1. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWSマイスターシリーズ
Amazon VPC
VPN+AWS DirectConnect
2013.09.04
アマゾン データ サービス ジャパン株式会社
荒木靖宏

2. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
2
今日のAgenda
VPCとは？
Amazon Direct Connect(DX)とは？
VPC/VPN/Direct Connectの活用例
Q&A

3. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
3
Amazon VPC
AWS上にプライベートネットワーク空間を構築
• 社内からVPN接続して閉域網でAWS利用
• 仮想ネットワーキング
オンプレミスとのハイブリッドが簡単に実現
• AWSが社内インフラの一部に見える
 社内システム、ソフトウェアの移行がより容易に

4. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
4
AWS上にプライベートのアドレス空間を作成し、
お客様のインフラをAWS上に延長する
リージョン
EC2
VPCイントラ
プライベート
サブネット
パブリック
サブネット
Internet
VPC内に分離し
たサブネットを
自由に作成
VPN接続
専用線
ゲート
ウェイ
VPN
DX

5. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
5
VPCを利用した3層Webシステム構成例
VPC 10.0.0.0/16
Availability Zone - B
Availability Zone - A
Internet
Anyone
Internet
Gateway
Public Subnet 10.0.0.0/24
Public Subnet 10.0.2.0/24
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
Amazon RDS
Amazon RDS
Web
10.0.0.7
EC2 Instance
EC2 Instance
Web
10.0.2.7
Corporate
data center
DB
DB
インターネットから
もアクセス可能
DC/社内からのみ
アクセス可能
VPN接続
DX専用線

6. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
6
VPC内のシステム構築の留意点
ネットワーク分割のベストプラクティス
• ログインする必要のないELB，RDS, Elasticache用のサブネッ
ト
• 目的別には分けずに、/22や/24など、わかりやすく大きめのネッ
トワークを指定する。
• ログインする必要のあるEC2は目的別に。
AWSのリソースは原則ホスト名を使ってアクセス

7. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
7
VPC内のシステム構築の留意点（２）
AWSのAPI使用にはインターネット接続が必要
利用方法
• EIPを使用
• NATインスタンスまたはアプリケーションプロキシを使用
• オンプレ側インターネット線の使用

8. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
8
Public subnet + Private subnet +
VPN GW
Virtual Private Cloud = 10.0.0.0/16
Public Subnet
Internet
Gateway
Security Group
Private Subnet
Security Group
NAT
instance
Destination Target
10.0.0.0/16 local
0.0.0.0/0 Internt Gateway
Destination Target
10.0.0.0/16 local
172.16.0.0/16 VPN Gateway
0.0.0.0/0 NAT Instance
VPN
Gateway
Corporate = 172.16.0.0/16

9. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
9
ハードウェアVPN
IPsec VPN
• AES 128 bit の暗号化トンネル
• Pre-shared キーを使用して、IKE セキュリティ接続を確立る
• SHA-1 ハッシュ
• 「グループ2」モードでのDH Perfect Forward Secrecy
暗号化の前にパケットの断片化を実行する
経路
• BGP (Border gateway protocol) または
• Static

10. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
10
対応ルータ
http://aws.amazon.com/jp/vpc/faqs/#C9
対応ルータでは設定サンプルを提供
BGP
• Astaro, Cisco, Fortigate, Juniper(J, SRX, SSG, ISG),
PaloAlto, Vyatta, Yamaha RTX1200
Static
• Cisco(ASA5500, ISR), Juniper (J, SRX, SSG, ISG),
Microsoft windows server 2008R2以降、Yamaha RTX1200

11. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
11
事前の準備
ハードウェアルータ
Public IPアドレス
• Virtual Gateway (VGW)との通信に
使用
• VPCの数だけ必要。同一リージョン
での重複はできない。
IKE(UDP port 500)とIPsec（IP
Protocol 50)への通信が可能なこ
と
• ISPでの制限、FWの存在に注意
• NAT-T(UDP port 4500への
fallback)は使用できません。

12. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
12
VPNの設定
12
「Hardware VPN Access」
があるWizardを選択
VPCダッシュボードから
「Start VPC Wizard」を選択

13. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
13
CustomerGatewayとプロトコル選択
13
拠点側のVPNルータのグロ
ーバルIPアドレスを指定
VPN通信プロトコルを
BGPかStaticかを選択
Staticの場合には、拠点側の
Subnetを指定する
※「Add」を忘れずに

14. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
14
VPCとSubnetのCIDR指定及び確認
14
VPCとPrivateSegmentの
SubnetのCIDRを
変更します
内容内容を確認後、「Create
VPC」を押下

15. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
15
VPCとPrivate Segment作成処理中
15
作成完了後
拠点側のVPNルータに設定す
るConfigをダウンロードするた
め選択します

16. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
16
VPNルータ設定用Configダウンロード
16
拠点側のVPNルータの以下の
情報を選択します
１）ベンダー名
２）機種
３）OSバージョン
「Yes,Download」を選択し、Configをダウンロードします

17. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
17
AWS Direct Connectの特徴
帯域スループット向上
インターネットベースの接続よりも一貫性がある
ネットワークコスト削減
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント
専用線
サービス

18. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
18
AWS Direct Connectの物理接続
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント
専用線
Zone A
Zoneコロケへの専用線引き込みと違って
サーバ設置場所を限定しない。
相互接続ポイントはサーバのある
ゾーンではない場所

19. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
19
AWS Direct Connectの論理接続
論理的にはPublic向けと、VPC向けで異なる
BGPによる接続
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント
専用線
Zone A
Zone B
東京リージョンでは、
Equinix TY2
(東京都品川区）

20. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
20
AWS Direct Connect 詳細内容
AWS Direct Connectは、1Gbpsおよび10Gbpsの接続を提供
リージョン毎に契約
多くの容量が必要な場合、複数の接続のプロビジョニングが可能
• 専用線サービスは、お客様が下記の2つの選択肢から選択
1. お客様自身がエクイニクス相互接続ポイントに専用線を直
接つなぐ
2. 通信事業者,APNの接続サービスを利用
 Equinix
 ソフトバンクテレコム
 NRI
 NTTコミュニケーションズ,NTTPC
日本でのサービス状況
 KVH
 TOKAI
 cloudpack

21. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
21
APNにより拡張された
AWS Direct Connectサービス
相互接続ポイント（東京リージョンではEquinix TY2）
における接続装置等の設置場所
• 専用線とのパッケージ提供する場合も
10Mbps, 100Mbps等1Gbps よりも狭帯域のサービス
お客様指定の場所から相互接続ポイントまでのアクセス
広域WANで複数拠点からAWSへの接続

22. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
22
AWS Direct Connect：Publicサービス
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント
専用線
Zone A
Zone
Public IPを使ったBGP接続
Private ASの場合はそのIPアドレス
はAWSとの通信専用になる

23. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
23
AWS Direct Connect：VPCサービス
お客様
AWS Cloud
EC2, S3などの
Public サービス
Amazon VPC
相互接続ポイント
専用線
Zone A
Zone B
Private ASを使ったBGP接続
Private ASを使用
== VPCをVPNで使う場合と同じ
IPSecトンネルの代わりに専用線上
のVLANがあると考えればok

24. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
24
VPC
（ZoneB)
論理接続形態
Equinix TY２
AWSラックラック
10G
1G
キャリア
バック
ボーン
R R
VPC
（ZoneA)
VLANVLANVLAN
Public向け
VLAN
End user
（多数）
AWSの責任範囲
ネットワークプロバイダ
またはEUの責任範囲
コロケーション
プロバイダ
の責任範囲
（構内配線のみ）
EC2,S3な
どのPublic
サービス
ラックはEquinix，もしく
はAPNから調達
回線終
端装置

25. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
25
AWS DirectConnect 接続のステップ
自社で手
配する?
検討開始
回線業者選定
回線終端装置
の置き場はあ
る?
接続点
ラックを
契約
Publicサー
ビスを直
接使う?
DXSPに
依頼
物理接続
Public AS
を持って
いる?
Public
ASの取得
Public 接続
VPCを使
う?
VPC 接続
利用開始
DXSP:
Direct Connect Solution Provider
次ページにて
詳細説明

26. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
26
AWS DirectConnect 接続のステップ
詳細
Direct Connect
使用申請
LOAをお客様へ発行
LOAをEquinixへ
申請
物理結線
物理接続
物理接続
完了
Equinix様
作業
お客様作業
AWS作業
(営業)
AWS NWチーム作業

27. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
27
DX設定
１

28. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
28
物理接続の申請
１

29. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
29

30. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
30
AWS DirectConnect 接続のステップ
詳細
お客様ルータ
VLAN/BGP設定
AWSルータ
VLAN/BGP設定
VPC 接続
VLAN ID決定
Private AS番号決定
VPC接続
完了
Public 接続
お客様ルータ
VLAN/BGP設定
AWSルータ
VLAN/BGP設定
VLAN ID決定
Public接続
完了
Equinix様
作業
お客様作業
AWS作業
(営業)
AWS NWチーム作業
AS番号
/Prefix/VLANID/
LOAをMCで入力
AS番号
/Prefix/VLANID/
LOAをMCで入力

31. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
31
DX設定
１
２

32. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
32
Create Virtual Interface
２

33. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
33

34. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
34

35. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
35
DX設定
１
２
3

36. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
36
configの取得
3

37. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
37
DownloadしたConfig抜粋
interface GigabitEthernet0/1
no ip address
interface GigabitEthernet0/1.3
description "Direct Connect to your Amazon VPC or AWS Cloud"
encapsulation dot1Q 3
ip address 169.254.252.2 255.255.255.252
router bgp 65534
neighbor 169.254.252.1 remote-as 10124
neighbor 169.254.252.1 password X_wlwFyyPWLEToUQIU7CRrA1
network 0.0.0.0
exit パスワードはConfigをダウ
ンロードしないとわからない

38. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
38
AWS DirectConnect 接続のステップ
詳細（物理結線のIDと利用者が異なる場合）
お客様ルータ
VLAN/BGP設定
AWSルータ
VLAN/BGP設定
VPC 接続
VLAN ID決定
Private AS番号決定
VPC接続
完了
Public 接続
お客様ルータ
VLAN/BGP設定
AWSルータ
VLAN/BGP設定
VLAN ID決定
Public接続
完了
Equinix様
作業
お客様作業
AWS作業
(営業)
AWS NWチーム作業
NWチームへ
作業依頼
NWチームへ
作業依頼
AS番号
/Prefix/VLANID/
LOAをAWSへ連絡
AS番号
/Prefix/VLANID/
LOAをAWSへ連絡
論理接続はWebでは
できない

39. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
39
CloudHubのHubとしてのVPC
Virtual Private Cloud
本社
Virtual
Gateway
VPN
Connection
AWS Direct Connect
Router

40. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
40
ハイブリッド環境例
営業支援
会計
BI
文書管理
利用者
保守業者
管理者
AD
監視ソフト
DNS
Direct
Connect
接続口
1 VPC
1 VPC
1 VPC
1 VPC
1 VPC
I
G
W
V
G
W
V
G
W
V
G
W
I
G
W
V
G
W
V
G
W
Router#1
Router#2
Router#1
Router#2
Router#1 Router#2
FW
SSO
NTP
既存環境
OracleWIN
人事
WIN
WIN Oracle
BI DB
WIN Proxy
専用線
専用線
または
VPN

41. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
41
オンプレミスとVPCの接続冗長化
DirectConnect＋
DirectConnect
DirectConnect+VPN
VPN+VPN
いずれの方法でも可能。VPNでも
BGPによる接続を推奨
Active/Stand-ByのためにはBGP
MEDもしくはAS−PREPEND等
Router#1
Router#2
Router#1
Router#2

42. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
42
Direct Connect 課金体系
月額利用料は下記の計算で課金されます
AWS Direct Connectの月額利用料 ＝
① ポート使用料
＋
② データ転送料

43. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
43
ポート使用料とデータ転送料
ポート使用料
• １Gbps: 0.30 USD/時、10Gbps: 2.25 USD/時
データ転送料はリージョン毎で異なる
• 東京リージョン
• データイン：無料
• データアウト：0.045 USD/GB

44. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
44
AWS Direct Connect使用時
請求の注意点
AWS Direct Connect を介するデータ転送には、使用が
発生した同じ月に請求書が送られます。
他の AWS サービスの使用によって発生する標準のイン
ターネットデータ転送使用量は、翌月の請求となります。
例：
• 6月に AWS Direct Connect 経由で 500 GB、インターネット
経由で 1500 GB を転送した場合
• AWS Direct Connect のレートで 500 GB のデータ転送料金が
6月の請求書で請求され、標準インターネットのレートで
1,500 GB のデータ転送料金が7月の請求書で請求されます。

45. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
45
本日のまとめ
VPN接続やDirect Connect(DX)を利用すること
で、オンプレミス環境とのハイブリッドなど、
自由なネットワーク設計が可能です！

46. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
46
Appendix
参考資料
• Amazon VPC Documents
http://aws.amazon.com/jp/documentation/vpc/
• Amazon VPC
http://aws.amazon.com/jp/vpc/
• Amazon VPC FAQ
http://aws.amazon.com/jp/vpc/faqs/