[レポート] AWSおよびハイブリッドAWSネットワークアーキテクチャへの接続 #NET317 #reinvent

AWS re:Invent 2019のセッション「NET317-R1 -- [REPEAT 1] Connectivity to AWS and hybrid AWS network architectures」のレポートです。

はじめに

こんにちは、AWS事業本部のニシヤマです。はいマスキュラー。

本記事は、スピーカーセッション「NET317-R1 -- [REPEAT 1] Connectivity to AWS and hybrid AWS network architectures」のレポートです

セッション概要

Amazon offers multiple options to achieve your connectivity requirements to access your resources in AWS. Whether you are connecting your corporate office or on-premises data center into AWS for hybrid connectivity or your personal device for end-user connectivity, AWS has many options for you to pick and choose. This session is intended for anyone wanting to get an overview of the AWS connectivity options available to you and learn about the best practices for architecting your connectivity to AWS.

レポート

何をカバーするか?

オンプレネットワークとAWSを接続

  • AWS Site-to-Site VPN
  • AWS Direct Connect
  • Amazon VPC
  • AWS Transit Gateway

イングレスルーティング

  • Virtual Private Gatewy
  • Internet Gatewy

ハイブリッドDNS

  • Amazon Route 53 Resolver

リモートユーザとAWSの接続

  • AWS Client VPN

AWS Site-to-Site VPN

AWS Site-to-Site VPN

  • AWS側のフルマネージド・高可用性のVPN終端エンドポイント
  • 異なるアベイラビリティーゾーンで終端する1VPN接続ごとに2つのVPNトンネル
  • AES256、SHA-2および最新のDHグループを使用したIPSecサイト間トンネル
  • IKEv2およびNAT-Tのサポート
  • VPN接続ごとに1時間ごとの課金

AWS Site-to-Site VPNセットアップオプション

静的

  • ポリシーまたはルートベース
  • 静的ルーティング
  • 認証:事前共有キーまたは証明書ベース(New)

動的

  • ルートベースのみ
  • 動的ルーティング(BGP)
  • 認証:事前共有キーまたは証明書ベース(New)

1VPNコネクションに2本のVPNトンネルがあり、1VPNトンネル毎に1.25Gbpsの帯域幅があります。

VGWを介した複数のAWSサイト間VPN

複数のVPCから1つのカスタマーゲートウェイへVPN接続を繋ぐことが可能

複数のVPCから2つのカスタマーゲートウェイへVPN接続を繋ぎ、冗長化することも可能

AWS Transit Gatewayを介した複数のAWSサイト間VPN

Transit Gatewayと複数のVPCをTransit Gateway Attachmentで接続し、Transit GatewayとカスタマーゲートウェイをVPNで接続する

AWS Accelerated Site-to-Site VPN(New)

通常のAWS Site-to-Site VPNでは複数のパブリックネットワークを通過しており一貫性のあるパフォーマンスを出すことが難しかったのですが、AWS Accelerated Site-to-Site VPNではAWSグローバルネットワークを経由することでパブリックネットワーク経由の際に発生する可能性のあるネットワーク断を回避し、VPN接続のパフォーマンスを向上が可能になります。

参考

https://dev.classmethod.jp/cloud/aws/aws-accelerated-site-to-site-vpn-connections/ https://aws.amazon.com/jp/about-aws/whats-new/2019/12/announcing-accelerated-site-to-site-vpn-for-improved-vpn-performance/

AWS Direct Connect

AWS Direct Connect

一貫したパフォーマンスと帯域幅コストの削減を提供するAWSへの専用ネットワーク接続

AWS Direct Connect new feauture - Resulency toolkit

規定されたSLAに合わせたオプションを選択し、希望のSLAを達成することが可能になります。

AWS Direct Connect - Interface types

  • Private VIF
    • プライベートIPアドレスを使用してAmazon VPCに接続するために使用されます。 直接または直接接続ゲートウェイ経由
    • 制限:10VPCまで(Direct Connect Gatewayから)
  • Transit VIF
    • Direct Connectゲートウェイ経由でトランジットゲートウェイに接続するために使用
    • 制限:3Transit Gatewayまで(Direct Connect Gatewayから)
  • Public VIF
    • パブリックIPアドレスを使用してすべてのAWSパブリックサービスにアクセスするために使用されます
    • 接続先例:S3、CloudWatch、SageMaker、DynamoDB、マネジメントコンソール

すべての仮想インターフェイスは、BGPピアリングを使用した802.1Q VLANです

Direct Connectの接続タイプ

  • 専用接続(Dedicated Connection)
    • 1Gbps/10Gbps
    • 50VIFと1Transit VIF

※以下はパートナーからの提供形態

  • ホスト型接続(Hosted Connection)
    • 50Mbpsから10Gbps
    • 1VIFまたは1Transit VIF
  • ホスト型仮想インターフェイス(Hosted Virtual Interface)
    • 50Mbpsから10Gbps
    • 1VIFのみ(Transit VIFの提供なし)

Hybrid architectures

Multi-region TGW hybrid

DRIVERS

  • フルメッシュ接続
  • 各VPCでの単純なルーティング
  • 低い運用オーバーヘッド
  • 単一のDXGWが数千のVPCSに拡張

考慮事項

  • オンプレミスとの間のトラフィックのTGWデータ処理コスト
  • TGWからDXGW 20のルート制限(集約が必要)

Multi-region DXGW hybrid

DRIVERS

  • フルメッシュ接続
  • AWSとオンプレミスネットワーク間のデータ転送にTGW処理コストはかかりません
  • プライベートVIFあたり100ルート

考慮事項

  • 10個のVPCごとにプライベートVIFおよびDXGWが必要
  • DXロケーションロケーションVPCには、TGWとVGWを介した異なるルートが必要です。

TGW – Direct Connect with VPN backup

DRIVERS

  • 直接接続接続のバックアップ
  • 迅速なプロビジョニングが簡単

考慮事項

  • VPNパスを介したより具体的なプレフィックスのアドバタイズを回避する
  • 10Gbpsダイレクトコネクトの容量に一致するために必要な複数のトンネル

AWS Transit Gateway Network Manager(New)

  • グローバルネットワークの可視性と正常性
  • クラウドおよびリモートサイトにわたる管理
  • パートナーブランチデバイスとの最適化されたリモートサイト接続

Ingress Routing

Middle-box use cases

  • オンプレミスとAWS間のすべてのトラフィックにファイアウォールが必要です。
  • VPCsに侵入検知のコンプライアンス要件があります。
  • 私たちのセキュリティ組織はアプリケーションレベルの検査を必要としています。
  • インターネットトラフィックのためにセキュリティアプライアンスを集中したい。

Middle-box use cases possible today

今まで可能だったMiddle-boxユースケースは、外部からの通信はセキュリティアプライアンスのIPアドレス宛に送信し、NATによりバックエンドのEC2へアクセスさせる構成でした。

Ingress Routing

最終的な宛先に到達する前に、入力トラフィックをサードパーティのアプライアンスにリダイレクトが可能

  • セキュリティアプライアンスを簡単に展開して、VPCを通るすべてのネットワークトラフィックを保護
  • 個々のワークロードに合わせたきめ細かなネットワークおよびセキュリティポリシーを作成する
  • コンプライアンスの理由から、オンプレミスと同じネットワークおよびセキュリティポリシーをクラウドに適用する
  • ニーズに合わせてカスタム仮想ネットワーク機能(VNFs)を展開

参考

https://dev.classmethod.jp/cloud/aws/reinvent2019-vpc-ingress-routing/ https://aws.amazon.com/jp/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/

Middle-box use cases with Ingress Routing

新しく発表されたVPC Ingress Routingと組み合わせることにより、ユーザはバックエンドのEC2のIPアドレス宛に直接アクセスをし、インターネットゲートウェイで受け付けたトラフィックをセキュリティアプライアンスへ転送してからバックエンドのEC2へ通信する構成が取れる様になりました。

VPC Ingress Routing

また、VPC Ingress Routingを利用することでインターネットゲートウェイから特定EC2宛のNICに転送することが可能になったため、サブネット単位でのセキュリティアプライアンスを導入する構成も可能です。

Amazon Route 53 Resolver

Route 53 Resolver

  • Route 53のマネージドDNSリゾルバーサービス
  • AWS Direct ConnectおよびマネージドVPNを介したハイブリッドDNS解決を有効にします
  • 条件付き転送ルールを作成して、クエリトラフィックをリダイレクトする
オンプレミスからのAWSドメインの解決

AWSからのオンプレミスドメインの解決

AWS Client VPN

  • ユーザーの要求に合わせて自動的にスケーリングするAWS管理のクライアントベースのVPNサービス
  • OpenVPNクライアントを使用して、AWSの任意のリソースおよびオンプレミスにどこからでも安全かつ詳細なアクセスを提供します
  • VPC、Active Directoryなどの既存のインフラストラクチャとシームレスに統合

AWS Client VPN new features

  • スプリットトンネリング
  • Active Directoryの多要素認証
  • AWS CloudFormationのサポート

おわりに

こちらのセッションは300レベルということもあり、非常にボリュームのあるセッションでした。 またAWSにおいてVPCは土台となるサービスとも言えますが、その接続方式に関しては多くの方法が存在・アップデートされており柔軟性があると共に、適切に選択していく必要があるのだと思いました。