect上にVPNを張る暗号化

Account Account

Account Account

Development

Account Account

Account Account

Testing

Account Account

Account Account

Production Shared

VPN AWS Direct

Connect

Route

Tables

Route

Tables

Transit GatewayPrivate virtual

interfaces

VPN

AWS Direct

Connect

Route

Tables

Route

Tables

Transit Gateway

Public virtual

interface

AWS Cloud

Receive AWS

public IP addresses

2019Q1サポート予定


reserved.

AWS Transit Gateway: 価格

• 固定料金：トランジットゲートウェイがお客様のアカウントで稼働している1時間または1時間あたりの料金

• データ転送料金：転送されるデータの1 GBあたりの料金

https://aws.amazon.com/jp/transit-gateway/pricing/ 参照

https://aws.amazon.com/jp/transit-gateway/pricing/


reserved.

AWS Transit Gateway: サポートリージョン

• 米国東部（バージニア北部）• 米国西部 (オレゴン)

• 米国西部 (北カリフォルニア)

• 米国東部 (オハイオ)

• 欧州 (アイルランド)

• アジアパシフィック (ムンバイ)

• 欧州 (パリ)

• 欧州 (フランクフルト)

• アジアパシフィック (ソウル)

• 欧州 (ロンドン)

• アジアパシフィック (東京)

• アジアパシフィック (大阪: ローカル)

• アジアパシフィック (シンガポール)

• アジアパシフィック (シドニー)

• カナダ (中部)

11/26 ローンチ時 12/中


reserved.

VPC Sharing


reserved.

従来のマルチアカウント構成

App A Production Account App A Test/UAT Account App A Development Account

Master Account

App B Production Account App B Test/UAT Account App B Development Account

Business Unit A

Business Unit B

VPC VPC VPC

VPC VPCVPC

VPC VPC VPC VPC

VPC VPC

NAT gateway NAT gateway NAT gateway

NAT gateway

NAT gateway

PeeringPeeringPeeringPeering

Private VIF

Private VIFPrivate VIF

Private VIF


reserved.

ネットワーク分離に関する一般的な問題

IPv4アドレスの枯渇VPCでは1サブネットごと5つのIPが予約される。

分割によりサブネットは小さくなり、新しいAZに代わりのレンジを割り当てるスペースの減少

管理のオーバーヘッド

IPアドレスの割り当て管理の煩雑化

テンプレート管理

一貫性のないコンフィギュレーション

VPCのハードウェア制限

相互接続可能なネットワーク数の枯渇

最大ピアリング数125

ダイレクトコネクト1契約あたり50 VIFs

コスト

VPC間のトラフィックコスト

リソース重複:VPN,NAT Gateway

複雑なコネクティビティメッシュネットワーク

多数のBGPセッション

トランジットVPCソリューション

セキュリティ権限の分離

集中管理


reserved.

VPCシェアリング

App A Production Account App A Test/UAT Account App A Development Account

Master Account

App B Production Account App B Test/UAT Account App B Development Account

Business Unit A

Business Unit B

Prod VPC VPC

VPC

Dev/Test VPCNAT gateway NAT gateway

Private VIF Private VIF


reserved.

ユースケース

VPC統合

より少なく、大きく、集中管理できる小さなVPC構成の実現

相互接続を考慮しているアプリケーションに多くの利益IPv4プライベートアドレスの割り当てをシンプルに

既存ネットワークの置き換え大きくフラットなネットワークは小中規模のお客様で多く利用

同一なフラットなネットワークをAWSで利用

複数アカウント利用時にもすべてのメリットをAWSで


reserved.

主な利点

IPアドレス資源の保護

使いやすいIPv4のCIDRの継続利用

インターコネクティビティ提供

VPC peering, Transit VPC不要

ビリングとセキュリティ複数のアカウントを使用して分離のメリットを享受

職務分掌集中管理するチームがVPCを作成および管理


reserved.

実際の動作

Admin Users

Account A (VPC Owner) Account B (Participant)

Common VPC

Same AWS Organization

AWS Resource

Access Manager

Shared Subnet

Share subnet

with Resource

Share

EC2 Instance

owned by

Account A

RDS Instance

owned by

Account B

Traffic


reserved.

VPC Sharingに向かない例

高い隔離が必要な構成

VPC分離により影響範囲を限定する場合

個別のVPCでアプリケーションを実行することによりコンプライアンスを守ることが容易な場合

巨大で分散した組織個々のチームで自分の環境の作成と管理を担当する組織

VPC Sharingの制約

AWS Organizations必須

VPCオーナーは別アカウントで実行しているのでリソースを消すことはできない

デフォルトVPC,サブネット、セキュリティグループのシェアはできない

Thank you!


reserved.

[aws black belt online seminar] aws re:invent 2018アップデート … ·...

Documents