Category: Amazon VPC*


新機能 – DynamoDB VPCエンドポイントが出ました

今日(翻訳元記事2017年8月16日)からAmazon Virtual Private Cloud(VPC)Amazon DynamoDB用エンドポイントがすべてのAWSのリージョンでご利用いただけます。AWS Management ConsoleまたはAWS Command Line Interface(CLI  コマンドラインインターフェイス)を使用して、すぐにエンドポイントをプロビジョニングできます。DynamoDBのVPCエンドポイントには追加費用はかかりません。

多くのAWSをお使い頂いているお客様は、セキュリティまたは分離の理由からAmazon Virtual Private Cloud(VPC)内でアプリケーションを実行します。以前は、VPC内のEC2インスタンスがDynamoDBにアクセスできるようにするには、2つのオプションがありました。インターネットゲートウェイ(NATゲートウェイを使用するかインスタンスの公開IPを割り当てる)を使用するか、すべてのトラフィックをVPNまたはAWS Direct Connect経由でローカルインフラストラクチャにルーティングしてからDynamoDBに戻すことができます。これらのソリューションには両方ともセキュリティとスループットの関係があり、NACLまたはセキュリティグループを構成してDynamoDBだけへのアクセスを制限することは困難でした。下の画像は上記のパターンのアーキテクチャです。

エンドポイントの作成
DynamoDBのVPCエンドポイントを作成しましょう。DescribeVpcEndpointServices APIコールを使用して、指定したリージョンでエンドポイントがサポートされていることを確認できます。

aws ec2 describe-vpc-endpoint-services --region us-east-1
{
    "ServiceNames": [
        "com.amazonaws.us-east-1.dynamodb",
        "com.amazonaws.us-east-1.s3"
    ]
}

上記の結果により、これらのエンドポイントをサポートしていることを確認出来ました。私は自分のVPCの1つを指定して、CLIまたはコンソールからの操作で簡単にエンドポイントをプロビジョニングできます。コンソールの使い方はこれから説明します。

最初に、VPCコンソールに移動し、サイドバーの[Endpoint]を選択します。そこから「Create Endpoint」をクリックして、この便利なコンソールに遷移します。

エンドポイントのAWS Identity and Access Management (IAM) ポリシーセクションに気づくでしょう。これは、通常のIAMポリシーでDynamoDBがサポートする詳細なアクセス制御をすべてサポートし、IAMポリシー条件に基づいてアクセスを制限できます。

今の例ではこのVPC内のインスタンスはフルアクセスし出来るようにして、「次のステップ」をクリックします。

これは私のVPC内のルートテーブルのリストに、これらのルートテーブルのどれに私のエンドポイントを割り当てるかを尋ねています。いずれかを選択して[Create Endpoint]をクリックします。

コンソールの警告メッセージに注意してください。パブリックIPアドレスに基づいてDynamoDBにソース制限がある場合、DynamoDBにアクセスするインスタンスのソースIPはプライベートIPアドレスになります。

DynamoDBのVPCエンドポイントをVPCに追加した後のアーキテクチャは次のようになります。

これでおしまいです!とても簡単で無料で利用する事ができます。是非利用してみて下さい。詳細が必要な場合は、ここでドキュメントを読むことができます。

(SA 成田が翻訳しました。元記事はこちら

AWS でホストされたアプリケーション用のユーザーネットワークから Amazon VPC への接続

AWS では非常に多くのことが起こっており、十分な知識に基づく決定や、計画プロセスの例のまとめ方について支援を求める声が読者の方々からよく寄せられています。本日は、Amazon Marketplace の上級カテゴリーリーダー Jim Carroll が、AWS Marketplace における AWS ネットワーキングサービスとソリューションについて説明します。

-Ana


先月、当社は新しいロンドンの AWS リージョンについて発表しました。この新しいリージョンは当社のグローバルインフラストラクチャを拡大し、コスト効果のあるスケーリングを行い、コンプライアンスおよびデータレジデンシー要件を満たすための、より多くの地理的オプションをパートナーやお客様に提供します。この発表は私の記憶に生々しいものです。というのも、AWS Marketplace の AWS ネットワーキングサービスとソリューションに関してお客様と最近行った会話の中で、お客様はこれを利用して企業ネットワークを AWS クラウドの仮想プライベートネットワークと接続しているというお話を聞いたからです。通常、お客様は、次のいずれかのビジネスニーズまたはその組み合わせをサポートするために、AWS でこのアーキテクチャをデプロイしています。

  • AWS クラウドにアプリケーションを継続して移行する
  • 離れた支社やリモート接続のために迅速かつコスト効果の高い方法でネットワークをスケールし、アプリケーションを AWS クラウドに移行中のエンドユーザーエクスペリエンスを向上させる
  • コンプライアンスおよびデータレジデンシー要件を満たす

本日は、このようなビジネスニーズを持つお客様が利用できる VPN オプションを概説し、意思決定を簡単に行えるよう支援します。Amazon VPC では、AWS が管理する VPN の設定、AWS Direct Connect でのプライベート回線接続の使用、および VPN 接続のための VPC でのサードパーティーネットワーキングソフトウェアの有効化が可能です。ユーザーがデスクトップまたはモバイルデバイスから直接 AWS にアクセスできるようにする、クライアントからサイトへの VPN を選択することもできます。Steve Morad の 2014 年のホワイトペーパーAmazon Virtual Private Cloud Connectivity Options」で、リモートネットワークから Amazon VPC への接続オプションの概要が説明されています。次の表は、これらの洞察と、AWS 上のお客様の仮想ネットワークで AWS が管理する VPN またはユーザーが管理するソフトウェア VPN エンドポイントを選択するうえでの考慮事項を示しています。この説明には、Morad のホワイトペーパーからの情報が含まれています。

ユーザーネットワークから Amazon VPC への接続オプション
AWS が管理する VPN インターネット経由の IPsec VPN 接続
AWS Direct Connect プライベート回線の専用ネットワーク接続
AWS Direct Connect + VPN プライベート回線の IPsec VPN 接続
AWS VPN CloudHub プライマリまたはバックアップ接続用のハブアンドスポークモデルでリモートの支社を接続
ソフトウェア VPN インターネット経由のソフトウェアアプライアンスベースの VPN 接続

AWS が管理する VPN
この手法により、自動化された複数のデータセンターの冗長性と、VPN 接続の AWS 側に組み込まれたフェイルオーバーを含む、AWS が管理する VPN エンドポイントの利点を活用できます。動的ルーティングと静的ルーティングのどちらも利用できるため、お客様側でフレキシブルにルーティング設定を行えます。図 1 にこれを示します。

図 1 - AWS が管理する VPN

AWS が管理する VPN の考慮事項:

  • ここに示してはいませんが、Amazon 仮想プライベートゲートウェイは 2 つの明確な VPN エンドポイントを表します。これらは別々のデータセンターに物理的に配置され、VPN 接続の可用性を高めます。
  • 動的ルーティングと静的ルーティングのどちらも利用できるため、お客様側でフレキシブルにルーティング設定を行えます。
  • 動的ルーティングは、ボーダーゲートウェイプロトコル (BGP) ピア接続による AWS とこれらリモートのエンドポイントとの間のルーティング情報の交換を強化します。
  • 動的ルーティングを使用すると、BGP アドバタイズメント内でルーティングの優先度、ポリシー、重みづけ (メトリクス) を指定し、お客様のネットワークと AWS 間のネットワーク経路を操作することができます。
  • 動的ルーティングを使用する場合、BGP 経由でアドバタイズされたルートは選択されたルーティングテーブルに伝達でき、新しいルートの AWS へのアドバタイズが容易になります。

ソフトウェア VPN
このオプションでは、リモートネットワークに接続する 1 つの Amazon EC2 インスタンスで実行するソフトウェア VPN アプライアンスを利用します。このオプションでは、ソフトウェアアプライアンス、設定、パッチ、およびアップグレードの管理を含む、Amazon VPC 接続の両面を管理する必要があります。 このオプションは、VPN 接続の両面を管理する必要がある場合にお勧めします。考慮事項:

  • コンプライアンス: この手法を、ハイブリッドネットワークアーキテクチャのコンプライアンスとデータレジデンシー要件に使用する必要が生じることもあります。IT セキュリティとプライバシーの規制によって特定の業界が管理され、ネットワークを含む IT インフラストラクチャは特定の政府標準規格を満たす必要があります。
  • ゲートウェイデバイスのサポート: 現在 Amazon が管理する VPN ソリューションによってサポートされていないゲートウェイデバイスを持っているお客様は、オンプレミスへの既存の投資を活用するため、ソフトウェア VPN のデプロイを選択してください。サポートされているゲートウェイデバイスのリストは、こちらにあります
  • AWS Marketplace のネットワーキングインフラストラクチャソリューション: オンプレミスネットワーキングインフラストラクチャソフトウェアは、AWS Marketplace の多くのソフトウェアベンダーからの事前設定済みでカスタマイズ可能な AMI を使用して簡単に拡大できます。

ソフトウェア VPN インスタンス用の HA アーキテクチャの例
ソフトウェア VPN インスタンス用の完全な復元力のある VPC 接続の作成では、複数の VPN インスタンスのセットアップと設定、およびインスタンスのモニタリングによる VPN 接続の状態の追跡が必要です。

図 3: HA 設計の概要

1 つのアベイラビリティーゾーンのすべてのサブネットから、同じアベイラビリティーゾーンの各 VPN インスタンスを通じてトラフィックをルーティングすることにより、すべての VPN インスタンスを同時に活用するよう VPC ルートテーブルを設定することをお勧めします。その場合、各 VPN インスタンスは同じアベイラビリティーゾーンを共有するインスタンスに VPN 接続を提供します。ホワイトペーパーでは、詳細情報と考慮事項を示しています。AWS MarketplaceBrocadeCisco などのベンダーからのネットワーキングインフラストラクチャソリューションを利用することで、オンプレミスシステムとクラウドへの既存の投資を最大限活用して、お客様固有のビジネス上の課題を満たすことができます。

-Jim Carroll

新機能 – Virtual Private Cloud での EC2 インスタンスの IPv6 サポート

インターネットは、特にモバイルアプリケーション、コネクテッドデバイス、そしてIoTの分野で引き続き成長しており、それが業界全体のIPv6への移行に拍車をかけています。米国政府機関は2010年に定められた指令に従って、パブリックに公開されたサーバーとサービスをできるだけすみやかにIPv6に移行するように取り組んでいます。128ビットのアドレス空間を持つIPv6では十分な拡張の余地があり、新しいアプリケーションやユースケースへの道が開かれます。

EC2のIPv6

今年の初めに、S3 (Transfer Accelerationを含む)、CloudFrontWAF、および Route 53のIPv6サポートを開始しました。本日、新しい大きなステップとして、Virtual Private Cloud (VPC) およびEC2インスタンスのIPv6サポートを開始しました。米国東部 (オハイオ) リージョンを皮切りに、他のリージョンも対応を進めていきます。

IPv6サポートは、新規および既存のVPCで利用できます。マネジメントコンソール上でチェックボックスにチェックを入れるだけで、VPCごとにオプトインすることができます (APIとCLIもサポートされます)。

(more…)

AWS ソリューション – Transit VPC

今日は新しい AWS ソリューションをご紹介します。とても興味深い機能です。AWS クイックスタートと同様に、これは AWS ソリューションアーキテクトがセキュリティと可用性のベストプラクティスを取り入れて構築した機能です。この新しい Transit VPC Solution は transit VPC と呼ばれる実に便利なネットワーク構築の実装方法を示します。この機能を使用して地理的に離れていたり、別々の AWS アカウントで実行している仮想プライベートクラウド (VPC) をグローバルネットワーク転送センターとして機能する一般的な VPC と接続することができます。このネットワークトポロジーはネットワーク管理を簡略化し、設定と管理を必要とする接続の数を減少することができます。さらに実装は仮想的に行うようになっているので、物理的なネットワーク機器は不要、コロケーション転送ハブの目の前にいる必要もありません。次の例をご覧ください。

この図では、transit VPC が中央にあり、その周囲に「スポーク型」の VPC と、企業データセンター、その他のネットワークが配置されています。transit VPC は複数の重要なユースケースをサポートします。

  • プライベートネットワーキング – 2 つ以上の AWS リージョンに渡るプライベートネットワークを構築できます。
  • 共有接続 – 複数の VPC はデータセンター、パートナーネットワーク、その他のクラウドと接続を共有できます。
  • クロスアカウント AWS の使用量 – VPC と AWS のリソースを複数の AWS アカウントに収めることができます。

ソリューションは AWS CloudFormation スタックを使用し、すべての AWS リソースを起動し構成します。500 Mbps から 2 Gbps のスループットオプション 3 つを提供します。それぞれ可用性を実現する接続ペアで実装されます。このスタックが使用する Cisco Cloud Services Router(CSR) が AWS Marketplace で入手可能になりました。既存の CSR ライセンス (BYOL モデル) を使用するか、CSR の使用量を時間単位で支払うことができます。transit VPC の実行に掛かる費用は、お客様がお選びになったスループットオプションとライセンスモデルによります。料金は 1 時間あたり 0.21 USD から 8.40 USD、プラス各スポーク VPC 1 時間あたり 0.10 USD の追加料金 (AWS リソース用) が適用されます。ソリューション特有のお客様専用 AWS Key Management Service (KMS) マスターキーに月額 1 USD の追加料金が適用されます。これらの料金はすべてネットワーク転送の料金には含まれません。テンプレートはクリエイティブに AWS Lambda 関数のペアをインストールしたり使用します。VGW Poller 関数は毎分実行されます。アカウントですべての AWS リージョンをスキャンし、VPN 接続がないスポーク VPC で適切にタグした仮想プライベートゲートウェイを探します。それが見つかると (必要に応じて) 対応するカスタマーゲートウェイと CSR への VPN 接続を作成し、S3 バケットにその情報を保存します。バケットの Put イベントが Cisco Configurator 機能をトリガーします。VPN 接続の情報を解析し必要な設定ファイルを生成したら SSH を使用して CSR にプッシュします。これにより VPN トンネルが現れ (BGP の作用を含む)、スポーク VPC で近隣の関係を確立します。この方法で Lambda を使用すると、活用されていない EC2 インスタンスを実行する必要なく、新しいスポーク VPC を素早くオンラインにさせることが可能になります。ソリューションの実装ガイドには、いつものように詳しい手順とセキュリティアドバイスが記載されています。

Jeff

PS – 一般的なネットワーク問題についてはネットワークのベストプラクティスガイダンスをご覧ください。