[レポート] NET317: AWS およびハイブリッド AWS ネットワークアーキテクチャへの接続 #reinvent

2019.12.05

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、ラスベガスにも慣れてきてよく寝ることができた、コンサル部の望月です。

本日のラスベガスはあいにくの雨ですが、ホテル間の移動にシャトルバスを利用することができるため、雨でもそこまで困らず移動することができていいですね。

さて、AWS への接続にはいろいろな方法があります。どういった要件ではどういった接続方法があるのか、本セッションで学びたいと思います。

本記事では AWS re:Invent 2019のセッション「NET317: Connectivity to AWS and hybrid AWS network architectures」 のレポートをお送りします。

セッション概要

Amazon offers multiple options to achieve your connectivity requirements to access your resources in AWS. Whether you are connecting your corporate office or on-premises data center into AWS for hybrid connectivity or your personal device for end-user connectivity, AWS has many options for you to pick and choose. This session is intended for anyone wanting to get an overview of the AWS connectivity options available to you and learn about the best practices for architecting your connectivity to AWS.

スピーカー

  • Anoop Dawani
    • Principal Product Manager, Amazon Web Services
  • Tom Adamski
    • Specialist SA, Networking, Amazon Web Services

まとめ

今回のアップデート内容を含めた内容で非常に勉強になりました。

まだまだオンプレと AWS との接続が必要となる場面は多いかと思います。今回紹介された各種接続方法をしっかりと理解した上、要件とコストにあった接続方法を検討していければと思いました。

個人的には新しいアップデートである Ingress Routing が今までの AWS では難しかったオンプレに寄せたセキュリティポリシーを実現できる可能性があるので興味がでてきました。 (もちろん、オンプレのセキュリティポリシーをそのままクラウドに持ってくるのもツラいので、事前にセキュリティポリシーの検討は必要となるかと思います。

レポート

  • 接続方法
    • オンプレと AWS の接続
      • AWS Site-to-Site VPN
      • AWS Direct Connect
      • Amazon VPC
      • AWS Transit Gateway
    • Ingress Routeing
      • Virtual private Gateway
      • Internet Gateway
    • Hybrid DNS
      • Amazon Route 53 Resolver
    • ユーザーと AWS の接続
      • AWS Client VPN
  • AWS Site-to-Site VPN
    • AWS Site-to-Site VPN とは
      • AWS のフルマネージドかつ可用性の高い VPN エンドポイント
      • 異なるアベイラビリティーゾーンに1つの VPN 接続ごとに2つの VPN トンネル
      • AES 256、SHA-2、および最新の DH グループを使用した IPSec サイト間トンネル
      • IKEV2 & NAT-T をサポート
    • VPN 設定
    • 複数の VPC に接続する場合
      • VGW の場合、それぞれの VPC に VPN エンドポイントが必要
      • TGW の場合、オンプレと AWS との接続は TGW のみ、VPC 側は TGW にそれぞれ接続する
    • AWS Accelerated Site-to-Site VPN
  • Direct Connect
    • Direct Connect とは
      • 一貫したパフォーマンスと帯域幅コストの削減を提供するAWSへの専用ネットワーク接続
    • 接続タイプ
      • Private VIF
        • プライベートIPアドレスを使用してAmazon VPCに接続するために使用されます。直接接続または Direct Connect Gateway 経由
      • Transit VIF
        • Direct Connect Gateway 経由で Transit Gateway へ接続するために使用されます。
      • Public VIF
        • Public IP を使用して、すべての AWS パブリックサービスにアクセスするために使用されます
      • すべての仮想インターフェイスは、BGP ピアリングを使用した 802.1Q VLAN です
  • ハイブリッド接続
  • Ingress Routing
    • ミドルの使用例
      • 「オンプレミスとAWS間のすべてのトラフィックにファイアウォールが必要です。」
      • 「VPCの侵入検知にはコンプライアンス要件があります。」
      • 「当社のセキュリティ組織には、アプリケーションレベルの検査が必要です。」
      • 「インターネットトラフィック用のセキュリティアプライアンスを一元化したい」
    • Ingress Routing とは
      • 最終的な宛先に到達する前に、入力トラフィックをサードパーティのアプライアンスにリダイレクトします
      • セキュリティアプライアンスを簡単に展開して、VPCを出入りするすべてのネットワークトラフィックを保護します
      • 個々のワークロードに合わせたきめ細かいネットワークおよびセキュリティポリシーを作成する
      • コンプライアンス上の理由から、オンプレミスと同じネットワークおよびセキュリティポリシーをクラウドに適用する
      • ニーズに合わせてカスタムした仮想ネットワーク機能(VNF) を展開します
    • [VPC Ingress Routing]IGWとVGWにルートテーブルをアタッチ!全ての通信をEC2経由へ。サードパーティIDS製品などの通信をシンプルに #reinvent | Developers.IO
  • Route 53 Resolver
    • Route 53 Resolver とは
      • Route 53 のマネージド DNS リゾルバーサービス
      • AWS Direct Connect およびマネージド VPN を介したハイブリッド DNS 解決を有効にします
      • クエリトラフィックをリダイレクトする条件付き転送ルールを作成する
  • AWS Client VPN
    • AWS Client VPN とは
      • ユーザーの要求に合わせて自動的にスケーリングするAWS 管理のクライアントベースの VPN サービス
      • OpenVPN クライアントを使用して、AWS の任意のリソースおよびオンプレミスにどこからでも安全かつ詳細なアクセスを提供します
      • VPC、Active Directory などの既存のインフラストラクチャとシームレスに統合