2014 qbr: campaign marketing...3 aws 初心者向けwebinar のご紹介 •aws...
TRANSCRIPT
2016 / 02 / 23アマゾン ウェブ サービス ジャパン 株式会社ソリューション アーキテクト吉田 英世
【 AWS 初心者向け Webinar 】
AWSとのネットワーク接続入門
2
ご質問を受け付け致します!
質問を投げることができます!• Adobe Connect のチャット機能を使って、質問を書き
込んでください。(書き込んだ質問は、主催者にしか見えません)
• 最後の Q&A の時間で可能な限り回答させていただきます。
①画面右下のチャットボックスに質問を書き込んでください
②吹き出しマークで送信してください
3
AWS 初心者向け Webinar のご紹介
• AWS についてこれから学ぶ方向けのソリューションカットの Webinar です
• 過去の Webinar 資料– AWS クラウドサービス活用資料集ページにて公開
http://aws.amazon.com/jp/aws-jp-introduction/
• イベントの告知– 国内のイベント・セミナースケジュールページにて告知
http://aws.amazon.com/jp/about-aws/events/(オンラインセミナー枠)
4
自己紹介
名前:吉田 英世 (@aquaviter)
所属:アマゾン ウェブ サービス ジャパン株式会社技術本部 ストラテジックソリューション部
ソリューションアーキテクト
経歴:インフラエンジニア(ネットワーク)IoTプラットフォーム アーキテクト
5
今日のトピック
オフィスやデータセンターを
VPN専用線
を利用して、どのように AWS と接続するか?
Web
サーバ
6
アジェンダ
VPNを接続してみる
専用線を接続してみる
いろいろなネットワーク接続
よくあるご質問
まとめ
7
アジェンダ
VPNを接続してみる
専用線を接続してみる
いろいろなネットワーク接続
よくあるご質問
まとめ
8
AWSのアカウントをゲット!
手始めに社内向けプロジェクトのWebサーバをAWSで構築しよう!
みんなに社内LANからアクセスしてもらうにはどうすればいい?
プロジェクト担当
9
AWSのアカウントをゲット!
手始めに社内向けWebサーバをAWSで構築しよう!
みんなに社内LANからアクセスしてもらうにはどうすればいい?
そんなときはVPN接続をまず試してみよう!
プロジェクト担当
10
AWSのVPN接続を使えば社内からAWS上のWebサーバにアクセス可能!
プライベートIPで接続可能!小規模システム/検証/管理用に!VPN接続も冗長化!
VPC Subnet オフィス
Web
サーバ
11
VPN接続で必要なモノ
インターネットと直接通信可能な固定の
パブリックIPアドレス
VPN接続に対応している
ルータ対応ルータ:https://aws.amazon.com/jp/vpc/faqs/
12
実際に作ってみよう!
13
“VPCウィザードの開始”をクリック
14
“プライベートのサブネットおよびハードウェアVPNアクセスを持つVPC”をクリック。
15
赤枠の部分を入力
16
拠点側のルータ情報とルーティングを選択
用意したパブリックIPアドレスを入力
17
拠点側のルータ情報とルーティングを選択
静的(スタティック)
動的(BGP)
18
作成完了!
19
VPNルータの設定をダウンロード
ネットワーク担当者に渡して設定してもらいましょう
20
拠点側のルータに設定
21
VPN接続完了
22
VPNの価格
https://aws.amazon.com/jp/vpc/pricing/
1 時間当たり 0.048 USD/VPN 接続(東京リージョンへの接続)
1ヶ月あたり35.14 USD ≒¥4,0001 時間当たり 0.048 USD/VPN 接続(東京リージョンへの接続)
AWSから拠点へのデータ転送量1 GB当たり ~0.09USD(東京リージョン)
+
このデータ転送量
23
アジェンダ
VPNを接続してみる
専用線を接続してみる
いろいろなネットワーク接続
よくあるご質問
まとめ
24
社内のいろんなプロジェクトでAWSが使われ始めて、重要なシステムも稼働するようになってきた。
トラフィックも増えてきてるし、可用性も心配。
このままVPNを使っていくべき?
ネットワーク管理者
25
社内のいろんなプロジェクトでAWSが使われ始めて、重要なシステムも稼働するようになってきた。
トラフィックも増えてきてるし、可用性も心配。
このままVPNを使っていくべき?
ネットワーク管理者
専用線(Direct Connect)に切り替えましょう!
26
AWSのDirect Connectを使えば一貫性のあるネットワークアクセスでAWSにアクセス可能!
安定・大容量の帯域が必要なサービスに!
オフィス
Web
サーバ
切替
27
専用線(AWS Direct Connect)とは?
お客様
AWS CloudEC2, S3などのPublic サービス
Amazon VPC
相互接続ポイント専用線サービス
AWSとお客様設備(データセンター、オフィス、またはコロケーション)
の間に専用線を利用したプライベート接続を提供するサービス
東京リージョンの場合、エクイニクス様TY2(東京)、OS1(大阪)
28
Direct Connectの物理接続
Equinix様のデータセンターでコロケーション契約を行い、AWSのルータが設置されているラックと構内配線で物理接続を行なう
東京(TY2)大阪(OS1)
相互接続ポイント(Equinix様の東京(TY2)/大阪(OS1)のデータセンター)にあるAWSルータと物理的な接続が必要
29
Direct Connectの構成
or
専用線
拠点
拠点
拠点
広域網
拠点
AWSルータ
ネットワーク機器
AWSユーザユーザ 回線事業者
相互接続ポイント
30
相互接続ポイントではAWSがデータセンター内にルータを設置して、物理ポートをユーザ向けに提供
or
専用線
拠点
拠点
拠点
広域網
拠点
AWSルータ
ネットワーク機器
AWSユーザユーザ 回線事業者
相互接続ポイント
AWSが物理ポートを準備している
31
ユーザも同じデータセンターに機器を設置し、構内配線でAWSルータと物理的に接続する
or
専用線
拠点
拠点
拠点
広域網
拠点
AWSルータ
ネットワーク機器
AWSユーザユーザ 回線事業者
相互接続ポイント
ユーザが機器を用意してAWSルータへ接続する
(ラックも準備)
32
各拠点への引き込みは従来の回線事業者の専用線や広域網を利用
or
専用線
拠点
拠点
拠点
広域網
拠点
AWSルータ
ネットワーク機器
AWSユーザユーザ 回線事業者
相互接続ポイント
拠点への引き込みは従来の専用線と広域網などの回線事業者のサービスを利用
回線を引くだけのために相互接続ポイントに新規で設備を準備(ラック借用、機器設置、etc…)は非常に大変
34
拠点からAWSへの接続をまとめてパートナーに依頼することが可能
or
専用線
拠点
拠点
拠点
広域網
拠点
AWSルータ
ネットワーク機器
AWSユーザ パートナー
相互接続ポイント
パートナーがサービスとして提供
35
相互接続ポイント(Equinix TYx/OS1など)にすでに設備を保有している、または保有する予定があるか?
パートナーのサービスを利用相互接続ポイント内の構内配線でDirect Connectを接続
自社でやるか?パートナーにまかせるか?
Yes No
パートナーに依頼するとなった場合、どのパートナーのどのサービスを選択するのがいいの?
37
キーワードは・・・
占有型 共有型と
38
Direct Connectの物理接続と論理接続の関係
VLAN200
VLAN100
VLAN300
Connection
Virtual Interface
Virtual Interface
Virtual Interface
Connectionと言われる物理接続の中に、Virtual Interfaceという論理接続が存在している。Virual InterfaceはVLANと同じ扱い。Virtual InterfaceはひとつのVPCの仮想プライベートゲートウェイのみに接続
39
マネージメントコンソール上でConnectionsとVirtual Interfacesとして確認可能
40
サービス選定のポイントは物理か論理のどちらの単位で契約するか?
VLAN200
VLAN100
VLAN300
Connection
Virtual Interface
Virtual Interface
Virtual Interface
Connection(物理接続)単位で契約するか?
Virtual Interface(論理接続)単位で契約するか?
41
占有型と共有型の違い
VLAN200
VLAN100
VLAN300
Connection
Virtual Interface
Virtual Interface
Virtual Interface
Connection(物理接続)単位で契約するか?
Virtual Interface(論理接続)単位で契約するか?
物理回線をユーザ自身が
で占有するので占有型
物理回線を他のユーザと
共有するので共有型
占有型と共有型はどういうときに選べばいいの?
43
利用予定のVPCの数で判断
VPCが多数存在する場合、占有型の方がコスト効率が良い
Connectionを契約Virtual Interfaceを複数作っても価格は一定
ConnectionはパートナーVirtual Interfaceごとに契約が必要VPCが増える毎に価格も増加
占有型 共有型
44
ラストワンマイル(拠点接続)の接続で判断
回線事業者広域網
広域網サイト間ポイントツーポイント
占有型/共有型の両方対応
共有型のみ対応(※)
※:詳細はパートナー様にお問い合わせください。
45
占有型と共有型の違い占有型 共有型
物理接続の管理
エンドユーザのAWSアカウントでConnection(物理接続)を管理する
パートナーのAWSアカウントでConnection(物理接続)を管理する
契約単位 Connection(物理接続) Virtual Interface(論理接続)
帯域 1Gbps or 10Gbps 50M,100M,200M,300M,400M,500M,1Gbps(※)
BGP設定 ユーザ自身が決定できる パートナーが決定
納期 イニシャルは拠点までのラストワンマイルはほぼ同じ
納期(Virtual Interface)
自前でVirtual Interfaceが作成できるため早い
パートナーに発注が必要なため占有型と比べ遅い
パブリック接続 可能 事業者に要確認
※: Sub-1Gを利用しているパートナーから提供
46
Sub-1G共有型のサービス提供(パートナー向け情報)
A株式会社
B株式会社
C株式会社
自社回線サービス
Connections(物理接続)
Virtual Interface
Sub-1Gを契約したパートナーは、帯域が選択できるVirtual Interfaceを作成することが可能
パートナー様のメリット・ポート料金をエンドユーザ課金に
することが可能
エンドユーザのメリット・1Gbps以下の帯域を選択可能
47
こんなときは占有型、共有型どっち?
1Gbps~10Gbpsの広帯域を利用予定
たくさんのVPCをすべて社内のデータセンターと接続
すでに拠点間接続で広域網が整備されていて、AWSのVPCも拠点のひとつとして扱う 共有型
占有型
占有型
48
Direct Connectを提供しているパートナー
http://aws.amazon.com/jp/directconnect/partners/
リストに掲載されていないパートナー様もいらっしゃるため、詳細は弊社担当窓口にお問い合わせください。
アルテリア・ネットワークス株式会社(※)Coltテクノロジー株式会社(※)野村総合研究所(NRI)NTTコミュニケーションズ株式会社NTTPCコミュニケーションズ株式会社ソフトバンク株式会社株式会社TOKAIコミュニケーションズ(※)
※:占有型をご提供いただいているパートナー
49
Direct Connectの実現パターンはこの3つ!
占有型をパートナーに依頼する
共有型をパートナーに依頼する
自前で相互接続ポイントに設備を置く
50
占有型をパートナーに依頼する場合
マネージメントコンソールでConnection
作成
AWSの確認メールに
返信AWS側工事開始
LOA-CFAをAWSから受領、パートナーに
転送
LOA-CFAを元にパートナー側で構内配線工事
物理回線開通!
マネージメントコンソールで
Virtual Interface作成
拠点側ルータ設定
利用開始!
LOA-CFA: Letter of Authority and Connecting Facility Assignmentデータセンター内のファシリティ間の接続許可証
パートナーに回線利用
申込
51
マネージメントコンソールでConnectionを作成
AWSマネージメントコンソールにログインし、”Tokyo”リージョンを選択。
[Services]-[Networking]-[Direct Connect]をクリック。
“Connections”の”Create Connection”をクリック。
52
マネージメントコンソールでConnectionを作成必要な項目を入力し、”Create”をクリック。
Connection Name: コネクション名(任意の文字列)Location: Equinix TY2, Tokyo または OS1 OsakaPort Speed: 1Gbps or 10Gbps
53
AWSの確認応答メールに返信
Subject: [aws-xxxx-0001] Welcome to AWS Direct Connect
Body:Dear AWS Customer,You recently ordered a connection (dxcon-abcdefgh) using the AWS Direct Connect Console.We need additional information to help process your request. Please email us the data centerwhere you have equipment or, if apporopriate, network provider you are using to connect.
利用の意思を確認するために、AWSマネージメントコンソールのメールアドレス宛に以下のようなメールが届く(72時間以内)
APNパートナー様の回線を利用している場合はAPNパートナー様の名前を返信。5日以内に応答しないと作成したConnectionは削除。
AWS側で返信を受け取ったらAWS側の工事開始。
54
LOA-CFAを受領し、パートナーへ転送
AWSと物理的な配線を行うためのLOA-CFAという文書がメールで到着。
LOA-CFAの情報をパートナーに送付。パートナー側で該当のポートへ接続するための手続きを実施。
55
物理配線完了!
配線が完了すると、AWSマネージメントコンソールの[Direct Connect]-[Connections]から回線を確認することができます。
56
マネージメントコンソールからVirtual Interfaceを作成
57
拠点側ルータ設定
Virtual Interfaceの詳細画面からサンプルコンフィグ(Cisco/Juniperのみ)をダウンロード可能
58
開通!
BGPの設定が完了しBGPピアがupしたら、ステータスが”available”になる
59
共有型をエンドユーザが利用する場合
マネージメントコンソールで
Virtual Interfaceを仮想プライベート
ゲートウェイに割当て
拠点側ルータ設定
利用開始!パートナーに
回線利用申込
Virtual Interfaceを作成するのはパートナー
60
パートナーがVirtual Interfaceを作成するとユーザのマネージメントコンソールで確認できる
Connectionを持っているパートナーがVirtual Interfaceを作成
パートナーのコンソール
ユーザのコンソール
ユーザのコンソール上にVirtualInterfaceが現れる
注:VLANやAS番号などの設定はパートナーが決めるためユーザ側では設定できない
61
拠点側ルータ設定は占有型と同じ、でもサンプルコンフィグのダウンロードはできない
共有型の場合はパートナー側で設定する場合が多いもし自社で設定するためにサンプルコンフィグが必要な場合はパートナーに連絡
62
そして開通!
BGPの設定が完了しBGPピアがupしたら、ステータスが”available”になる
63
自前で相互接続ポイントに設備を準備する場合
マネージメントコンソールでConnection
作成
AWSの確認メールに
返信AWS側工事開始
LOA-CFAをAWSから受領、
Equinixに工事申込
LOA-CFAを元にEqunixで
構内配線工事
物理回線開通!
マネージメントコンソールで
Virtual Interface作成
拠点側ルータ設定
利用開始!
手順は占有型とほぼ同じ、配線は相互接続ポイントのデータセンターに依頼
64
Direct Connectの価格例(1Gbps:占有型)
1ヶ月あたり208.62 USD ≒¥24,0001 時間当たり 0.285 USDのポート料金(東京リージョンへの接続)
拠点へのデータ転送料1 GB当たり 0.042 USD(東京リージョン)
+
https://aws.amazon.com/jp/directconnect/pricing/
パートナーの回線・サービス費用
+
65
Direct Connectを検討するにあたり・・・
ネットワーク管理者をはじめの段階から巻き込みましょう!
Direct Connectに必要な技術的な知識・BGPでの接続・社内ネットワークとの接続・ルータの設定・etc…
66
アジェンダ
VPNを接続してみる
専用線を接続してみる
いろいろなネットワーク接続
よくあるご質問
まとめ
67
マルチVPCへのVPN接続
VPN
VPN1台のパブリックIPアドレスで複数のVPCの仮想プライベートゲートウェイに接続可能
68
Direct ConnectとVPNで複数拠点を集約
大阪支店
東京本社
データセンター
Direct ConnectとVPCはひとつに仮想プライベートゲートウェイに接続し、ルーティング可能
69
広域網による接続
回線事業者広域網
AWSに向けてデフォルトルートしか広告できないor経路集約できない(AWSは100までしか受信できない)
AS番号は回線事業者側で指定
冗長化する場合は複数契約
BGP属性値付与による経路優先はできない
詳細はパートナー様にお問い合わせください。
70
東京/大阪での高可用性Direct Connect接続
EquinixTY2
(東京)
EquinixOS1(大阪)
相互接続ポイント自体を冗長化することが可能ポート料金、トラフィック料金は東阪どちらも同じ
71
海外拠点の接続
Sinnet(北京)
EquinixTY2(東京)
国際広域網 中国リージョン
アジアリージョン
事業者の国際広域網で接続
ルータ
中国支店
東京本社
72
数百拠点の接続
サードパーティのルータを利用・仮想プライベートゲートウェイでは
VPN接続数に制限がある(デフォルト10)・VPN費用が高額になる
VPN
ルータ
CiscoPaloAltoSophos
73
数百拠点の接続(海外)
WaaS中国リージョン
アジアリージョン
ルータ東京POP
中国POP
中国店舗
東京本社専用線またはVPN 東京データセンター
74
数百デバイスのVPN接続
サードパーティまたはオープンソースのルータを利用
VPN
ルータ
CiscoOpenVPN
SSL-VPN
SSL-VPNは端末接続向けIPsec-VPNは拠点間接続向け
75
AWSクラウドとの接続(プロキシ利用)
AWSクラウドとは?VPC上ではない、パブリックなIPアドレスで構成されたサービスのエンドポイントが稼働しているネットワーク(例:S3, DynamoDB, SQS..)
プロキシ
VPCエンドポイント
(S3)
プロキシを仲介してAWSクラウドにアクセスプロキシ無しでVPCをホップしてアクセスできない
76
AWSクラウドとの接続(パブリック接続利用)
Direct Connectのパブリック接続を使って各リージョンのAWSクラウドのネットワークとピア接続
Direct Connectパブリック接続
77
アジェンダ
VPNを接続してみる
専用線を接続してみる
その他の接続
よくあるご質問
まとめ
78
Q. Direct ConnectやVPNに接続されているVPCから別のVPCにVPC Peering経由で通信できないの?
A. できません。
すべてのVPCのVGWに直接接続してください。
79
Q. Direct Connectを契約したAWSアカウントとは別のAWSユーザにも利用させたい
A. 可能です。Connectionsを情シスのまとめアカウントで作成して、Virtual Interfaceを利用アカウントに振り分けることができます。
80
Q. パートナーはどんなサービスを提供しているか?
A. VPN/Direct Connect関連でいろいろなサービスを提供していただいています。・占有型/共有型
・相互接続ポイントから拠点までの専用線、広域網・相互接続ポイントでの機器設置、コロケーション・拠点ルータのマネージドサービス・Direct Connect/VPN(バックアップ)の接続サービス・社内との接続も含めたネットワーク設計
81
Q. 大手キャリアの広域網サービスを契約中だが、どのようにDirect Connectを接続すればいいか?
A. 大手のキャリア様に共有型のサービスをすでに提供いただいています。キャリアのご担当者にご確認ください。
VPCが多い、帯域が1Gbps以上必要な場合は主要拠点からの占有型
の接続もご検討ください。
82
Q. Direct Connectを冗長化のために2本契約したけど、AWS側は物理的に冗長化されている?
A. AWS側では、複数回線申し込んでいただいた場合は物理的に冗長化されるようにポートをアサインしています。サポートに問い合わせをいただければ、物理接続が冗長化されて
いるか調査の上回答させていただきます。マネージメントコンソールからconnectionのID”dxcon-xxxx”を添えてケースを起票してください。
83
Q. VPNからDirect Connectには簡単に移行できる?
A. できます。
VPNが接続されている仮想プライベートゲートウェイに、
Direct Connectをそのまま接続することができます。Direct Connectが接続された場合、必ずDirect Connect側が優先されるのでご注意ください。
84
Q. 東京リージョンの相互接続ポイントからシンガポールリージョンのVPCにDirect Connectで接続できますか?
A. リージョンをまたいで直接接続することはできません。
各リージョンの相互接続ポイントから接続する必要があります。
東京からシンガポールの相互接続ポイントに国際の広域網もしくはWaaSなどを利用して接続してください。国際網をお持ちのパートナー(Level3様など)にご相談いただくことも可能です。
85
Q. 拠点とAWSの間はL2接続は可能?
A. できません。
拠点とAWS間はL3のルーティングのみとなります。
86
アジェンダ
VPNを接続してみる
専用線を接続してみる
その他の接続
よくあるご質問
まとめ
87
まとめ
• 検証や監視/メンテナンス目的ではVPN、サービスでの利用は専用線(Dicrect Connect)がおすすめ
• Direct Connect接続は要件を整理して、占有型/共有型どちらの接続が良いか事前にしっかり検討
• ネットワーク管理者やパートナーとの連携は必須
88
参考資料
- 初心者Webinar AWS上でのネットワーク構築http://www.slideshare.net/AmazonWebServicesJapan/webinar-aws-43351630
- BlackBelt Tech Webinar –VPC-http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-amazon-vpc-47025202
- BlackBelt Tech Webinar -Direct Connect-http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-aws-direct-connect
89
Q&A
90
AWS専用線アクセス体験ラボ sponsored by Intel
http://aws.amazon.com/jp/dx_labo/
■事前に設定を確認したい■フェイルオーバー時の動作を確認したい■スループットがどれだけなのか実際に試してみたい■自前のルータがDirect Connectに接続できるか確認したい
・・・などなど
お問い合わせは営業・SAまで!
91
詳しくは、http://aws.amazon.com/training をご覧ください
メリット
• AWS について実習や実践練習を通じて学習できる
• AWS を熟知したエキスパートから直接 AWS の機能について学び、疑問の答えを得られる
• 自信をもって IT ソリューションに関する決定を下せるようになる
提供方法
e ラーニングや動画
セルフペースラボ
クラスルームトレーニング
AWSトレーニングでは様々な学習方法をご提供しています
92
公式Twitter/FacebookAWSの最新情報をお届けします
@awscloud_jp
検索
最新技術情報、イベント情報、お役立ち情報、お得なキャンペーン情報などを日々更新しています!
もしくはhttp://on.fb.me/1vR8yWm
93
AWS Black Belt Tech Webinar 2016
AWSのサービスをディープにご紹介
• 2月24日(水)18:00〜 Amazon WorkDocs & WorkMail
• 申し込みサイト
– http://aws.amazon.com/jp/about-aws/events/
94
AWSの導入、お問い合わせのご相談
• AWSクラウド導入に関するご質問、お見積り、資料請求をご希望のお客様は、以下のリンクよりお気軽にご相談くださいhttps://aws.amazon.com/jp/contact-us/aws-sales/
※「AWS 問い合わせ」で検索してください
ご清聴ありがとうございました!