[レポート] NET317: AWS およびハイブリッド AWS ネットワークアーキテクチャへの接続 #reinvent

こんにちは、ラスベガスにも慣れてきてよく寝ることができた、コンサル部の望月です。

本日のラスベガスはあいにくの雨ですが、ホテル間の移動にシャトルバスを利用することができるため、雨でもそこまで困らず移動することができていいですね。

さて、AWS への接続にはいろいろな方法があります。どういった要件ではどういった接続方法があるのか、本セッションで学びたいと思います。

本記事では AWS re:Invent 2019のセッション「NET317: Connectivity to AWS and hybrid AWS network architectures」 のレポートをお送りします。

セッション概要

Amazon offers multiple options to achieve your connectivity requirements to access your resources in AWS. Whether you are connecting your corporate office or on-premises data center into AWS for hybrid connectivity or your personal device for end-user connectivity, AWS has many options for you to pick and choose. This session is intended for anyone wanting to get an overview of the AWS connectivity options available to you and learn about the best practices for architecting your connectivity to AWS.

スピーカー

• Anoop Dawani
  • Principal Product Manager, Amazon Web Services
• Tom Adamski
  • Specialist SA, Networking, Amazon Web Services

まとめ

今回のアップデート内容を含めた内容で非常に勉強になりました。

まだまだオンプレと AWS との接続が必要となる場面は多いかと思います。今回紹介された各種接続方法をしっかりと理解した上、要件とコストにあった接続方法を検討していければと思いました。

個人的には新しいアップデートである Ingress Routing が今までの AWS では難しかったオンプレに寄せたセキュリティポリシーを実現できる可能性があるので興味がでてきました。 (もちろん、オンプレのセキュリティポリシーをそのままクラウドに持ってくるのもツラいので、事前にセキュリティポリシーの検討は必要となるかと思います。

レポート

• 接続方法
  • オンプレと AWS の接続
    • AWS Site-to-Site VPN
    • AWS Direct Connect
    • Amazon VPC
    • AWS Transit Gateway
  • Ingress Routeing
    • Virtual private Gateway
    • Internet Gateway
  • Hybrid DNS
    • Amazon Route 53 Resolver
  • ユーザーと AWS の接続
    • AWS Client VPN
• AWS Site-to-Site VPN
  • AWS Site-to-Site VPN とは
    • AWS のフルマネージドかつ可用性の高い VPN エンドポイント
    • 異なるアベイラビリティーゾーンに1つの VPN 接続ごとに2つの VPN トンネル
    • AES 256、SHA-2、および最新の DH グループを使用した IPSec サイト間トンネル
    • IKEV2 & NAT-T をサポート
  • VPN 設定
    • Static
      • ポリシー及びルートベース
      • スタティックルーティング
      • Pre-shared key か証明書による認証ベース
        • AWS サイト間 VPN で証明書による認証のサポートを開始
    • Dynamic
      • ルートベースのみ
      • ダイナミックルーティング (BGP)
      • Pre-shared key か証明書による認証ベース
  • 複数の VPC に接続する場合
    • VGW の場合、それぞれの VPC に VPN エンドポイントが必要
    • TGW の場合、オンプレと AWS との接続は TGW のみ、VPC 側は TGW にそれぞれ接続する
    • 
  • AWS Accelerated Site-to-Site VPN
    • [速報] AWS Accelerated Site to site VPN Connectionsがリリースされました！ #reinvent ｜ Developers.IO
    • AWS Global Accelerator を利用し、接続拠点から一番近い AWS エッジロケーションにルーティングし、ネットワーク経路を最適化することで、高いパフォーマンスで通信することができる
    • 
• Direct Connect
  • Direct Connect とは
    • 一貫したパフォーマンスと帯域幅コストの削減を提供するAWSへの専用ネットワーク接続
  • 接続タイプ
    • Private VIF
      • プライベートIPアドレスを使用してAmazon VPCに接続するために使用されます。直接接続または Direct Connect Gateway 経由
    • Transit VIF
      • Direct Connect Gateway 経由で Transit Gateway へ接続するために使用されます。
    • Public VIF
      • Public IP を使用して、すべての AWS パブリックサービスにアクセスするために使用されます
    • すべての仮想インターフェイスは、BGP ピアリングを使用した 802.1Q VLAN です
    • 
• ハイブリッド接続
  • Multi-region TGW Hybrid
    • DRIVERS
      • フルメッシュ接続
      • 各 VPC での単純なルーティング
      • 運用が楽
      • 単一のDXGWが数千のVPCに対応
    • 考慮事項
      • オンプレミスとのトラフィックの TGW データ処理コスト
      • TGW から DXGW 20 ルートの制限（集約が必要）
  • Multi-region DXGW Hybrid
    • DRIVERS
      • フルメッシュ接続
      • AWS とオンプレミスネットワーク間のデータ転送に TGW 処理コストはかからない
      • プライベート VIF あたり 100 ルート
    • 考慮事項
      • 10 個の VPC ごとにプライベート VIF と DXGW が必要
      • VPC には TGW と VGW を介した異なるルートが必要
  • TGW - Direct Connect with VPN backup
    • DRIVERS
      • Direct Connect 接続のバックアップ
      • プロビジョニングが簡単で早い
    • 考慮事項
      • VPN パスを介してより具体的なプレフィックスをアドバタイズしない
      • 10Gbps Direct Connect のキャパシティに一致するために必要な複数のトンネル
  • AWS Transit Gateway Network Manager
    • Transit Gateway の環境を可視化できるサービス。マルチリージョンなどネットワーク構成の全体像が大きい場合にはよさそう。
    • [速報] AWS Transit Gateway Network Managerがしれっと発表されました #reinvent ｜ Developers.IO
    • [新サービス] グローバルなネットワーク構成が一目瞭然！AWS Transit Gateway Network Manager を使ってみた #reinvent ｜ Developers.IO
    • Transit Gateway Network Managerを使ってTransit GatewayとVPN接続の可視化をしてみた #reinvent ｜ Developers.IO
• Ingress Routing
  • ミドルの使用例
    • 「オンプレミスとAWS間のすべてのトラフィックにファイアウォールが必要です。」
    • 「VPCの侵入検知にはコンプライアンス要件があります。」
    • 「当社のセキュリティ組織には、アプリケーションレベルの検査が必要です。」
    • 「インターネットトラフィック用のセキュリティアプライアンスを一元化したい」
  • Ingress Routing とは
    • 最終的な宛先に到達する前に、入力トラフィックをサードパーティのアプライアンスにリダイレクトします
    • セキュリティアプライアンスを簡単に展開して、VPCを出入りするすべてのネットワークトラフィックを保護します
    • 個々のワークロードに合わせたきめ細かいネットワークおよびセキュリティポリシーを作成する
    • コンプライアンス上の理由から、オンプレミスと同じネットワークおよびセキュリティポリシーをクラウドに適用する
    • ニーズに合わせてカスタムした仮想ネットワーク機能(VNF) を展開します
  • [VPC Ingress Routing]IGWとVGWにルートテーブルをアタッチ！全ての通信をEC2経由へ。サードパーティIDS製品などの通信をシンプルに #reinvent ｜ Developers.IO
• Route 53 Resolver
  • Route 53 Resolver とは
    • Route 53 のマネージド DNS リゾルバーサービス
    • AWS Direct Connect およびマネージド VPN を介したハイブリッド DNS 解決を有効にします
    • クエリトラフィックをリダイレクトする条件付き転送ルールを作成する
• AWS Client VPN
  • AWS Client VPN とは
    • ユーザーの要求に合わせて自動的にスケーリングするAWS 管理のクライアントベースの VPN サービス
    • OpenVPN クライアントを使用して、AWS の任意のリソースおよびオンプレミスにどこからでも安全かつ詳細なアクセスを提供します
    • VPC、Active Directory などの既存のインフラストラクチャとシームレスに統合