狠狠撸

狠狠撸Share a Scribd company logo

础奥厂の滨笔惫6対応状况蔼闯础奥厂-鲍骋大阪

?
?
Yasuhiro Araki, Ph.D
Yasuhiro Araki, Ph.D

础奥厂の滨笔惫6対応状况の解説です。あわせて歴史なども

1 of 31
Amazon Web Services (AWS)におけるIPv6対応 状況 @JAWS-UG大阪 2017.08.09 荒木靖宏 (yasuarak@amazon.co.jp) Amazon Web Services Principal Solutions Architect Sr. Manager, Solutions Architecture
自己紹介 名前 ? 荒木 靖宏 所属 ? アマゾンウェブサービスジャパン ? 技術統括本部レディネスソリューション部 シニアマネージャ
Agenda ? AWSのIPv6は世界中で使える話 ? AWSのIPv6対応の歴史とサービス紹介 ? 痴笔颁での滨笔惫6利用法深掘り
础奥厂の滨笔惫6対応状况蔼闯础奥厂-鲍骋大阪
AWSのIPv6対応は中国以外の全てですすめ られている Region & Number of Availability Zones AWS GovCloud (2) EU Ireland (3) US West Frankfurt (2) Oregon (3) London (2) Northern California (3) Asia Pacific US East Singapore (2) N. Virginia (5), Ohio (3) Sydney (2), Tokyo (3), Seoul (2), Mumbai (2) Canada Central (2) China Beijing (2) South America S?o Paulo (3) Announced Regions Paris, Ningxia, Sweden, Hong-Kong, Osaka IPv4 Only
Account Support Support Managed Services Professional Services Partner Ecosystem Training & Certification Solution Architects Account Management Security & Pricing Reports Technical Acct. Management Marketplace Business Applications DevOps Tools Business Intelligence Security Networking Database & Storage SaaS Subscriptions Operating Systems Mobile Build, Test, Monitor Apps Push Notifications Build, Deploy, Manage APIs Device Testing Identity Enterprise Applications Document Sharing Email & Calendaring Hosted Desktops Application Streaming Backup Game Development 3D Game Engine Multi-player Backends Mgmt. Tools Monitoring Auditing Service Catalog Server Management Configuration Tracking Optimization Resource Templates Automation Analytics Query Large Data Sets Elasticsearch Business Analytics Hadoop/Spark Real-time Data Streaming Orchestration Workflows Managed Search Managed ETL Artificial Intelligence Voice & Text Chatbots Machine Learning Text-to- Speech Image Analysis IoT Rules Engine Local Compute and Sync Device Shadows Device Gateway Registry Hybrid Devices & Edge Systems Data Integration Integrated Networking Resource Management VMware on AWS Identity Federation Migration Application Discovery Application Migration Database Migration Server Migration Data Migration Infrastructure Regions Availability Zones Points of Presence Compute Containers Event-driven Computing Virtual Machines Simple Servers Auto Scaling Batch Web Applications Storage Object Storage Archive Block Storage Managed File Storage Exabyte-scale Data Transport Database MariaDB Data Warehousing NoSQLAurora MySQL Oracle SQL ServerPostgreSQL Application Services Transcoding Step Functions Messaging Security Certificate Management Web App. Firewall Identity & Access Key Storage & Management DDoS Protection Application Analysis Active Directory Dev Tools Private Git Repositories Continuous Delivery Build, Test, and Debug Deployment Networking Isolated Resources Dedicated Connections Load Balancing Scalable DNSGlobal CDN The AWS Platform
IPv6の対応 https://aws.amazon.com/jp/blogs/news/new-ipv6-support-for-ec2-instances-in-virtual-private-clouds/ 10.0.1.0/24 プライベート サブネット 10.0.0.0 /16 10.0.2.0/24 オフィス データセンター Direct Connect Amazon S3 Application Load Balancer AWS WAF IoT、S3、CloudFront、WAF、Route53に続きVPC、ALBがIPv6対応 上記のような構成をIPv4/IPv6デュアルスタックで構築可能 EC2EC2EC2 Amazon CloudFront Amazon Route 53 WEB Internet gateway Egress-only Gateway(EGW) を利用して IPv6においてもプライベート利用が可能 Basion 2001:db8:1234:1a01::/64 2001:db8:1234:1a00::/64 2001:db8:1234:1a00::/56 Egress-only Internet Gateway Internet EC2 パブリック サブネット AWS IoT
? Working Backwards すべてはお客様から逆に考える "We work backwards from the customer, rather than starting with an idea for a product and trying to bolt customers onto it."
Classic Load Balancer (CLB) 特徴 (https://aws.amazon.com/jp/elasticloadbalancing/classicloadbalancer/) ? 複数のAmazon EC2インスタンスに負荷分散 ? 複数のアベイラビリティゾーンに跨って、高レベルの 耐障害性を実現 ? CLB自体が自動的にキャパシティを増減 ? IPv4動作のバックエンドホストの前面でIPv6を変換 (EC2-Classicネットワーク向け) 価格体系 (https://aws.amazon.com/jp/elasticloadbalancing/classicloadbalancer/pricing/) ? CLBの起動時間 ? CLBのデータ転送量 レイヤー4および7のロードバランサー アベイラビリティ ゾーン a ユーザー アベイラビリティ ゾーン b CLB EC2 EC2 myLB-xxx.elb.amazonaws.com
贰尝叠における滨笔惫6はオプトイン
Web向けIPv6サポートは2011年5月から 2011.June.8のWorld IPv6 dayでは、実際に多くの AWS顧客がこの機能を使 用して対応
AWS IoT 特徴 (https://aws.amazon.com/jp/iot/) ? デバイスとクラウドの双方向コミュニケーション ? HTTP、MQTT、Websocketに対応 ? SQLベースのルールとアクション定義 ? AWSサービスとのシームレスな連携 ? デバイス向けのSDK 価格体系 (https://aws.amazon.com/jp/iot/pricing/) ? 100万メッセージあたり$8(日本リージョン) ? 無料利用枠利用は25万メッセージ/月を(1年間) 簡単で安全なクラウドへのデバイス接続サービス 様々な産業での利用 アーキテクチャ図
Amazon Simple Storage Service (S3) 特徴 (http://aws.amazon.com/jp/s3/) ? 高い堅牢性 99.999999999% ? 格納容量無制限。利用した分のみ課金 ? 様々なAWSサービスと連携するセンタースト レージ ? APIおよびRESTのWebサーバ機能を持つ 価格体系 (http://aws.amazon.com/jp/s3/pricing/) ? データ格納容量 ? データ転送量(OUT) ? APIリクエスト数 マネージドオンラインストレージサービス Amazon S3
Amazon CloudFront 特徴 (http://aws.amazon.com/jp/cloudfront/) ? 簡単にサイトの高速化が実現できると共に、サー バの負荷も軽減 ? 様々な規模のアクセスを処理することが可能 ? 世界70箇所のエッジロケーション 価格体系 (http://aws.amazon.com/jp/cloudfront/pricing/) ? データ転送量(OUT) ? HTTP/HTTPSリクエスト数 ? (利用する場合)SSL独自証明書 など マネージドCDN(Contents Delivery Network)サービス クライアント レスポンス向上 負荷軽減 Amazon CloudFront キャッシュ 配信 オフロード Webサーバ
AWS WAF(Web Application Firewall) 特徴 (https://aws.amazon.com/jp/waf/) ? カスタムルールによるアクセス制御を実現 ? SQLインジェクションやXSS攻撃などへの対応が 可能。APIを利用した動的なルールの変更もサポ ート ? CloudFrontとALB(Application Load Balancer)で利 用できる 価格体系 (https://aws.amazon.com/jp/waf/pricing/) ? ウェブACLの数とルール数 ? リクエスト数 AWSが提供するウェブアプリケーションファイアウォール
Amazon Route53 特徴 (http://aws.amazon.com/jp/route53/) ? 高い可用性:Amazon Route53は世界中に配置されたサー バーによって、非常に高い可用性を提供。 ? 多様な機能:管理ホストに対するヘルスチェックや様々な アルゴリズムによるラウンドロビンなど、柔軟なアプリケー ションの運用を助ける機能が豊富。 ? アプリケーションの内部DNSをとしても利用可能。 価格体系 (http://aws.amazon.com/jp/route53/pricing/) ? 非常に低価格なのが特徴。 ? ホストするゾーンあたり 0.5USD/月 ? 標準クエリ: 10億クエリあたり0.4USD 高い可用性と豊富な機能を提供するフルマネージドな権威DNS ? 各ネームサーバは冗長化され世界中に分 散配置。 ? IP Anycast ? ヘルスチェック/DNSフェイルオーバー ? 重み付けラウンドロビン ? レイテンシーベースルーティング ? ジオルーティング ? ドメイン取得と管理 ? AAAA, Query in IPv6 Route53の特徴的な機能
Application Load Balancer (ALB) ? 特徴 (https://aws.amazon.com/elasticloadbalancing/applicationloadbalancer/) – レイヤー7のコンテントベースで、 ターゲットグループに対してルーティング – コンテナベースのアプリケーションのサポート – WebSocket, HTTP/2, IPv6, AWS WAF をサポート – 複数のアベイラビリティゾーンに跨って、 高レベルの耐障害性を実現 – ALB自体が自動的にキャパシティを増減 ? 価格体系 (https://aws.amazon.com/jp/elasticloadbalancing/applicationloadbalancer/pricing/) – ALBの起動時間 – Load Balancer Capacity Units (LCU)の使用量 レイヤー7のコンテントベースのロードバランサー アベイラビリティ ゾーン a ユーザー アベイラビリティ ゾーン b ALB EC2 myLB-xxx.elb.amazonaws.com EC2 EC2 ターゲットグループ ターゲットグループ
東京リージョン Amazon Virtual Private Cloud (VPC) 特徴 (http://aws.amazon.com/jp/vpc/) ? AWS上にプライベートネットワークを構築 ? AWSと既存環境のハイブリッド構成を実現 ? きめ細かいネットワーク設定が可能 価格体系 (http://aws.amazon.com/jp/vpc/pricing/) ? VPCの利用は無料 仮想プライベートクラウドサービス VPC ( 172.16.0.0/16) 既存システム プライベート サブネット パブリック サブネット インターネット VPN or 専用線 ネットワークを 要件に応じて設定 インターネット ゲートウェイ
専用線(Direct Connect)接続構成 バーチャル プライベート ゲートウェイ カスタマ ゲートウェイ 相互接続ポイント (Equinix TY2 or OS1) ?AWSとお客様設備を専用線で ネットワーク接続 ?相互接続ポイントへ専用線を敷設 し、AWSのルータと相互接続 ?日本の相互接続ポイントは 東京(Equinix TY2) 大阪(Equinix OS1) ?ルーティングはBGPのみ ?接続先は以下の2つ VPC(プライベート接続) AWSクラウド(パブリック接続) ?VPNよりも一貫性がある ?帯域のパフォーマンスも向上 ?ネットワークコストも削減
コンセプト:IPv6 in Amazon VPC ? IPv6を有効にした場合には、デュアルスタックとなる 10.0.3.3 - 54.0.0.3 Instance 10.0.0.0/16 10.0.3.0/24 2001:db8::/64 2001:db8::3 Subnet 2001:db8::/56
コンセプト:IPv6 in Amazon VPC ? IPv4がデフォルト。 IPv6 はオプトイン My VPCs My Subnets
コンセプト:IPv6 in Amazon VPC インスタンス情報
コンセプト:IPv6グローバルユニキャストアドレス ? IPv6を有効にしたVPCではグローバルユニキャストアドレス (GUA)を使う ? それぞれのインスタンスはGUAが付与される ? 1:1のNATは存在しない ? GUAの使用はセキュリティやプライバシ問題発生を意味しな い。ルートテーブル、セキュリティグループ、ゲートウェイは別 途設定する。
EIGW X 10.0.3.3 - 54.0.0.3 Instance 2001:db8::3 Subnet Egress-only Internet Gateway ? IPv6インターネットアクセスのため の仮想デバイスを導入 ? コスト負担なし ? パフォーマンスや可用性の制限 はない
コンセプト: セキュリティグループ、ルートテーブル、NACL ? IPv6もIPv4も同様に設定、動作する Example Security Group Rules
VPCにおけるIPv4とIPv6の特徴と制限 IPv4 IPv6 アドレス体系 32bit 128bit VPCでの利用 デフォルトで適用 オプトイン (自動適用ではなく任意) CIDRブロックサイズ 16?28bitで選択 自分で任意のアドレスを設定可能 56bit固定 Amazon保有のprefixから自動で56bit CIDRが アサインされる(選べない) サブネット ブロックサイズ 16?28bitで選択 64bit固定 パブリックIP/ プライベートIP それぞれ存在 (NATを介してパブリックIPをプライマリプライ ベートIPにMAP) パブリックのみ (プライベートにするにはEgress-only Internet Gatewayを利用) インスタンスタイプ 全てのインスタンスタイプ M3、G2を除く全ての現行世代の インスタンスタイプでサポート アマゾン提供DNS プライベートIP、Elastic IPに対する それぞれのDNSホスト名を受信 提供されるDNSホスト名はなし 閉域接続 VPN、DirectConnect DirectConnectのみ http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpc-ip-addressing.html
VPC Flow Logsとは ?ネットワークトラフィックをキャプチャ し、CloudWatch LogsへPublishする機能 ?ネットワークインタフェースを送信元/ 送信先とするトラフィックが対象 ?セキュリティグループとネットワークACL のルールでaccepted/rejectされた トラフィックログを取得 ?キャプチャウインドウと言われる時間枠 (約10分間)で収集、プロセッシング、 保存 ?追加料金はなし(CloudWatch Logsの標準 料金は課金)
利用例:Elasticsearch Service + kibanaによる可視化 VPC CloudWatch Logs Elasticsearch Service kibana Elasticsearchへ PUT https://blogs.aws.amazon.com/security/post/Tx246GOZNFIW79N/How-to- Optimize-and-Visualize-Your-Security-Groups
まとめ
AWSのIPv6対応は中国以外の全てですすめ られている IPv6 available 15 Regions – 40 Availability Zones – 68 Edge Locations Region & Number of Availability Zones AWS GovCloud (2) EU Ireland (3) US West Frankfurt (2) Oregon (3) London (2) Northern California (3) Asia Pacific US East Singapore (2) N. Virginia (5), Ohio (3) Sydney (2), Tokyo (3), Seoul (2), Mumbai (2) Canada Central (2) China Beijing (2) South America S?o Paulo (3) Announced Regions Paris, Ningxia IPv4 Only
IPv6の対応 https://aws.amazon.com/jp/blogs/news/new-ipv6-support-for-ec2-instances-in-virtual-private-clouds/ 10.0.1.0/24 プライベート サブネット 10.0.0.0 /16 10.0.2.0/24 オフィス データセンター Direct Connect Amazon S3 Application Load Balancer AWS WAF IoT、S3、CloudFront、WAF、Route53に続きVPC、ALBがIPv6対応 上記のような構成をIPv4/IPv6デュアルスタックで構築可能 EC2EC2EC2 Amazon CloudFront Amazon Route 53 WEB Internet gateway Egress-only Gateway(EGW) を利用して IPv6においてもプライベート利用が可能 Basion 2001:db8:1234:1a01::/64 2001:db8:1234:1a00::/64 2001:db8:1234:1a00::/56 Egress-only Internet Gateway Internet EC2 パブリック サブネット AWS IoT

More Related Content

础奥厂の滨笔惫6対応状况蔼闯础奥厂-鲍骋大阪

  • 1. Amazon Web Services (AWS)におけるIPv6対応 状況 @JAWS-UG大阪 2017.08.09 荒木靖宏 (yasuarak@amazon.co.jp) Amazon Web Services Principal Solutions Architect Sr. Manager, Solutions Architecture
  • 2. 自己紹介 名前 ? 荒木 靖宏 所属 ? アマゾンウェブサービスジャパン ? 技術統括本部レディネスソリューション部 シニアマネージャ
  • 5. AWSのIPv6対応は中国以外の全てですすめ られている Region & Number of Availability Zones AWS GovCloud (2) EU Ireland (3) US West Frankfurt (2) Oregon (3) London (2) Northern California (3) Asia Pacific US East Singapore (2) N. Virginia (5), Ohio (3) Sydney (2), Tokyo (3), Seoul (2), Mumbai (2) Canada Central (2) China Beijing (2) South America S?o Paulo (3) Announced Regions Paris, Ningxia, Sweden, Hong-Kong, Osaka IPv4 Only
  • 6. Account Support Support Managed Services Professional Services Partner Ecosystem Training & Certification Solution Architects Account Management Security & Pricing Reports Technical Acct. Management Marketplace Business Applications DevOps Tools Business Intelligence Security Networking Database & Storage SaaS Subscriptions Operating Systems Mobile Build, Test, Monitor Apps Push Notifications Build, Deploy, Manage APIs Device Testing Identity Enterprise Applications Document Sharing Email & Calendaring Hosted Desktops Application Streaming Backup Game Development 3D Game Engine Multi-player Backends Mgmt. Tools Monitoring Auditing Service Catalog Server Management Configuration Tracking Optimization Resource Templates Automation Analytics Query Large Data Sets Elasticsearch Business Analytics Hadoop/Spark Real-time Data Streaming Orchestration Workflows Managed Search Managed ETL Artificial Intelligence Voice & Text Chatbots Machine Learning Text-to- Speech Image Analysis IoT Rules Engine Local Compute and Sync Device Shadows Device Gateway Registry Hybrid Devices & Edge Systems Data Integration Integrated Networking Resource Management VMware on AWS Identity Federation Migration Application Discovery Application Migration Database Migration Server Migration Data Migration Infrastructure Regions Availability Zones Points of Presence Compute Containers Event-driven Computing Virtual Machines Simple Servers Auto Scaling Batch Web Applications Storage Object Storage Archive Block Storage Managed File Storage Exabyte-scale Data Transport Database MariaDB Data Warehousing NoSQLAurora MySQL Oracle SQL ServerPostgreSQL Application Services Transcoding Step Functions Messaging Security Certificate Management Web App. Firewall Identity & Access Key Storage & Management DDoS Protection Application Analysis Active Directory Dev Tools Private Git Repositories Continuous Delivery Build, Test, and Debug Deployment Networking Isolated Resources Dedicated Connections Load Balancing Scalable DNSGlobal CDN The AWS Platform
  • 7. IPv6の対応 https://aws.amazon.com/jp/blogs/news/new-ipv6-support-for-ec2-instances-in-virtual-private-clouds/ 10.0.1.0/24 プライベート サブネット 10.0.0.0 /16 10.0.2.0/24 オフィス データセンター Direct Connect Amazon S3 Application Load Balancer AWS WAF IoT、S3、CloudFront、WAF、Route53に続きVPC、ALBがIPv6対応 上記のような構成をIPv4/IPv6デュアルスタックで構築可能 EC2EC2EC2 Amazon CloudFront Amazon Route 53 WEB Internet gateway Egress-only Gateway(EGW) を利用して IPv6においてもプライベート利用が可能 Basion 2001:db8:1234:1a01::/64 2001:db8:1234:1a00::/64 2001:db8:1234:1a00::/56 Egress-only Internet Gateway Internet EC2 パブリック サブネット AWS IoT
  • 8. ? Working Backwards すべてはお客様から逆に考える "We work backwards from the customer, rather than starting with an idea for a product and trying to bolt customers onto it."
  • 9. Classic Load Balancer (CLB) 特徴 (https://aws.amazon.com/jp/elasticloadbalancing/classicloadbalancer/) ? 複数のAmazon EC2インスタンスに負荷分散 ? 複数のアベイラビリティゾーンに跨って、高レベルの 耐障害性を実現 ? CLB自体が自動的にキャパシティを増減 ? IPv4動作のバックエンドホストの前面でIPv6を変換 (EC2-Classicネットワーク向け) 価格体系 (https://aws.amazon.com/jp/elasticloadbalancing/classicloadbalancer/pricing/) ? CLBの起動時間 ? CLBのデータ転送量 レイヤー4および7のロードバランサー アベイラビリティ ゾーン a ユーザー アベイラビリティ ゾーン b CLB EC2 EC2 myLB-xxx.elb.amazonaws.com
  • 12. AWS IoT 特徴 (https://aws.amazon.com/jp/iot/) ? デバイスとクラウドの双方向コミュニケーション ? HTTP、MQTT、Websocketに対応 ? SQLベースのルールとアクション定義 ? AWSサービスとのシームレスな連携 ? デバイス向けのSDK 価格体系 (https://aws.amazon.com/jp/iot/pricing/) ? 100万メッセージあたり$8(日本リージョン) ? 無料利用枠利用は25万メッセージ/月を(1年間) 簡単で安全なクラウドへのデバイス接続サービス 様々な産業での利用 アーキテクチャ図
  • 13. Amazon Simple Storage Service (S3) 特徴 (http://aws.amazon.com/jp/s3/) ? 高い堅牢性 99.999999999% ? 格納容量無制限。利用した分のみ課金 ? 様々なAWSサービスと連携するセンタースト レージ ? APIおよびRESTのWebサーバ機能を持つ 価格体系 (http://aws.amazon.com/jp/s3/pricing/) ? データ格納容量 ? データ転送量(OUT) ? APIリクエスト数 マネージドオンラインストレージサービス Amazon S3
  • 14. Amazon CloudFront 特徴 (http://aws.amazon.com/jp/cloudfront/) ? 簡単にサイトの高速化が実現できると共に、サー バの負荷も軽減 ? 様々な規模のアクセスを処理することが可能 ? 世界70箇所のエッジロケーション 価格体系 (http://aws.amazon.com/jp/cloudfront/pricing/) ? データ転送量(OUT) ? HTTP/HTTPSリクエスト数 ? (利用する場合)SSL独自証明書 など マネージドCDN(Contents Delivery Network)サービス クライアント レスポンス向上 負荷軽減 Amazon CloudFront キャッシュ 配信 オフロード Webサーバ
  • 15. AWS WAF(Web Application Firewall) 特徴 (https://aws.amazon.com/jp/waf/) ? カスタムルールによるアクセス制御を実現 ? SQLインジェクションやXSS攻撃などへの対応が 可能。APIを利用した動的なルールの変更もサポ ート ? CloudFrontとALB(Application Load Balancer)で利 用できる 価格体系 (https://aws.amazon.com/jp/waf/pricing/) ? ウェブACLの数とルール数 ? リクエスト数 AWSが提供するウェブアプリケーションファイアウォール
  • 16. Amazon Route53 特徴 (http://aws.amazon.com/jp/route53/) ? 高い可用性:Amazon Route53は世界中に配置されたサー バーによって、非常に高い可用性を提供。 ? 多様な機能:管理ホストに対するヘルスチェックや様々な アルゴリズムによるラウンドロビンなど、柔軟なアプリケー ションの運用を助ける機能が豊富。 ? アプリケーションの内部DNSをとしても利用可能。 価格体系 (http://aws.amazon.com/jp/route53/pricing/) ? 非常に低価格なのが特徴。 ? ホストするゾーンあたり 0.5USD/月 ? 標準クエリ: 10億クエリあたり0.4USD 高い可用性と豊富な機能を提供するフルマネージドな権威DNS ? 各ネームサーバは冗長化され世界中に分 散配置。 ? IP Anycast ? ヘルスチェック/DNSフェイルオーバー ? 重み付けラウンドロビン ? レイテンシーベースルーティング ? ジオルーティング ? ドメイン取得と管理 ? AAAA, Query in IPv6 Route53の特徴的な機能
  • 17. Application Load Balancer (ALB) ? 特徴 (https://aws.amazon.com/elasticloadbalancing/applicationloadbalancer/) – レイヤー7のコンテントベースで、 ターゲットグループに対してルーティング – コンテナベースのアプリケーションのサポート – WebSocket, HTTP/2, IPv6, AWS WAF をサポート – 複数のアベイラビリティゾーンに跨って、 高レベルの耐障害性を実現 – ALB自体が自動的にキャパシティを増減 ? 価格体系 (https://aws.amazon.com/jp/elasticloadbalancing/applicationloadbalancer/pricing/) – ALBの起動時間 – Load Balancer Capacity Units (LCU)の使用量 レイヤー7のコンテントベースのロードバランサー アベイラビリティ ゾーン a ユーザー アベイラビリティ ゾーン b ALB EC2 myLB-xxx.elb.amazonaws.com EC2 EC2 ターゲットグループ ターゲットグループ
  • 18. 東京リージョン Amazon Virtual Private Cloud (VPC) 特徴 (http://aws.amazon.com/jp/vpc/) ? AWS上にプライベートネットワークを構築 ? AWSと既存環境のハイブリッド構成を実現 ? きめ細かいネットワーク設定が可能 価格体系 (http://aws.amazon.com/jp/vpc/pricing/) ? VPCの利用は無料 仮想プライベートクラウドサービス VPC ( 172.16.0.0/16) 既存システム プライベート サブネット パブリック サブネット インターネット VPN or 専用線 ネットワークを 要件に応じて設定 インターネット ゲートウェイ
  • 19. 専用線(Direct Connect)接続構成 バーチャル プライベート ゲートウェイ カスタマ ゲートウェイ 相互接続ポイント (Equinix TY2 or OS1) ?AWSとお客様設備を専用線で ネットワーク接続 ?相互接続ポイントへ専用線を敷設 し、AWSのルータと相互接続 ?日本の相互接続ポイントは 東京(Equinix TY2) 大阪(Equinix OS1) ?ルーティングはBGPのみ ?接続先は以下の2つ VPC(プライベート接続) AWSクラウド(パブリック接続) ?VPNよりも一貫性がある ?帯域のパフォーマンスも向上 ?ネットワークコストも削減
  • 20. コンセプト:IPv6 in Amazon VPC ? IPv6を有効にした場合には、デュアルスタックとなる 10.0.3.3 - 54.0.0.3 Instance 10.0.0.0/16 10.0.3.0/24 2001:db8::/64 2001:db8::3 Subnet 2001:db8::/56
  • 21. コンセプト:IPv6 in Amazon VPC ? IPv4がデフォルト。 IPv6 はオプトイン My VPCs My Subnets
  • 22. コンセプト:IPv6 in Amazon VPC インスタンス情報
  • 23. コンセプト:IPv6グローバルユニキャストアドレス ? IPv6を有効にしたVPCではグローバルユニキャストアドレス (GUA)を使う ? それぞれのインスタンスはGUAが付与される ? 1:1のNATは存在しない ? GUAの使用はセキュリティやプライバシ問題発生を意味しな い。ルートテーブル、セキュリティグループ、ゲートウェイは別 途設定する。
  • 24. EIGW X 10.0.3.3 - 54.0.0.3 Instance 2001:db8::3 Subnet Egress-only Internet Gateway ? IPv6インターネットアクセスのため の仮想デバイスを導入 ? コスト負担なし ? パフォーマンスや可用性の制限 はない
  • 26. VPCにおけるIPv4とIPv6の特徴と制限 IPv4 IPv6 アドレス体系 32bit 128bit VPCでの利用 デフォルトで適用 オプトイン (自動適用ではなく任意) CIDRブロックサイズ 16?28bitで選択 自分で任意のアドレスを設定可能 56bit固定 Amazon保有のprefixから自動で56bit CIDRが アサインされる(選べない) サブネット ブロックサイズ 16?28bitで選択 64bit固定 パブリックIP/ プライベートIP それぞれ存在 (NATを介してパブリックIPをプライマリプライ ベートIPにMAP) パブリックのみ (プライベートにするにはEgress-only Internet Gatewayを利用) インスタンスタイプ 全てのインスタンスタイプ M3、G2を除く全ての現行世代の インスタンスタイプでサポート アマゾン提供DNS プライベートIP、Elastic IPに対する それぞれのDNSホスト名を受信 提供されるDNSホスト名はなし 閉域接続 VPN、DirectConnect DirectConnectのみ http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpc-ip-addressing.html
  • 27. VPC Flow Logsとは ?ネットワークトラフィックをキャプチャ し、CloudWatch LogsへPublishする機能 ?ネットワークインタフェースを送信元/ 送信先とするトラフィックが対象 ?セキュリティグループとネットワークACL のルールでaccepted/rejectされた トラフィックログを取得 ?キャプチャウインドウと言われる時間枠 (約10分間)で収集、プロセッシング、 保存 ?追加料金はなし(CloudWatch Logsの標準 料金は課金)
  • 28. 利用例:Elasticsearch Service + kibanaによる可視化 VPC CloudWatch Logs Elasticsearch Service kibana Elasticsearchへ PUT https://blogs.aws.amazon.com/security/post/Tx246GOZNFIW79N/How-to- Optimize-and-Visualize-Your-Security-Groups
  • 30. AWSのIPv6対応は中国以外の全てですすめ られている IPv6 available 15 Regions – 40 Availability Zones – 68 Edge Locations Region & Number of Availability Zones AWS GovCloud (2) EU Ireland (3) US West Frankfurt (2) Oregon (3) London (2) Northern California (3) Asia Pacific US East Singapore (2) N. Virginia (5), Ohio (3) Sydney (2), Tokyo (3), Seoul (2), Mumbai (2) Canada Central (2) China Beijing (2) South America S?o Paulo (3) Announced Regions Paris, Ningxia IPv4 Only
  • 31. IPv6の対応 https://aws.amazon.com/jp/blogs/news/new-ipv6-support-for-ec2-instances-in-virtual-private-clouds/ 10.0.1.0/24 プライベート サブネット 10.0.0.0 /16 10.0.2.0/24 オフィス データセンター Direct Connect Amazon S3 Application Load Balancer AWS WAF IoT、S3、CloudFront、WAF、Route53に続きVPC、ALBがIPv6対応 上記のような構成をIPv4/IPv6デュアルスタックで構築可能 EC2EC2EC2 Amazon CloudFront Amazon Route 53 WEB Internet gateway Egress-only Gateway(EGW) を利用して IPv6においてもプライベート利用が可能 Basion 2001:db8:1234:1a01::/64 2001:db8:1234:1a00::/64 2001:db8:1234:1a00::/56 Egress-only Internet Gateway Internet EC2 パブリック サブネット AWS IoT

Editor's Notes

  • #2: 例えば御社システム、一般的なクラウドという環境での、1つのセキュリティ話、オペレーション話、マネジメント話、苦労話、などなどお話いただける90x2=180分という講義をお願いできないかな、というご相談でございます。 もちろん社外秘的なことは不要ですし、御社のシステムベースのお話でも問題ございません。 そのあたりは、逆に学生に伝えたいといったことをお話いただけるだけでも十分でございます。 ------------ 一般消費者向けネットワークサービスでも、特定の組織向けのネットワークサービスでも多くはメガクラウドと言われる大規模クラウド事業者のサービス上に構築されることが増えてきました。 利用者は、メガクラウドのサービスを理解し、そのサービスがどのようにサービスを行っているかを知っておくことは意味のあることです。 セキュリティという一面だけを取り上げても、 事業者 がクラウドのセキュリティを管理している一方で、クラウドにおけるセキュリティは利用者の責任となります。 利用者 は、所有するコンテンツ、プラットフォーム、アプリケーション、システムおよびネットワークを保護するためにどのようなセキュリティを実装するかについて 管理権限を保持しています。 これはオンサイトのデータセンターのそれとなんら変わることはありません。 ただし、その規模が大幅に異なること、データセンターが提供するサービスよりも多岐にわたることから、多くの知見を有しています。 本講義では、最大のメガクラウドとして知られる、AWS(Amazon Web Service)を題材に扱う。
  • #6: And finally… lots of options for global deployment. Gartner estimates that AWS has significantly more compute capacity than all other major cloud providers combined, and we do that while providing extremely high reliability. We currently provide 15 regions and 40 availability zones (or AZ’s). For us, a region will always contain at least two AZ’s on wholly separate power grids and flood plains, and an AZ is always comprised of multiple data centers to provide redundancy within the AZ. We don’t build single data center regions, because it wouldn’t offer the reliability required for enterprise businesses. ? This highly available global network allows you deploy your applications near your customers much faster and simpler than what can be achieved with a traditional model.
  • #16: ウェブ ACL の料金?(すべての利用可能なリージョン) ウェブ ACL あたり 5 USD/月 ルールの料金?(すべての利用可能なリージョン) ウェブ ACL ごとに 1 ルールあたり 1 USD/月
  • #20: ?次はDirect Connect ?AWSとオンプレミスを専用線で接続 ?相互接続ポイントにAWSのルータがあり、そこまでキャリアさんのサービスなどを利用してを専用線を敷設していただければAWSのルータに接続し、直接VPCと通信できますよというサービス ?相互接続ポイントは日本では東京、大阪のエクイニクスにある
  • #28: ?VPC Flow Logsとは、簡単にいうとVPC内のインスタンスやAWSリソースのトラフィックのログをCloudWatch Logsといわれるログを収集するサービスに送る機能のこと ?ENIで扱うトラフィックが対象となり、セキュリティグループやネットワークACLのルールでAccept/Rejectされた通信が取得できる ?10分間のキャプチャウインドウという枠の中で収集される ?AWSの他のサービス、例えばRDS、Redshift、Elasticache、Workspacesで作成されたENIもキャプチャ可能 ?追加料金はかからないが、Cloudwatch Logsの標準料金はかかる($0.76/GBの取り込み、$0.33/GBの保存)
  • #29: もう一つの利用例はトラフィックパターンをElasticsearch serviceのkibanaで可視化するという事例になります。 VPC Flow Logsで取得したトラフィックを
  • #31: And finally… lots of options for global deployment. Gartner estimates that AWS has significantly more compute capacity than all other major cloud providers combined, and we do that while providing extremely high reliability. We currently provide 15 regions and 40 availability zones (or AZ’s). For us, a region will always contain at least two AZ’s on wholly separate power grids and flood plains, and an AZ is always comprised of multiple data centers to provide redundancy within the AZ. We don’t build single data center regions, because it wouldn’t offer the reliability required for enterprise businesses. ? This highly available global network allows you deploy your applications near your customers much faster and simpler than what can be achieved with a traditional model.