ソリューションセッション#5 AWSで構築する仮想プライベートクラウド 登壇者名・社名　荒木 靖宏（アマゾン データ サービス ジャパン 株式会社）

1. ソリューションセッション#5
AWSで構築する仮想プライ
ベートクラウド
荒木靖宏
アマゾン データ サービス ジャパン株式会社
プリンシパルソリューションアーキテクト

2. 自己紹介
名前
• 荒木 靖宏
所属
• アマゾンデータサービスジャパン株式会社
プリンシパルソリューションアーキテクト
ID
• Twitter: ar1
好きなAWSサービス
• Amazon Virtual Private Cloud
• AWS Direct Connect

3. アジェンダ
「プライベートクラウド」欲求
• ビジネスアジリティ対応
• コスト競争力
• セキュリティ＆コンプライアンス
事例
現実として利用できること（技術）
Amazon VPCがおこたえします

4. AWSプラットフォーム
Deployment & Administration
App Services
Compute Storage Database
Networking
AWS Global Infrastructure

5. AWS のネットワークサービス
Amazon Virtual Private Cloud
VPN to Extend Your Network Topology to AWS
Deployment & Administration AWS Direct Connect
Private, Dedicated Connection to AWS
App Services
Compute Storage Database
Amazon Route 53
Networking Scalable Domain Name Service
AWS Global Infrastructure

6. Amazon VPC
AWSクラウド上に仮想プライベートクラウドを
構築
オンプレミスとのハイブリッドが簡単に実現
• AWSが社内インフラの一部に見える
 社内システム、ソフトウェアの移行がより容易に
 例：業務システム、バッチ処理、ファイルサーバ
2011年8月から全リージョンで利用可能に

7. 企業ネットワークとAWSを統合： AMAZON VPC
ルーター
社内ネットワーク AWSパブリック
クラウド環境
インターネット
経由での
VPN接続
専用線接続 社外ユーザ

8. 企業内の情報処理で抱える悩み
要件
ビジネス（本業）の俊敏性要求
データ処理要件（新規、バージョンアップ）の増加
データ量の加速度的増加
セキュリティ及びコンプライアンス対応が読めない
‥
コスト
管理者の労力、工数
設備所有コスト
‥

9. 要件 ｖｓ コスト
昔なら問題にならなかった

10. コンシューマライゼーション
時代の到来
企業内のほうが不便な環境

11. クラウドコンピューティングの定義
NIST（米国立標準技術研究所）
オンデマンド・セルフサービス
広範なネットワークアクセス
リソースのプーリング
迅速な弾力的規模拡大・縮小
測定されたサービスによるリソースの自律最適化
大数に鍛えられたクラウドだけが持つ

12. クラウドで備えよ！

13. では、自社に
クラウドをつくるとしたら？

14. プライベートクラウドへの要求
ビジネスアジリティ対応
コスト競争力
セキュリティ＆コンプライアンス
Amazon VPCがおこたえします

15. 柔軟なネットワーク、サーバ構成
リージョン EC2内に分離し
VPN たサブネットを自
EC2
専用線 由に作成
インターネット
イントラ VPC ゲート
ウェイ
プライベート パブリック
サブネット サブネット
複数のネットワークにそれぞれ
複数IPアドレスを使用可能
イーサネット接続可能
1サーバあたり最大240個まで

16. AWS Direct Connect（専用線接続）
AWSとデータセンター、オフィス、コロケーション環境間にプライ
ベート接続を確立するサービス
AWS Cloud
多くの国内キャリアと協業 EC2, S3などの
Public サービス
相互接続ポイント
専用線
Amazon VPC
お客様
コロケへの専用線引き込みと違って
サーバ設置場所を限定しない。
相互接続ポイントはサーバの置かれ
た建屋とは独立した場所

17. 広域LANサービスでの使用
一拠点として
Amazon Virtual AWS
Private Cloud Direct
AWSを追加
(VPC) Connect
キャリアの
広域LANサービス

18. マルチホーム(cloudhub)
本社
Internet
VPN Internet
VPN
Internet
VPN
DirectConnect

19. プライベートクラウドへの要求
ビジネスアジリティ対応
コスト競争力
セキュリティ＆コンプライアンス
Amazon VPCがおこたえします

20. Amazon.comの11月のトラフィック

21. キャパシティプランニングは下記赤線

22. 実際の利用したリソースの割合
76%
24%

23. AWSにおける価格の考え方
Pay as you go (従量課金)
• コミットメントや長期契約の必要無し
Pay less when you reserve (確保による値引き)
• キャパシティを確保する事による値引き
Pay even less per unit by using more (ボリュームによ
る値引き)
• 自動的なボリュームディスカウント
Pay even less as AWS grows (AWS成長による値引き)
• 「規模の経済」による値引き (過去6年間で20回の値引き実績)

24. 参考：サーバ1台に対するTCO
Dell PowerConnect 6224： $2,991
Dell PowerEdge Rack 4220： $2,252
Dell PowerEdge R310：$1,838
3-year Dell ProSupport and NBD On-site Service： $216 (Server)
3-year Dell ProSupport and NBD On-site Service： $799 (Network)
PUE of 2.5 and electricity price of $0.09 per kW hour
$23,000 per kW of redundant IT power and $300 per square foot
$120,000/年間/人、比率(サーバ:人) – 50:1
AWSホワイトペーパー：The Total Cost of (Non) Ownership of
Web Applications in the Cloud

25. プライベートクラウドへの要求
ビジネスアジリティ対応
コスト競争力
セキュリティ＆コンプライアンス
Amazon VPCがおこたえします

26. AWSが取得した第三者認証/認定
クラウド専業のため、集中的に多くのセキュリティ
投資が可能
SSAE16/ISAE3402 (旧SAS-70 Type II) 認証
ISO27001認証
PCI DSS 認証（Payment Card Industry Data
Security Standard）
FISMA Moderateレベル
日本語ホワイトペーパー公開中
「リスクとコンプライアンス」「セキュリティプロセスの概要」
http://aws.amazon.com/jp/whitepapers/

27. EC2 Dedicated Instance
通常のEC2
VPC内で専用インスタンス
物理サーバー
シングルテナント保証
クラウドのメリット確保
従量課金 顧客A 顧客B 顧客C
柔軟にスケールアップ
瞬時に調達 Dedicated Instance
規制に対応しなければい 物理サーバー
けないお客様のご要望に
応えるサービス
顧客A 顧客B 顧客C

28. ビジネスのためのセキュリティ考慮点
コアビジネス以外
は、AWSが対応 お客様のコアビジネス
サーバ、データ機材
サーバ
構成および運用
サービス利用妨害
サービス侵入 ネットワーク
ファシリティオペレーション
ファシリティ
ロケーション サイト
はAWSが対応

29. Amazon VPCの成功例

31. ガリバーインターナショナル様
VPC

32. UMCエレクトロニクス様
外部からのメンテナンス用
踏み台サーバ
Realtech
ベトナム 様
Elastic IP Internet接続用
Gateway
Internet-VPN
EC2 for SAP A1 NAT Instance
Singtel様 Production
IGW
Global WAN Elastic IP Internet
EC2 for SAP
Dev/Test
VPC Private Subnet VPC Public Subnet
日本 中国 SAP様
AWS Singapore Region

33. PCI DSS取得に
顧客むけのPC＆モバイル向けウェブサービス
チケット発行
迅速なPCI DSS の取得にVPCが寄与
レスポンス改善によるコンバージョンレート向上
38％以上のコスト削減

34. オンプレミスとのハイブリッド環境に
DATAPIPE社のサービス例
• Oracle DBをオンプレミスのデータセンタに設置
• 変化するリソースはAWS上

35. AWS利用例（DR環境）
既存データセンター
本番環境
DR環境
Direct Connect（専用線）
Virtual Private Cloud (VPC)
Amazon Elastic Compute
Cloud (EC2)
DR環境をAWS内で構築
利用例
これからDR環境を整備するシステム
採用事例
コスト面でDRを整備出来なかったシステム（F/S等）
通常は休止または必要最小規模で稼働

36. Amazon VPCの利用の技術

37. Amazon VPCをどう考えるか
これからの標準になるもの
ネットワークを仮想化するもの
ネットワークにまつわる多くの要望への答え
• サブネットを使った管理
• 複数ネットワークインターフェース
• 複数IPアドレス
• IPアドレスの固定
37

38. パケットの出入り管理
インスタンス単位でもセキュリティグループで
更にIN/OUTコントロール
ネットワークレイヤでIN/OUTをコントロール

39. Public subnet + Private subnet
Public subnet内に位置
Internet
インターネットとの通信が必
要ないなら不要
Internet Gateway
Security Group Security Group
NAT
Public Subnet instance Private Subnet
Virtual Private Cloud
Destination Target Destination Target
10.0.0.0/16 local 10.0.0.0/16 local
0.0.0.0/0 Internt Gateway 0.0.0.0/0 NAT Instance

40. VPC with a Single Public Subnet
EIPアドレスをパブリックインタフェースにアサイン
適用メリット
 高いセキュリティの中でWebアプリを稼働させる
 プライベートIPを用いて、インスタンスをまとめられる

41. VPC with Public
and Private Subnets
パブリックサブネットのインス
タンスには、EIPをアサインで
きる
プライベートサブネットのイン
スタンスはインターネットから
直接アクセスできない
適用メリット
 Webサーバーをパブリックサブ
ネットを稼働し、プライベートサ
ブネット内のデータベースの読
み書きを行う

42. VPC with Public
and Private Subnets and
a VPN Connection
パブリックサブネットのインスタン
スには、EIPをアサインできる
プライベートサブネットのインスタ
ンスにVPN経由でアクセス可能
適用メリット
 VPCをインターネットに接続しつつ、
データセンターをクラウド上に拡張
42

43. VPC a Private
Subnet and a VPN
Connection
VPC登場時はこの形態のみだった
全てのトラフィックは社内データセン
ターのファイヤウォール経由で行われ
る
適用メリット
 データセンターをクラウドに拡張しても、中
央集権的管理を維持する
43

44. プライベートクラウド4箇条
ビジネスアジリティ対応
コスト競争力
セキュリティ＆コンプライアンス
現実として利用できること（技術）
Amazon VPCがおこたえします

45. Amazon VPCで仮想プライ
ベートクラウドを！
Meet the SAコーナーでお待ちしています

46. バックアップ

47. アジェンダ
VPC概要
VPCを理解するためのシナリオスタディ

48. Stage 1
Stage 1
VPCをつくってみる
VPCをつくってみる

49. VPCを定義する
リージョンを選択する
IPブロックを設定する
• 最大で16ビット
Dedicated Instanceにするかどうかを選択
VPC全体のIPブロック
最大は16ビット Virtual Private Cloud
Region

50. Stage 2
パブリックサブネットの作成

51. Public Subnet
Virtual Private Cloud
VPC内にIPブロックを設定す
る
• 最大で17ビットマスク
• サブネット内の始めの4IPアドレ
スはAWSが予約
サブネットはAvailabilty Zone
(AZ)をまたがない VPC Subnet
Availability Zone
サブネットを作成

52. 注意点
デフォルト
• サブネット内での通信のための経路のみ
• Network Access Control List (NACL)はフル
オープン

53. Internet Gateway (IGW) の追加
Internet
内部のインスタンスのデフォルト
経路はIGWに向ける
経路はカスタマイズ可能 Internet
Gateway
VPC外部との通信はこのゲート
ウェイを通過する VPC Subnet
Virtual Private Cloud

54. セキュリティグループとインスタンス
Internet
セキュリティグループで
はInbound, Outboundの
フィルタ設定を行う
• Statefulなフィルタ
インスタンスにはEIPを付 Internet Gateway
与できる
インスタンス
EC2との違い Security Group
• EC2ではInboundのみ VPC Subnet
• いつでも(稼働中でも)セ
キュリティグループとイン Virtual Private Cloud
スタンスの組み合わせを変
更できる

55. VPC内のインスタンスとEC2との違い
Dedicated Instanceを選択することができる
t1.micro は使うことができない
VPC/subnet選ぶ
IPを固定できる
• グローバルIPはEIPを使うといつでも付与、変更できる
• プライベートIPを指定して起動できる

56. InstanceTypeの選択
デフォルトではDedicated Instanceは選択されない。

57. インスタンス起動

58. プライベートIPアドレスを指定
プライベートアドレスを固定可能。
無指定時は勝手にアサイン

59. インスタンスの確認
パブリックアドレスなし
プライベートアドレスを固定できる

60. EIPのひもづけ

61. EIPを確認

62. Stage 3
Create a private subnet

63. Private Subnet
Private Subnet間、Public Subnet間は自由に通信でき
る。
Private Subnet内からインターネットへ接続するときの
み「NATインスタンス」が必要
Main route table
• subnetにRouteTableを紐づけない場合は、mainが適用

64. ＮＡＴインスタンス
プライベートサブネットから、イン
ターネット接続するためのＮＡＴ
停止すると、プライベートサブネッ
トからインターネット接続が不可能
になる
• S3、SQSなども使用不可になる
3

65. NATインスタンスの起動

66. Security Group をNAT用に作成

67. Disable Source / Destination
Checking on NAT
通常のインスタンスでは発信元か宛先のIPアドレスが自
分のときのみ処理をする。NATではこのチェックが邪魔
になる。

68. EIPをNATインスタンスにつける

69. Private Subnetのルーティング更新

70. 0.0.0.0/0の追加し、NAT instance-IDへ
向ける

71. Stage 4
Connect a VPN

72. Public subnet + Private subnet +
VPN GW Corporate = 172.16.0.0/16
Internet Gateway VPN Gateway
Security Group Security Group
NAT
Public Subnet instance Private Subnet
Virtual Private Cloud = 10.0.0.0/16
Destination Target
Destination Target
10.0.0.0/16 local
10.0.0.0/16 local
0.0.0.0/0 Internt Gateway
172.16.0.0/16 VPN Gateway
0.0.0.0/0 NAT Instance

73. ハードウェアVPN
IPsec VPN
• BGP (Border gateway protocol)
• AES 128 bit の暗号化トンネル
サポート対象
• Cisco Integrated Services routers running Cisco IOS 12.4
(or later) software
• Juniper J-Series routers running JunOS 9.5 (or later)
software
• Juniper SSG/ISG running ScreenOS 6.1, or 6.2 (or later)
software
• Yamaha RTX1200 routers (Rev. 10.01.16+)

74. Phase1:IKEconfigまで
鍵ハッシュとしてSHA-1が使えるかどうか確認
共通鍵としてDH-2が使えるかどうか確認
AES 128ビット暗号が使えるかどうか確認
Mainモードが使えるかどうか確認
• AggressiveモードはID情報交換を暗号化しないため、使わない

75. Phase2: IPsec config
暗号化方法がエンド同士で一致しているかどうか確認
IPsec dead peer connectionが機能するかどうか確認
ESPプロトコルの確認

76. Phase3: IPsecトンネル
トンネルが設定される
（オプション）最大MTUが1436バイトに設定される

77. Phase4: BGPピアリング
カスタマLANとVPCサブネットをトンネルで接続
Private ASNをつかってPrimary/secondaryのフェイル
オーバー

78. Stage 5
Advanced

79. VPCの制限について
数字の制限
• ひとつのVPNゲートウェイあたり10までのIPSec接続
• 1リージョンあたり5つまでのVPNゲートウェイ
機能の制限
• ELB: VPC内部のインスタンスと組み合わせて使えない
• インターネットゲートウェイを使えばEC2,S3などほとんどの機
能は利用可
続々拡張中
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/ind
ex.html?WhatsNew.html

80. DHCPオプションの活用

81. 想定利用ケース（w/ Direct Connect）
Direct Connectを利用
 転送帯域・速度を確保
 大量の更新データを高頻度にスナップショット取得可能
Snapshots
iSCSI Storage
Gateway
S3
Local
Backup
Direct
Connect

82. Direct Connect
Copyright © 2011 Amazon Web Services

83. AWS Direct Connectの論理接続
論理的にはPublic向けと、VPC向けで異なる
AWS Cloud
EC2, S3などの
Public サービス
Zone A
専用線
相互接続ポイント
Amazon VPC
お客様
Zone B

84. AWS Direct Connect：Publicサービス
AWS Cloud
Public ASを使ったBGP接続 EC2, S3などの
Public サービス
Zone A
専用線
相互接続ポイント
Amazon VPC
お客様
Zone B
Public ASを運用

85. AWS Direct Connect：VPCサービス
Private ASを使ったBGP接続
AWS Cloud
EC2, S3などの
Public サービス
Zone A
専用線
相互接続ポイント
Amazon VPC
お客様
Private ASを使用 Zone B
== VPCをVPNで使う場合と同じ
IPSecトンネルの代わりに専用線上
のVLANがあると考えればok

86. 注意点
Public IP transitを行いません
• 複数のカスタマ間のトラフィックを直接通信するこ
とはできません
• カスタマのインターネット接続は依然として必要で
す
• EC2インスタンスをProxyとして使うなどでは可能
リージョン毎の契約です
• 東京につないで、シンガポールを使うようなことは
できません
VPCからインターネットゲートウェイを使えば
Publicサービス (S3など)を使える
86

87. AWS Direct Connectの利用
のために

88. AWS DirectConnect 接続のステップ
検討開始 Publicサー
ビスを直
接使う?
DXSPに 自社で手
依頼 配する?
Public AS
Public
DXSP: を持って
ASの取得
Direct Connect Solution Provider いる?
回線業者選定
Public 接続
接続点 回線終端装置
ラックを の置き場はあ
VPCを使
契約 る?
う?
利用開始
物理接続 VPC 接続

89. Direct Connect接続方法
AWS Direct Connect Solution Providerに依頼
する方法
お客様が自分で相互接続ポイントに直接つなぐ
方法

90. AWS DirectConnect 接続のステップ
検討開始 Publicサー
ビスを直
接使う?
DXSPに 自社で手
依頼 配する?
Public AS
Public
DXSP: を持って
ASの取得
Direct Connect Solution Provider いる?
回線業者選定
この面倒な手続が省力化されます
Public 接続
接続点 回線終端装置
ラックを の置き場はあ
VPCを使
契約 る?
う?
利用開始
物理接続 VPC 接続

91. 物理接続
1Gbpsおよび10Gbpsの接続口を提供
接続口はアベイラビリティゾーンとは独立した
別の場所
• 東京リージョンの場合は、Equinix TY2 (東京都
品川区)
DXSPを使わない場合には原則 TY2にラックを
契約して、必要な機器を設置して接続する

92. Equinixへラックを設置する方法
WANの終端装置、VLAN対応スイッチをラック内に設置
TY2では構内配線
エンド キャリア
AWS
WAN終端
装置
お客様 AWS
ラック ラック
802.1q
R １G/10G R
Equinix TY2

93. 論理接続
1Gbpsおよび10Gbpsの接続の上にVLANを設定
Publicサービス向け
1. VLANを定義
2. Public ASとPrefixをAWSに通知
VPC向け
VPCでのIPSecトン
1. VLANを定義 ネルに代わりVLAN
2. VPCを作成
3. VPNゲートウェイIDをAWSに通知

94. 論理接続形態
EC2,S3な
どのPublic
サービス
VLAN
VLAN Equinix TY２
VLAN
ラック AWSラック VPC
（ZoneA)
キャリア 10G
R R
バック
ボーン 1G
VPC
（ZoneB)
End user
（多数）
AWSの責任範囲
ネットワークプロバイダ コロケーション Public向け
またはEUの責任範囲 プロバイダ VLAN
の責任範囲
（構内配線のみ）

95. AWS Direct Connect Solution
Provider
利用者がやるべきことを肩代わり/お手伝い
• Equinix
• KVH
• NRI (野村総合研究所)
• NTT Communications
• Softbank Telecom
自由に通信回線をご用意いただけます