AWS Cloud Design Pattern for Enterprise
?
101 likes?25,068 views
2014/3/15のJAWS Days 2014セッションY創
AWS Cloud Design Pattern for Enterprise
- 1. AWS Cloud Design Pattern for Enterprise Ken Tamagawa Akio Katayama JAWS DAYS 2014
- 2. ^AWSクラウドを旋喘するHにk伏する、灸侏議な }とそれにする盾Q貨?O圭隈について、枠 繁たちの岑{を蛍かりやすく蛍して、ノウハウと して旋喘できるように屁尖したもの ̄ - Ninja of Three - AWS クラウドデザインパタ`ンとは
- 5. 徭失B初 ? 兆念: 囁寒 ? Twitter ? @KenTamagawa ? 挫きなAWSサ`ビス ? S3 ? 挫きなCDP ? Server Swapping パタ`ン
- 6. 徭失B初 ? 兆念: 頭表 俛 ? Twitter ? @c9katayama ? #ヤマン ? 挫きな冱Z ? Java,C#,ActionScript ? 挫きなCDP ? Cloud DI パタ`ン
- 7. 徭失B初 ? 兆念: 椳 崎慎 Twitter ? @suz_lab ? 挫きな冱Z ? BGP ? 挫きなCDP ? Cloud HUBパタ`ン
- 8. 云晩ごB初する エンタ`プライズ議シナリオ ? ハイブリッドh廠のネットワ`ク撹 ? ハイパフォ`マンスなI侫▲廛螢羽`ション ? クレジットカ`ド秤鵑QうI侫轡好謄 ? 二Iシステムのディザスタリカバリ
- 13. よくある屡贋のネットワ`ク撹 Internet オフィス メイン デ`タセンタ 氏芙屶o モバイル (SIM) 麼指+ ワイヤレス IP-VPN ワイヤレス 麼指+ 険指 SaaS ソリュ`シ ョン
- 17. ハイブリッドh廠のネットワ`ク撹箭 Internet オフィス メイン デ`タセンタ 仇圭/今翌 オフィス ソフトウェアVPN もしくはHTTPS BYOD モバイル 氏芙屶o モバイル (SIM) AWS Direct Connect ソフトウェア VPN HW VPN 麼指+ ワイヤレス IP-VPN ワイヤレス 麼指+ 険指 HW VPN ワイヤレス
- 18. 粥安皆とのつなぎかた
- 19. AWS Direct Connect(DX)による 喘俊A デ`タセンタ Virtual Private Cloud AWS Direct Connect = 喘俊A
- 20. ル`タを聞ったインタ`ネットVPN デ`タセンタ Virtual Private Cloud AWS Direct Connect = 喘俊A Internet 仇圭/今翌 オフィス HW VPN
- 21. ソフトウェアVPN デ`タセンタ Virtual Private Cloud AWS Direct Connect = 喘俊A Internet 仇圭/今翌 オフィス HW VPN ソフトウェアVPN BYOD モバイル ワイヤレス
- 22. HTTPS デ`タセンタ Virtual Private Cloud AWS Direct Connect = 喘俊A Internet 仇圭/今翌 オフィス HW VPN HTTPS BYOD モバイル ワイヤレス
- 23. 喘俊A(DX)の つなぎかた
- 24. AWS Direct Connect(DX)による 喘俊A デ`タセンタ Virtual Private Cloud AWS Direct Connect = 喘俊A
- 25. AWS Direct Connect(DX)による 喘俊A デ`タセンタ Virtual Private Cloud Virtual Private Cloud AWS Direct Connect = 喘俊A
- 26. Direct Connectの嶄には }方のVPC俊AをO協できる デ`タセンタ Virtual Private Cloud Virtual Private Cloud AWS Direct Connect = 喘俊A
- 27. Multi-accounts DXパタ`ン 仝DXではなるAWSアカウントで、 AWS Direct Connectをシェアできる々 デ`タセンタ Invited Account A Invited Account B AWS Direct Connect = 喘俊A
- 29. VPCgどうしのネットワ`クU揃 デ`タセンタ Virtual Private Cloud Virtual Private Cloud
- 30. ヘアピンDXパタ`ン VPCgのネットワ`ク俊AをDXU喇で デ`タセンタ Virtual Private Cloud Virtual Private Cloud
- 31. ソフトウェアVPNを聞って VPCg揖平をつなぐ Corporate Data center Virtual Private Cloud Virtual Private Cloud
- 32. 喘俊A(DX)の 庇L晒
- 33. Redundant DXパタ`ン デ`タセンタ Virtual Private Cloud AWS Direct Connect = 喘俊A
- 34. Hybrid VPN Connectionパタ`ン デ`タセンタ Virtual Private Cloud AWS Direct Connect = 喘俊A インタ`ネットVPN
- 35. 鴛永-閣永鰻利もからめると
- 37. IP-VPC DXパタ`ン オフィス メイン デ`タセンタ AWS Direct Connect 麼指+ ワイヤレス IP-VPN 麼指+ 険指
- 39. これまでのを まとめると
- 40. ハイブリッドh廠のネットワ`ク撹箭 オフィス メイン デ`タセンタ 氏芙屶o モバイル (SIM) AWS Direct Connect 麼指+ ワイヤレス IP-VPN ワイヤレス 麼指+ 険指
- 43. ハイブリッドh廠のネットワ`ク撹箭 Internet オフィス メイン デ`タセンタ 今翌オフィス 氏芙屶o モバイル (SIM) AWS Direct Connect ソフトウェア VPN HW VPN 麼指+ ワイヤレス IP-VPN ワイヤレス 麼指+ 険指 HW VPN
- 44. ハイブリッドh廠のネットワ`ク撹箭 Internet オフィス メイン デ`タセンタ 今翌オフィス ソフトウェアVPN もしくはHTTPS BYOD モバイル 氏芙屶o モバイル (SIM) AWS Direct Connect ソフトウェア VPN HW VPN 麼指+ ワイヤレス IP-VPN ワイヤレス 麼指+ 険指 HW VPN ワイヤレス
- 48. Self Healing パタ`ン ? インスタンスを軟噤瓠▲ぅ鵐好織鵐貢塢 でデ`タI囃のマウントをg仏 ? Cloud DIパタ`ンを穩 ? g廾 ? AutoScalingをmin 1,max 1で セットする ? Fail瘁にAMIから軟咾靴織ぅ鵐 タンスから、EBSなどをマウン ト ? ヘルスチェックはOサ`ビス やELBも旋喘辛嬬
- 49. Synchronized Disk パタ`ン ? 慌嗤ディスクを聞ったフェイルオ`バ`を gFしたい ? g廾 ? EC2を}方岬軟咾掘△修譴召譴縫禰` タI囃喘のEBSをマウントする ? デ`タソフトウェアを秘し、デ`タ を揖豚する ? DRBD ? CLUSTERPRO ? DataKeeper など
- 50. Ondemand Disk パタ`ン ? ストライピングに紗えて、 EBS恷m晒インスタンスや Provisioned IOPSを旋喘 ? 互いディスクIO來嬬や、芦協したIOが駅勣
- 51. High Availability NAT パタ`ン ? SPOFとなるNATサ`バを庇L晒したい ? g廾 ? NATサ`バを2岬軟咾掘 source/destチェックを翌す ? 頭圭のインスタンスをインタ` ネットゲ`トウェイとして鞠h ? NATインスタンスがダウンしたr 泣で、ル`ティングテ`ブルを きQえる
- 52. ? その麿パタ`ン
- 53. High Availability Forward Proxy パタ`ン ? ELBProxy+AutoScalingでのg廾 ? Squid, ExaProxyなどのProxyサ`バ を聞喘 ? 旋泣 ? 嬾墾k伏rでも徭啜弔忙甠垢 ? PROXY何蛍でログが函れる ? 之泣 ? アプリ/OSごとのプロキシO協が 駅勣 ? 翌何俊A喘のProxyを庇L晒したい
- 54. On-premise Load Balancing パタ`ン ? アクセス圷のシステムの脅栽貧、屡贋の撹を筝せずにクラウド のスケ`ルメリットを伏かしたい ? オンプレのLBのバックエンドに、∀襯稀`バを塘崔する ? アクセス圷システムの脅栽 ? アクセスIPアドレスを笋┐蕕 ない ? WAF/IDSの尅り枠がIPアドレ スしか鞭け原けない ? J^やコンテントベ`ス尅り蛍 けなど、聞いたいLBのC嬬があ る
- 55. Floating VPN Gateway パタ`ン ? テストなどで、揖匯ネットワ`クI囃のh廠を}方旋喘したい ? クラウド貧に揖匯ネットワ`クI囃のh廠を}方喘吭し、VPNの俊 A笥をつけかえることでh廠を俳り紋える
- 57. 並箭 コイニ`幄塀氏芙
- 58. 和のガイドラインをベ`スにCDPを屁 尖してみる https://www.pcisecuritystandards.org/pdfs/PCI_D SS_v2_Cloud_Guidelines.pdf PCI DSS Cloud Computing Guideline AWS PCI Compliance Package (NDAベ`ス) http://aws.amazon.com/jp/compliance/
- 59. PCIデ`タセキュリティ児 古勣 芦畠なネットワ`クのBと S隔 勣周1 カ`ド氏Tデ`タを隠oするために、ファイアウォ`ルをインス ト`ルして撹をS隔する 勣周2 システムパスワ`ドおよび麿のセキュリティパラメ`タにベンダ戻 工のデフォルト、鯤荒辰靴覆 カ`ド氏Tデ`タの隠o 勣周3 隠贋されるカ`ド氏Tデ`タの隠o 勣周4 オ`プンな巷慌ネットワ`クU喇でカ`ド氏Tデ`タを史佑垢 栽、圧催晒する 巌樋來砿尖プログラムの屁 勣周5 アンチウィルスソフトウェアまたはプログラムを聞喘し、協豚議に 厚仟する 勣周6 芦畠來の互いシステムとアプリケ`ションを_kし、隠便する 耕なアクセス崙囮返隈の 秘 勣周7 カ`ド氏Tデ`タへのアクセスを、I嬋榔慴な貭擇勃届泙垢 勣周8 コンピュ`タにアクセスできる光ユ`ザに匯吭のID を護り輝てる 勣周9 カ`ド氏Tデ`タへの麗尖アクセスを崙泙垢 ネットワ`クの協豚議なO およびテスト 勣周10 ネットワ`クリソ`スおよびカ`ド氏Tデ`タへのすべてのアクセ スを弖EおよびOする 勣周11 セキュリティシステムおよびプロセスを協豚議にテストする 秤鵐札ュリティポリシ`の 屁 勣周12 すべての毅輝宀の秤鵐札ュリティポリシ`を屁笋垢
- 60. PCI-DSS覆しているAWSサ`ビス as of 2014/03/14 ? Amazon DynamoDB / Amazon SimpleDB ? Amazon Elastic Block Storage (Amazon EBS) ? Amazon Elastic Compute Cloud (Amason EC2) ? Amazon Elastic Map Reduce (Amazon EMR) ? Amazon Glacier ? Amazon Redshift ? Amazon Relational Database Service (Amazon RDS) ? Amazon Simple Storage Service (Amazon S3) ? Amazon Virtual Private Cloud (Amason VPC) ? AWS CloudHSM ? AWS Direct Connect ? AWs Identity and Access Management (IAM) ? Elastic Load Balancing (ELB) ? 貧の児Aとなる麗尖インフラストラクチャと AWS 砿尖h廠 ? 貧に協xされているサ`ビスの AWS PCI の譴蓮△垢戮討 AWS デ`タセンタ`リ`ジョンと侭にm喘されます。
- 61. Chained Defense-in-Depthパタ`ン VPN Web Web App App NAT Web Web App App NAT VPN k侮契囮とは、謹方 の契囮貨を謹啜弔 仏すことで、リスク をXpする碧Mみ レイヤ阿縫汽屮優 トを蛍けル`ティン グを砿尖 レイヤ阿縫札ュリ ティグル`プを蛍け 駅勣何蛍のみつなぐ
- 62. Chained Defense-in-Depthパタ`ン VPN Web Web App App NAT Web Web App App NAT VPN WebTierAppTierDBTierPublicFacing VPN NFW IPS/I DS WAF AV VPN NFW IPS/I DS WAF AV VPN NFW IPS/I DS WAF AV
- 63. ELB End-to-End Encryptionパタ`ン ELBでSSL termination SSLI尖をELBでg仏 ^苧の砿尖がS Web Web Web Web WebTier Backend-SSLでY箸皸戯纏 畠宥佚U揃の圧催晒 SSL termination Backend SSL
- 64. High Availability Forward Proxy パタ`ン ? ELBProxy+AutoScalingでのg廾 ? Squid, ExaProxyなどのProxyサ`バ を聞喘 ? 旋泣 ? 嬾墾k伏rでも徭啜弔忙甠垢 ? PROXY何蛍でログが函れる ? 之泣 ? アプリ/OSごとのプロキシO協が 駅勣 ? 翌何俊A喘のProxyを庇L晒したい
- 69. 歌深: Storage/Data Security EC2 EBS S3 Glacier Encryption Client Key Management File Encryption Full Disk Encryption Database Encryption AWS Server Side Encryption Key Management File Encryption Full Disk Encryption Database Encryption AWS Server Side Encryption File Encryption Full Disk Encryption Database Encryption AWS Server Side Encryption S3 Glacier On premise Encryption Client EC2 On premise
- 71. ディザスタリカバリ ? ディザスタリカバリD (DR) とは徭隼頂?繁議頂Πk 伏rに二Iが室g議なインフラストラクチャを畺匹發 くは@Aさせるために笋垢誨止Bのプロセス?ポリシ `?および返のこと ? クラウドでの盾Q ? DRにかかる嚠麻やオンプレミスのITYbを雙える ? セカンダリの麗尖デ`タセンタ`の茅肇 ? テ`プバックアップ?ア`カイブの芦畠な鯉{ ? DR十Qしたいn} ? 恍書の嶷勣トピックだが、gFできている二Iは謹くない
- 73. ? g廾 ? アプリケ`ションは、オンプレ/AWSにデプロイ ? DBは揖豚きzみをg仏DB Replication Pattern) ? すべてのシステムを軟咾靴討く Hot Standby DC @A議 辛喘來 オンプレミス - AWS AWS - AWS
- 74. ? g廾 ? アプリケ`ションは、オンプレ/AWSにデプロイ ? デプロイ瘁、DRサイト箸離▲廛螢稀`バは唯峭 ? DBは揖豚もしくは掲揖豚できzみ Warm Standby DC 互い辛喘來 オンプレミス - AWS AWS - AWS
- 75. ? g廾 ? アプリケ`ションはDRにデプロイ瘁唯峭 ? DBはデ`タをS3に協豚バックアップ/Snapshot ? 頂Πk伏rはS3からリストア Cold Standby DC スタンバイ システム オンプレミス - AWS AWS - AWS
- 76. デ`タ リカバリのみVirtual Cloud Storage ? 屡贋のバックアップ圭塀の筝にはコストがかかる ? オンプレミスに、徭啜弔縫ラウドにデ`タをアップロ`ドするス トレ`ジアプライアンスを塘崔し、屡贋バックアップにMみzむ ? アプライアンス ? AWS Storage Gateway ? Stored or Cached Volume ? LTV(Virtual Tape Library) ? Riverbed Whitewater ? S3NAS(QNAP,Buffalo)
- 77. まとめ
- 78. 云晩ごB初した エンタ`プライズ議シナリオ ? ハイブリッドh廠のネットワ`ク撹 ? ハイパフォ`マンスなI侫▲廛螢羽`ション ? クレジットカ`ド秤鵑QうI侫轡好謄 ? 二Iシステムのディザスタリカバリ
- 79. Resources ? AWSクラウドデザインパタ`ン Webサイト ? http://aws.clouddesignpattern.org/ ? http://en.clouddesignpattern.org (哂Z ? Facebookペ`ジ ? https://www.facebook.com/awscdp ? Cacoo CDP テンプレ`ト ? https://cacoo.com/store/templates/category/10018 ? 汐 ? Oガイド ? http://www.amazon.co.jp/dp/4822211983 ? g廾ガイド ? http://www.amazon.co.jp/dp/4822211967 ? Kindle井Oガイド ? http://www.amazon.co.jp/dp/B00I3XD0I0/