2016 / 02 / 23 (Update: 2017/01/30)アマゾン ウェブ サービス ジャパン 株式会社ソリューション アーキテクト吉田 英世

【 AWS 初心者向け Webinar 】

AWSとのネットワーク接続入門

2

ご質問を受け付け致します！

質問を投げることができます！• Adobe Connect のチャット機能を使って、質問を書き

込んでください。（書き込んだ質問は、主催者にしか見えません）

• 最後の Q&A の時間で可能な限り回答させていただきます。

①画面右下のチャットボックスに質問を書き込んでください

②吹き出しマークで送信してください

3

AWS 初心者向け Webinar のご紹介

• AWS についてこれから学ぶ方向けのソリューションカットの Webinar です

• 過去の Webinar 資料– AWS クラウドサービス活用資料集ページにて公開

http://aws.amazon.com/jp/aws-jp-introduction/

• イベントの告知– 国内のイベント・セミナースケジュールページにて告知

http://aws.amazon.com/jp/about-aws/events/（オンラインセミナー枠）

4

自己紹介

名前：吉田 英世 (@aquaviter)

所属：アマゾン ウェブ サービス ジャパン株式会社技術本部 ストラテジックソリューション部

ソリューションアーキテクト

経歴：インフラエンジニア(ネットワーク)IoTプラットフォーム アーキテクト

5

今日のトピック

オフィスやデータセンターを

VPN専用線

を利用して、どのように AWS と接続するか？

Web

サーバ

6

アジェンダ

VPNを接続してみる

専用線を接続してみる

いろいろなネットワーク接続

よくあるご質問

まとめ

7

アジェンダ

VPNを接続してみる

専用線を接続してみる

いろいろなネットワーク接続

よくあるご質問

まとめ

8

AWSのアカウントをゲット！

手始めに社内向けプロジェクトのWebサーバをAWSで構築しよう！

みんなに社内LANからアクセスしてもらうにはどうすればいい？

プロジェクト担当

9

AWSのアカウントをゲット！

手始めに社内向けWebサーバをAWSで構築しよう！

みんなに社内LANからアクセスしてもらうにはどうすればいい？

そんなときはVPN接続をまず試してみよう！

プロジェクト担当

10

AWSのVPN接続を使えば社内からAWS上のWebサーバにアクセス可能！

プライベートIPで接続可能！小規模システム/検証/管理用に！VPN接続も冗長化！

VPC Subnet オフィス

Web

サーバ

11

VPN接続で必要なモノ

インターネットと直接通信可能な固定の

パブリックIPアドレス

VPN接続に対応している

ルータ対応ルータ：https://aws.amazon.com/jp/vpc/faqs/

12

実際に作ってみよう！

13

“VPCウィザードの開始”をクリック

14

“プライベートのサブネットおよびハードウェアVPNアクセスを持つVPC”をクリック。

15

赤枠の部分を入力

16

拠点側のルータ情報とルーティングを選択

用意したパブリックIPアドレスを入力

17

拠点側のルータ情報とルーティングを選択

静的(スタティック)

動的(BGP)

18

作成完了！

19

VPNルータの設定をダウンロード

ネットワーク担当者に渡して設定してもらいましょう

20

拠点側のルータに設定

21

VPN接続完了

22

VPNの価格

https://aws.amazon.com/jp/vpc/pricing/

1 時間当たり 0.048 USD/VPN 接続（東京リージョンへの接続）

1ヶ月あたり35.14 USD ≒￥4,0001 時間当たり 0.048 USD/VPN 接続（東京リージョンへの接続）

AWSから拠点へのデータ転送量1 GB当たり ~0.09USD（東京リージョン)

＋

このデータ転送量

23

アジェンダ

VPNを接続してみる

専用線を接続してみる

いろいろなネットワーク接続

よくあるご質問

まとめ

24

社内のいろんなプロジェクトでAWSが使われ始めて、重要なシステムも稼働するようになってきた。

トラフィックも増えてきてるし、可用性も心配。

このままVPNを使っていくべき？

ネットワーク管理者

25

社内のいろんなプロジェクトでAWSが使われ始めて、重要なシステムも稼働するようになってきた。

トラフィックも増えてきてるし、可用性も心配。

このままVPNを使っていくべき？

ネットワーク管理者

専用線(Direct Connect)に切り替えましょう！

26

AWSのDirect Connectを使えば一貫性のあるネットワークアクセスでAWSにアクセス可能！

安定・大容量の帯域が必要なサービスに！

オフィス

Web

サーバ

切替

27

専用線(AWS Direct Connect)とは？

お客様

AWS CloudEC2, S3などのPublic サービス

Amazon VPC

相互接続ポイント専用線サービス

AWSとお客様設備（データセンター、オフィス、またはコロケーション）

の間に専用線を利用したプライベート接続を提供するサービス

東京リージョンの場合、エクイニクス様TY2(東京)、OS1(大阪)

28

Direct Connectの物理接続

Equinix様のデータセンターでコロケーション契約を行い、AWSのルータが設置されているラックと構内配線で物理接続を行なう

東京(TY2)大阪(OS1)

相互接続ポイント（Equinix様の東京(TY2)/大阪(OS1)のデータセンター）にあるAWSルータと物理的な接続が必要

29

Direct Connectの構成

or

専用線

拠点

拠点

拠点

広域網

拠点

AWSルータ

ネットワーク機器

AWSユーザユーザ 回線事業者

相互接続ポイント

30

相互接続ポイントではAWSがデータセンター内にルータを設置して、物理ポートをユーザ向けに提供

or

専用線

拠点

拠点

拠点

広域網

拠点

AWSルータ

ネットワーク機器

AWSユーザユーザ 回線事業者

相互接続ポイント

AWSが物理ポートを準備している

31

ユーザも同じデータセンターに機器を設置し、構内配線でAWSルータと物理的に接続する

or

専用線

拠点

拠点

拠点

広域網

拠点

AWSルータ

ネットワーク機器

AWSユーザユーザ 回線事業者

相互接続ポイント

ユーザが機器を用意してAWSルータへ接続する

(ラックも準備)

32

各拠点への引き込みは従来の回線事業者の専用線や広域網を利用

or

専用線

拠点

拠点

拠点

広域網

拠点

AWSルータ

ネットワーク機器

AWSユーザユーザ 回線事業者

相互接続ポイント

拠点への引き込みは従来の専用線と広域網などの回線事業者のサービスを利用

回線を引くだけのために相互接続ポイントに新規で設備を準備（ラック借用、機器設置、etc…)は非常に大変

34

拠点からAWSへの接続をまとめてパートナーに依頼することが可能

or

専用線

拠点

拠点

拠点

広域網

拠点

AWSルータ

ネットワーク機器

AWSユーザ パートナー

相互接続ポイント

パートナーがサービスとして提供

35

相互接続ポイント(Equinix TYx/OS1など)にすでに設備を保有している、または保有する予定があるか？

パートナーのサービスを利用相互接続ポイント内の構内配線でDirect Connectを接続

自社でやるか？パートナーにまかせるか？

Yes No

パートナーに依頼するとなった場合、どのパートナーのどのサービスを選択するのがいいの？

37

キーワードは・・・

占有型 共有型と

38

Direct Connectの物理接続と論理接続の関係

VLAN200

VLAN100

VLAN300

Connection

Virtual Interface

Virtual Interface

Virtual Interface

Connectionと言われる物理接続の中に、Virtual Interfaceという論理接続が存在している。Virual InterfaceはVLANと同じ扱い。Virtual InterfaceはひとつのVPCの仮想プライベートゲートウェイのみに接続

39

マネージメントコンソール上でConnectionsとVirtual Interfacesとして確認可能

40

サービス選定のポイントは物理か論理のどちらの単位で契約するか？

VLAN200

VLAN100

VLAN300

Connection

Virtual Interface

Virtual Interface

Virtual Interface

Connection(物理接続)単位で契約するか？

Virtual Interface(論理接続)単位で契約するか？

41

占有型と共有型の違い

VLAN200

VLAN100

VLAN300

Connection

Virtual Interface

Virtual Interface

Virtual Interface

Connection(物理接続)単位で契約するか？

Virtual Interface(論理接続)単位で契約するか？

物理回線をユーザ自身が

で占有するので占有型

物理回線を他のユーザと

共有するので共有型

占有型と共有型はどういうときに選べばいいの？

43

利用予定のVPCの数で判断

VPCが多数存在する場合、占有型の方がコスト効率が良い

Connectionを契約Virtual Interfaceを複数作っても価格は一定

ConnectionはパートナーVirtual Interfaceごとに契約が必要VPCが増える毎に価格も増加

占有型 共有型

44

ラストワンマイル（拠点接続）の接続で判断

回線事業者広域網

広域網サイト間ポイントツーポイント

占有型/共有型の両方対応

共有型のみ対応(※)

※:詳細はパートナー様にお問い合わせください。

45

占有型と共有型の違い占有型 共有型

物理接続の管理

エンドユーザのAWSアカウントでConnection(物理接続)を管理する

パートナーのAWSアカウントでConnection(物理接続)を管理する

契約単位 Connection(物理接続) Virtual Interface(論理接続)

帯域 1Gbps or 10Gbps 50M,100M,200M,300M,400M,500M,1Gbps(※)

BGP設定 ユーザ自身が決定できる パートナーが決定

納期 イニシャルは拠点までのラストワンマイルはほぼ同じ

納期(Virtual Interface)

自前でVirtual Interfaceが作成できるため早い

パートナーに発注が必要なため占有型と比べ遅い

パブリック接続 可能 事業者に要確認

※: Sub-1Gを利用しているパートナーから提供

46

Sub-1G共有型のサービス提供（パートナー向け情報）

A株式会社

B株式会社

C株式会社

自社回線サービス

Connections(物理接続)

Virtual Interface

Sub-1Gを契約したパートナーは、帯域が選択できるVirtual Interfaceを作成することが可能

パートナー様のメリット・ポート料金をエンドユーザ課金に

することが可能

エンドユーザのメリット・1Gbps以下の帯域を選択可能

47

こんなときは占有型、共有型どっち？

1Gbps~10Gbpsの広帯域を利用予定

たくさんのVPCをすべて社内のデータセンターと接続

すでに拠点間接続で広域網が整備されていて、AWSのVPCも拠点のひとつとして扱う 共有型

占有型

占有型

48

Direct Connectを提供しているパートナー

http://aws.amazon.com/jp/directconnect/partners/

リストに掲載されていないパートナー様もいらっしゃるため、詳細は営業・SAにお問い合わせください。

アルテリア・ネットワークス株式会社(※)Coltテクノロジー株式会社(※)野村総合研究所(NRI)NTTコミュニケーションズ株式会社NTTPCコミュニケーションズ株式会社ソフトバンク株式会社株式会社TOKAIコミュニケーションズ(※)

※：占有型をご提供いただいているパートナー

49

Direct Connectの実現パターンはこの３つ！

占有型をパートナーに依頼する

共有型をパートナーに依頼する

自前で相互接続ポイントに設備を置く

50

占有型をパートナーに依頼する場合

マネージメントコンソールでConnection

作成

AWSの確認メールに

返信AWS側工事開始（オプション)

LOA-CFAをコンソールからダウンロード、パートナーに

転送

LOA-CFAを元にパートナー側で構内配線工事

物理回線開通！

マネージメントコンソールで

Virtual Interface作成

拠点側ルータ設定

利用開始！

LOA-CFA: Letter of Authority and Connecting Facility Assignmentデータセンター内のファシリティ間の接続許可証

パートナーに回線利用

申込

51

マネージメントコンソールでConnectionを作成

AWSマネージメントコンソールにログインし、”Tokyo”リージョンを選択。

[Services]-[Networking]-[Direct Connect]をクリック。

“Connections”の”Create Connection”をクリック。

52

マネージメントコンソールでConnectionを作成必要な項目を入力し、”Create”をクリック。

Connection Name: コネクション名（任意の文字列）Location: Equinix TY2, Tokyo または OS1 OsakaPort Speed: 1Gbps or 10Gbps

53

追加情報の確認および返信(オプション)

追加の情報が必要な場合、AWSマネージメントコンソールのメールアドレス宛にAWSから確認メールが送信されます。

7日以内に必要情報返信してください。

(7日以内に返信が無い場合、前の手順で作成したDirect ConnectのConnectionは自動的に削除されます。)

54

LOA-CFAのダウンロード

AWS側の物理配線が完了し、72時間以内に相互接続ポイントの物理配線情報:LOA-CFA(Letter of Authorizationand Connecting Facility Assignment)がマネージメントコンソールからダウンロード可能。

LOA-CFAの情報をパートナー様もしくは相互接続ポイントのデータセンター事業者へ送付し、構内の物理配線を依頼。

注意：配線完了後のメール連絡はありませんので、ご自身でご確認ください。72時間以内にLOA-CFAができない場合、AWSサポートまでご連絡ください。

55

物理配線完了！

配線が完了すると、AWSマネージメントコンソールの[Direct Connect]-[Connections]から回線を確認することができます。

56

マネージメントコンソールからVirtual Interfaceを作成

57

拠点側ルータ設定

Virtual Interfaceの詳細画面からサンプルコンフィグ(Cisco/Juniperのみ)をダウンロード可能

58

開通！

BGPの設定が完了しBGPピアがupしたら、ステータスが”available”になる

59

共有型をエンドユーザが利用する場合

マネージメントコンソールで

Virtual Interfaceを仮想プライベート

ゲートウェイに割当て

拠点側ルータ設定

利用開始！パートナーに

回線利用申込

Virtual Interfaceを作成するのはパートナー

60

パートナーがVirtual Interfaceを作成するとユーザのマネージメントコンソールで確認できる

Connectionを持っているパートナーがVirtual Interfaceを作成

パートナーのコンソール

ユーザのコンソール

ユーザのコンソール上にVirtualInterfaceが現れる

注：VLANやAS番号などの設定はパートナーが決めるためユーザ側では設定できない

61

拠点側ルータ設定は占有型と同じ、でもサンプルコンフィグのダウンロードはできない

共有型の場合はパートナー側で設定する場合が多いもし自社で設定するためにサンプルコンフィグが必要な場合はパートナーに連絡

62

そして開通！

BGPの設定が完了しBGPピアがupしたら、ステータスが”available”になる

63

自前で相互接続ポイントに設備を準備する場合

マネージメントコンソールでConnection

作成

AWSの確認メールに

返信AWS側工事開始

LOA-CFAをAWSから受領、

Equinixに工事申込

LOA-CFAを元にEqunixで

構内配線工事

物理回線開通！

マネージメントコンソールで

Virtual Interface作成

拠点側ルータ設定

利用開始！

手順は占有型とほぼ同じ、配線は相互接続ポイントのデータセンターに依頼

64

Direct Connectの価格例(1Gbps：占有型)

1ヶ月あたり208.62 USD ≒￥24,0001 時間当たり 0.285 USDのポート料金（東京リージョンへの接続）

拠点へのデータ転送料1 GB当たり 0.042 USD（東京リージョン)

＋

https://aws.amazon.com/jp/directconnect/pricing/

パートナーの回線・サービス費用

＋

65

Direct Connectを検討するにあたり・・・

ネットワーク管理者をはじめの段階から巻き込みましょう！

Direct Connectに必要な技術的な知識・BGPでの接続・社内ネットワークとの接続・ルータの設定・etc…

66

アジェンダ

VPNを接続してみる

専用線を接続してみる

いろいろなネットワーク接続

よくあるご質問

まとめ

67

マルチVPCへのVPN接続

VPN

VPN1台のパブリックIPアドレスで複数のVPCの仮想プライベートゲートウェイに接続可能

68

Direct ConnectとVPNで複数拠点を集約

大阪支店

東京本社

データセンター

Direct ConnectとVPCはひとつに仮想プライベートゲートウェイに接続し、ルーティング可能

69

広域網による接続

回線事業者広域網

AWSに向けてデフォルトルートしか広告できないor経路集約できない(AWSは100までしか受信できない)

AS番号は回線事業者側で指定

冗長化する場合は複数契約

BGP属性値付与による経路優先はできない

詳細はパートナー様にお問い合わせください。

70

東京/大阪での高可用性Direct Connect接続

EquinixTY2

(東京)

EquinixOS1(大阪)

相互接続ポイント自体を冗長化することが可能ポート料金、トラフィック料金は東阪どちらも同じ

71

海外拠点の接続

Sinnet(北京)

EquinixTY2(東京)

国際広域網 中国リージョン

アジアリージョン

事業者の国際広域網で接続

ルータ

中国支店

東京本社

72

数百拠点の接続

サードパーティのルータを利用・仮想プライベートゲートウェイでは

VPN接続数に制限がある(デフォルト10)・VPN費用が高額になる

VPN

ルータ

CiscoPaloAltoSophos

73

数百拠点の接続(海外)

WaaS中国リージョン

アジアリージョン

ルータ東京POP

中国POP

中国店舗

東京本社専用線またはVPN 東京データセンター

74

数百デバイスのVPN接続

サードパーティまたはオープンソースのルータを利用

VPN

ルータ

CiscoOpenVPN

SSL-VPN

SSL-VPNは端末接続向けIPsec-VPNは拠点間接続向け

75

AWSクラウドとの接続(プロキシ利用)

AWSクラウドとは？VPC上ではない、パブリックなIPアドレスで構成されたサービスのエンドポイントが稼働しているネットワーク(例：S3, DynamoDB, SQS..)

プロキシ

VPCエンドポイント

(S3)

プロキシを仲介してAWSクラウドにアクセスプロキシ無しでVPCをホップしてアクセスできない

76

AWSクラウドとの接続(パブリック接続利用)

Direct Connectのパブリック接続を使って各リージョンのAWSクラウドのネットワークとピア接続

Direct Connectパブリック接続

77

アジェンダ

VPNを接続してみる

専用線を接続してみる

その他の接続

よくあるご質問

まとめ

78

Q. Direct ConnectやVPNに接続されているVPCから別のVPCにVPC Peering経由で通信できないの？

A. できません。

すべてのVPC(仮想プライベートゲートウェイ)に直接接続してください。

79

Q. Direct Connectを契約したAWSアカウントとは別のAWSユーザにも利用させたい

A. 可能です。Connectionsを情シスのまとめアカウントで作成して、Virtual Interfaceを利用アカウントに振り分けることができます。

80

Q. パートナーはどんなサービスを提供しているか？

A. VPN/Direct Connect関連でいろいろなサービスを提供していただいています。・占有型/共有型

・相互接続ポイントから拠点までの専用線、広域網・相互接続ポイントでの機器設置、コロケーション・拠点ルータのマネージドサービス・Direct Connect/VPN(バックアップ)の接続サービス・社内との接続も含めたネットワーク設計

81

Q. 大手キャリアの広域網サービスを契約中だが、どのようにDirect Connectを接続すればいいか？

A. 大手のキャリア様に共有型のサービスをすでに提供いただいています。キャリアのご担当者にご確認ください。

VPCが多い、帯域が1Gbps以上必要な場合は主要拠点からの占有型

の接続もご検討ください。

82

Q. Direct Connectを冗長化のために２本契約したけど、AWS側は物理的に冗長化されている？

A. AWS側では、複数回線申し込んでいただいた場合は物理的に冗長化されるようにポートをアサインしています。サポートに問い合わせをいただければ、物理接続が冗長化されて

いるか調査の上回答させていただきます。マネージメントコンソールからconnectionのID”dxcon-xxxx”を添えてケースを起票してください。

83

Q. VPNからDirect Connectには簡単に移行できる？

A. できます。

VPNが接続されている仮想プライベートゲートウェイに、

Direct Connectをそのまま接続することができます。Direct Connectが接続された場合、必ずDirect Connect側が優先されるのでご注意ください。

84

Q. 東京リージョンの相互接続ポイントからシンガポールリージョンのVPCにDirect Connectで接続できますか？

A. リージョンをまたいで直接接続することはできません。

各リージョンの相互接続ポイントから接続する必要があります。

東京からシンガポールの相互接続ポイントに国際の広域網もしくはWaaSなどを利用して接続してください。国際網をお持ちのパートナー(Level3様など)にご相談いただくことも可能です。

85

Q. 拠点とAWSの間はL2接続は可能？

A. できません。

拠点とAWS間はL3のルーティングのみとなります。

86

アジェンダ

VPNを接続してみる

専用線を接続してみる

その他の接続

よくあるご質問

まとめ

87

まとめ

• 検証や監視/メンテナンス目的ではVPN、サービスでの利用は専用線(Dicrect Connect)がおすすめ

• Direct Connect接続は要件を整理して、占有型/共有型どちらの接続が良いか事前にしっかり検討

• ネットワーク管理者やパートナーとの連携は必須

88

参考資料

- 初心者Webinar AWS上でのネットワーク構築http://www.slideshare.net/AmazonWebServicesJapan/webinar-aws-43351630

- BlackBelt Tech Webinar –VPC-http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-amazon-vpc-47025202

- BlackBelt Tech Webinar -Direct Connect-http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-aws-direct-connect

89

Q&A

90

AWS専用線アクセス体験ラボ sponsored by Intel

http://aws.amazon.com/jp/dx_labo/

■事前に設定を確認したい■フェイルオーバー時の動作を確認したい■スループットがどれだけなのか実際に試してみたい■自前のルータがDirect Connectに接続できるか確認したい

・・・などなど

お問い合わせは営業・SAまで！

91

詳しくは、http://aws.amazon.com/training をご覧ください

メリット

• AWS について実習や実践練習を通じて学習できる

• AWS を熟知したエキスパートから直接 AWS の機能について学び、疑問の答えを得られる

• 自信をもって IT ソリューションに関する決定を下せるようになる

提供方法

e ラーニングや動画

セルフペースラボ

クラスルームトレーニング

AWSトレーニングでは様々な学習方法をご提供しています

92

公式Twitter/FacebookAWSの最新情報をお届けします

@awscloud_jp

検索

最新技術情報、イベント情報、お役立ち情報、お得なキャンペーン情報などを日々更新しています！

もしくはhttp://on.fb.me/1vR8yWm

93

AWS Black Belt Tech Webinar 2016

AWSのサービスをディープにご紹介

• 2月24日(水)18:00〜 Amazon WorkDocs & WorkMail

• 申し込みサイト

– http://aws.amazon.com/jp/about-aws/events/

94

AWSの導入、お問い合わせのご相談

• AWSクラウド導入に関するご質問、お見積り、資料請求をご希望のお客様は、以下のリンクよりお気軽にご相談くださいhttps://aws.amazon.com/jp/contact-us/aws-sales/

※「AWS 問い合わせ」で検索してください

ご清聴ありがとうございました！