AWS DirectConnect テストラボ トレーニング1~∼VPN+DX アマゾンデータサービスジャパン プリンシパルソリューションアーキテクト 荒⽊木靖宏 ! VPCのVPNサービス Public subnet + Private subnet + VPN Corporate = 172.16.0.0/16 GW Virtual Private Cloud = 10.0.0.0/16 Internet Gateway Security Group Public Subnet Destination Target 10.0.0.0/16 local 0.0.0.0/0 Internt Gateway VPN Gateway NAT instance Security Group Private Subnet Destination Target 10.0.0.0/16 local 172.16.0.0/16 VPN Gateway 0.0.0.0/0 NAT Instance ハードウェアVPN • IPsec VPN – – – – AES 128 bit の暗号化トンネル Pre-‐‑‒shared キーを使⽤用して、IKE セキュリティ接続を確⽴立立 SHA-‐‑‒1 ハッシュ 「グループ2」モードでのDH Perfect Forward Secrecy • 暗号化の前にパケットの断⽚片化を実⾏行行する • 経路路 – BGP (Border gateway protocol) または – Static 対応ルータ • http://aws.amazon.com/jp/vpc/faqs/#C9 • 対応ルータでは設定サンプルを提供 • BGP – Astaro, Cisco, Fortigate, Juniper(J, SRX, SSG, ISG), PaloAlto, Vyatta, Yamaha RTX1200等 • Static – Cisco(ASA5500, ISR), Juniper (J, SRX, SSG, ISG), windows server 2008R2以降降、Yamaha RTX1200等 事前の準備 • ハードウェアルータ • Public IPアドレス – Virtual Gateway (VGW)との通信に使⽤用 – VPCの数だけ必要。同⼀一リージョンでの重 複はできない。 • IKE(UDP port 500)とIPsec(IP Protocol 50)への通信が可能なこ と – ISPでの制限、FWの存在に注意 – NAT-‐‑‒T(UDP port 4500へのfallback)は使⽤用 できません。 VPNの設定 VPCダッシュボードから 「Start VPC Wizard」を選択 「Hardware VPN Access」 があるWizardを選択 CustomerGatewayとプロトコル選択 拠点側のVPNルータのグロ ーバルIPアドレスを指定 VPN通信プロトコルを BGPかStaticかを選択 Staticの場合には、拠点側の Subnetを指定する ※「Add」を忘れずに VPCとSubnetのCIDR指定及び確認 VPCとPrivateSegmentの SubnetのCIDRを 変更更します 内容を確認後、 内容 「Create VPC」を押下 VPCとPrivate Segment作成処理理中 作成完了了後 拠点側のVPNルータに設定す るConfigを⼊入⼿手 VPNルータ設定⽤用Configダウンロード 拠点側のVPNルータの以下の 情報を選択します 1)ベンダー名 2)機種 3)OSバージョン 「Yes,Download」を選択し、Configをダウンロードします ! AWS DirectConnect AWS Direct Connectの特徴 • 帯域スループット向上 • インターネットベースの接続よりも⼀一貫性がある • ネットワークコスト削減 AWS Cloud EC2, S3などの Public サービス 専⽤用線 サービス お客様 相互接続ポイント Amazon VPC AWS Direct Connectの物理理接続 AWS Cloud EC2, S3などの Public サービス 専⽤用線 お客様 相互接続ポイント コロケへの専⽤用線引き込みと違ってサー バ設置場所を限定しない。 相互接続ポイントはサーバのあるゾーン ではない場所 Zone A Amazon VPC Zone AWS Direct Connectの物理理接続 AWS Cloud EC2, S3などの Public サービス 専⽤用線 相互接続ポイント お客様 東京リージョンにおいてはEquinix TY2 Zone A Amazon VPC Zone AWS Direct Connectの論論理理接続 • 論論理理的にはPublic向けと、VPC向けで異異なる AWS Cloud • BGPによる接続 EC2, S3などの Public サービス 専⽤用線 お客様 相互接続ポイント Zone A Amazon VPC Zone B AWS Direct Connect 詳細内容(エンドユーザ向け) • AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供 • リージョン毎に契約 • 多くの容量量が必要な場合、複数の接続のプロビジョニングが可能 – 専⽤用線サービスは、お客様が下記の選択肢から選択 1. お客様⾃自⾝身がエクイニクス相互接続ポイントに専⽤用線を直 接つなぐ 2. 通信事業者,APNの接続サービスを利利⽤用 AWS Direct Connect Sub-‐‑‒1G(APN向け) • AWSがAPNに対して無償で物理理ポートを提供 • シェーピングをしたVLANで分離離された論論理理ポート • エンドユーザが利利⽤用料料をAWSに⽀支払い – 500M, 400M, 300M, 200M, 100M, 50M • http://aws.amazon.com/directconnect/ pricing/ Direct Connect 課⾦金金体系 • ⽉月額利利⽤用料料は下記の計算で課⾦金金されます AWS Direct Connectの⽉月額利利⽤用料料 = ① ポート使⽤用料料 + ② データ転送料料 APNにより拡張された AWS Direct Connectサービス • 相互接続ポイントにおける接続装置等の設置場 所 – 専⽤用線とのパッケージ提供する場合も • 10Mbps, 100Mbps等1Gbps よりも狭帯域の サービス • お客様指定の場所から相互接続ポイントまでの アクセス • 広域WANで複数拠点からAWSへの接続 AWS Direct Connect:Publicサービス Public IPを使ったBGP接続 専⽤用線 AWS Cloud EC2, S3などの Public サービス 相互接続ポイント お客様 Private ASの場合はそのIPアドレ スはAWSとの通信専⽤用になる Zone A Amazon VPC Zone AWS Allocated Public IP • AWSの持つIPアドレスを割り当てるサービス – Public IPを持たない(割り出せない)ユーザ向け AWS Direct Connect:Publicサービス(AWS Allocated IP) Public IPを使ったBGP接続 専⽤用線 AWS Cloud EC2, S3などの Public サービス 相互接続ポイント お客様 IPアドレスはAWSとの通信専⽤用に なる Zone A Amazon VPC Zone AWS Direct Connect:VPCサービス Private ASを使ったBGP接続 専⽤用線 AWS Cloud EC2, S3などの Public サービス 相互接続ポイント お客様 Private ASを使⽤用 == VPCをVPNで使う場合と同じ IPSecトンネルの代わりに専⽤用線上 のVLANがあると考えればok Zone A Amazon VPC Zone B 論論理理接続形態 ラックはEquinix,も しくはAPNから調達 VLAN VLAN VLAN ラック キャリア バックボー ン 回線終 端装置 R 10G 1G Equinix TY2 AWSラック EC2,S3な どのPublic サービス VPC R End user (多数) ネットワークプロバイダ コロケーション またはEUの責任範囲 プロバイダ の責任範囲 (構内配線のみ) VPC AWSの責任範囲 Public向け VLAN 使⽤用可能なルータの条件 • • • • BGP TCP MD5 802.1q VLAN マネージメントコンソールで設定提供 – Cisco – Juniper AWS DirectConnect 接続のステップ 次ページにて 詳細説明 検討開始 DXSPに 依頼 ⾃自社で⼿手 配する? DXSP: Direct Connect Solution Provider 回線業者選定 接続点 ラックを 契約 Publicサー ビスを直 接使う? Public AS を持って いる? Public ASの取得 Public 接続 回線終端装置 の置き場はあ る? VPCを使 う? 物理理接続 VPC 接続 利利⽤用開始 AWS DirectConnect 接続のステップ 詳細 物理理接続 Direct Connect 使⽤用申請 LOAをお客様へ発⾏行行 LOAをEquinixへ 申請 物理理結線 物理理接続 完了了 お客様作業 Equinix様 作業 AWS作業 (営業) AWS NWチーム作業 DX設定 1 物理理接続の申請 1 AWS DirectConnect 接続のステップ 詳細 Public 接続 VPC 接続 VLAN ID決定 VLAN ID決定 Private AS番号決定 お客様ルータ VLAN/BGP設定 お客様ルータ VLAN/BGP設定 AS番号/Prefix/ VLANID/ LOAをMCで⼊入⼒力力 AS番号/Prefix/ VLANID/ LOAをMCで⼊入⼒力力 お客様作業 AWSルータ VLAN/BGP設定 AWSルータ VLAN/BGP設定 AWS NWチーム作業 Public接続 完了了 VPC接続 完了了 Equinix様 作業 AWS作業 (営業) DX設定 1 2 Create Virtual Interface 2 DX設定 1 2 3 configの取得 3 Downloadしたconfig抜粋 interface GigabitEthernet0/1 no ip address interface GigabitEthernet0/1.3 description "Direct Connect to your Amazon VPC or AWS Cloud" encapsulation dot1Q 3 ip address 169.254.252.2 255.255.255.252 router bgp 65534 neighbor 169.254.252.1 remote-‐‑‒as 10124 neighbor 169.254.252.1 password X_̲wlwFyyPWLEToUQIU7CRrA1 network 0.0.0.0 exit AWS DirectConnect 接続のステップ 詳細(物理理結線のIDと利利⽤用者が異異なる場合) Public 接続 VPC 接続 VLAN ID決定 VLAN ID決定 Private AS番号決定 お客様ルータ VLAN/BGP設定 お客様ルータ VLAN/BGP設定 AS番号/Prefix/ VLANID/ LOAをMCで⼊入⼒力力 AS番号/Prefix/ VLANID/ LOAをMCで⼊入⼒力力 お客様作業 AWSルータ VLAN/BGP設定 AWSルータ VLAN/BGP設定 AWS NWチーム作業 Public接続 完了了 VPC接続 完了了 Equinix様 作業 AWS作業 (営業) エンドユーザがVGWをつくる エンドユーザがVGWをつくる エンドユーザがつくったVGWを確認 パートナーがVirtual Connectionをつくる パートナーが必要な情報を⼊入⼒力力 パートナーがつくったVirtual Interfaceを確認 エンドユーザがAccept エンドユーザがAcceptする エンドユーザが紐紐付けるVGWを指定 パートナーがVirtual Interfaceの追加を確認 パートナーが接続に必要なBGP関連情報を確認 パートナーがルータ設定を確認 VPC+VPN/Direct Connectの構成例例 AWS構成例例(仮想グループクラウド) 貴社プライベートクラウド 各種団体等 本社 グループ クラウド網 ⽣生産関連会社A ⽣生産関連会社B ⽣生産関連会社C ü グループクラウド網と専⽤用線 サービス接続 ü イントラネットの⼀一部として AWSの利利⽤用が可能 (仮想グループクラウド) ü ハイブリッドクラウドサービス の⼀一つ選択肢としてAWSを提 供 Amazon Storage Gateway DirectConnect VPN http://aws.amazon.com/storagegatewa CloudHubのHubとしてのVPC 本社 Virtual Gateway AWS Direct Connect Router VPN Connection Virtual Private Cloud ハイブリッド環境例例 ⼈人事 1 VPC 専⽤用線 既存環境 Direct Connect 接続⼝口 監視ソフト 管理理者 SSO 利利⽤用者 DNS Router#1 Router#1 Router#2 Router#2 FW AD NTP V G W Router#1 Router#2 WIN Oracle 1 VPC 営業⽀支援 WIN V 1 VPC G W V G W 専⽤用線また はVPN 保守業者 V G W 会計 WIN Oracle 1 VPC BI BI DB ⽂文書管理理 1 VPC V G W WIN Proxy オンプレミスとVPCの接続冗⻑⾧長化 • DirectConnect+DirectConnect • DirectConnect+VPN • VPN+VPN いずれの⽅方法でも可能。VPNでも BGPによる接続を推奨 Active/Stand-‐‑‒ByのためにはBGP MEDもしくはAS−PREPEND等 Router#1 Router#1 Router#2 Router#2 DXとVPCの上限について • BGP経路路数はVPCあたり100以下 – 経路路集約をおねがいします。 • VPNの接続数はVPCあたり50まで • Sub-‐‑‒1Gは通常DXポートと別アカウントです Appendix キャリア担当連絡先 • • • • • Equinix 上⽥田様 セールスマネージャー [email protected] 03 6402 6967 • • • • • TOKAIコミュニケーションズ 草郷 拓拓哉様 kusagou_̲tky@tokai-‐‑‒grp.co.jp Tel:03(5404)7315 aws@tokai-‐‑‒grp.co.jp • • • • • KVH 桐⽣生様 [email protected] inquiry_̲[email protected] 03-‐‑‒4560-‐‑‒7202 • • • • • NTTPC 三澤様、橋本様、 hibiki-‐‑‒[email protected] [email protected] キャリア担当連絡先 • • • • • • • • • ソフトバンクテレコム • 佐久間様、⼤大⻄西様 [email protected] • p • [email protected] • SBTMGRP-‐‑‒AWSDC-‐‑‒ • [email protected] NTTコミュニケーションズ 河原 正⼈人 様 03-‐‑‒6733-‐‑‒0185(代表) [email protected] • • • • aws-‐‑‒[email protected] cloudpack 櫻井様 [email protected] external-‐‑‒[email protected] KDDI 岩下様 ya-‐‑‒[email protected] aws-‐‑‒[email protected]
© Copyright 2024 Paperzz
