Amazon Web Services ブログ

Category: Networking & Content Delivery

AWS 及びオンプレミスリソースに安全にアクセスができる、AWS Client VPNの紹介

大小の多くの組織は、内部ネットワークでホストされているリソースへの安全なリモートユーザーアクセスを容易にするために、何らかの形のクライアント仮想プライベートネットワーク(VPN)接続に依存しています。これは、多くの場合、EC2インスタンスでオンプレミスのVPNハードウェアまたはプロビジョニングされたクライアントソフトウェア、VPNインフラストラクチャに依存することを意味しています。これらのクライアントベースのVPNソリューションの管理は、スケーリングと運用の課題をもたらし、継続的な負担となっています。多くの場合、予期しないイベントによって帯域幅と接続要件が急上昇し、VPNの可用性が低下します。 概要 AWS Client VPNは、OpenVPNベースのクライアントを使用して、任意の場所からAWSおよびオンプレミスのリソースに安全にアクセスする機能をお客様に提供するフルマネージドサービスです。リモートのエンドユーザーからAWSおよびオンプレミスのリソースへの接続は、この高可用性でスケーラブルな従量課金制のサービスによって促進できます。クライアントVPNソリューションの維持と実行という、差別化されていない重い作業からは完全に回避されます。AWS Client VPNでユニークなのは、サービスのスケーラブルな性質です。このサービスは、ライセンスや追加のインフラストラクチャを取得または管理する必要なく、多くのユーザーにシームレスに拡張されます。これは、典型的な接続の1日の流れなど、急激なワークロードにとって重要です。この良い例が悪天候です。通常、レガシークライアントVPNソリューションは、クライアント接続の増加に伴い、クライアント接続を提供するために必要な帯域幅の巨大な流入はもちろんのこと、限界に達しています。AWS Client VPNは、使用量の増加にもかかわらず、容量のニーズに合わせてスケーリングし、一貫したユーザーエクスペリエンスを保証します。 AWS Client VPNは、証明書ベースの認証とActive Directoryベースの認証の両方をサポートしています。Active Directoryグループに基づいてアクセスコントロールルールを定義でき、セキュリティグループを使用してAWS Client VPNユーザーのアクセスを制限できるため、顧客はより厳格なセキュリティコントロールを取得できます。単一のコンソールを使用して、すべてのクライアントVPN接続を簡単に監視および管理できます。クライアントVPNでは、Windows、macOS、iOS、Android、Linuxベースのデバイスなど、OpenVPNベースのクライアントから選択できます。 クライアントVPNは、クラウド中心の方法でクライアントVPNインフラストラクチャのプロビジョニング、スケーリング、および管理を簡素化しようとしています。コンソールを数回クリックするだけで、スケーラブルなクライアントVPNソリューションを簡単に展開できます。 使い方 AWSはクライアントVPNのバックエンドインフラストラクチャを管理します。必要に応じてサービスを構成するだけです。プロビジョニングプロセスを次のアーキテクチャ図に示します。 クライアントVPNの導入 次に、クライアントVPNの展開について説明します。Active Directory認証を使用したクライアントVPN接続のエンドツーエンドソリューションの展開について説明します。 クライアントVPNエンドポイントを作成する まず、AWSマネジメントコンソールのVPCセクションに移動します。オプションとして、クライアントVPNエンドポイントがあります。 コンソールのこの新しい部分から、クライアントVPNエンドポイントを作成できます。 次に、VPNクライアントのCIDRを選択します。この例では、使用できる最小のサブネットである/ 22アドレススペースを使用しています。必要に応じて、より大きなサブネットを指定できます(/ 18まで)。選択するサブネットが、クライアントVPNエンドポイントを介してアクセスするリソースと重複しないことを確認してください。クライアントVPNはソースNAT(SNAT)を使用して、関連付けられたVPCのリソースに接続することに注意してください。 次のセクションでは、認証のための情報を入力する必要があります。以前に管理対象のActive Directoryを展開したことがあるので、それを選択します。AWS Managed Microsoft ADディレクトリがない場合は、ここからセットアップに関する詳細情報を見つけることができます。プライベート証明書を生成してAWS Certificate Manager(ACM)にインポートする必要があります。このウォークスルーでは、Active Directory認証のみを示しています。 次のセクションでは、接続ログを構成します。この目的のために、CloudWatchロググループをすでに設定しています。接続ログを使用すると、クライアントが接続を試みたフォレンジックと、接続試行の結果を取得できます。 構成の最後のセクションでは、DNSサーバーのIPアドレスを指定し、クライアント接続にTCPまたはUDPを選択します。ここでは、Route 53 Resolverの受信エンドポイントのIPアドレスを選択していますが、環境で使用するDNSサーバーを選択できます。 必要な情報の入力が完了すると、VPNエンドポイントがPending-associateであることがわかります。これで、VPNエンドポイントを1つ以上のVPCに関連付けることができます。 クライアントVPNエンドポイントをターゲットネットワークに関連付ける 次のステップは、VPNエンドポイントをターゲットネットワーク(VPCサブネット)に関連付けることです。これは、AWSクライアントVPNコンソールのアソシエーション部分を介して行われます。 VPCとサブネットを選択して、クライアントVPNエンドポイントとの関連付けを作成します。VPCに特定のサブネットを作成して、VPCエンドポイントのENIをホストし、クライアントVPNトラフィックの可視性とトレーサビリティを容易にしました。クライアントVPCエンドポイントは複数のサブネットに関連付けることができますが、各サブネットが同じVPCに属しているが、異なるアベイラビリティーゾーンに属している必要があることです。ターゲットネットワーク(VPC内のサブネット)を正常に関連付けると、VPNセッションを作成することができ、リソースにアクセスできなくなります。 VPCへのエンドユーザーアクセスを有効にする(承認ルールを追加する) 次のステップは、認可ルールを追加することです。承認規則は、クライアントVPNエンドポイントを介して指定されたネットワークにアクセスできるユーザーのセットを制御します。例では、「クライアントVPN」ADグループのユーザーにのみアクセスを許可します。これを行うには、まず、AWSアカウントの既存のAWS Microsoft Active Directoryで作成した「クライアントVPN」ADグループのSIDを取得します。これは次のスクリーンショットに示されています。 次に、クライアントVPNコンソールの承認部分に移動し、[ Authorize Ingress ]をクリックします。 宛先ネットワークを有効にするにはインターネットのトラフィック(NAT Gatewayを通じてVPC内で実行している)を含め、クライアントVPNエンドポイントを通って流れるようにすべてのトラフィックを有効にするためには、私は0.0.0.0/0のデフォルトルートを入力します。次に、VPNユーザーグループのSIDをActive […]

Read More

[AWS Black Belt Online Seminar] オンプレミスとAWS間の冗長化接続 資料及び QA 公開

先日 (2020/02/19) 開催しました AWS Black Belt Online Seminar「オンプレミスとAWS間の冗長化接続」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続 from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. リージョンをまたいだ冗長構成(Act/Act、Act/Sby)のベストプラクティスはありますでしょうか? A. 多くの場合、オンプレミス拠点から一番近くにある Direct Connect ロケーションへ接続したほうが、レイテンシーの面で有利になります。そのため、レイテンシーが短い接続を Active、他方を Standby とする方が一般的かと考えます。 一方で、こういったレイテンシーの違いによるアプリケーションへの影響が無い場合、両方の接続で帯域を使い切る事ができるActive-Activeを選択する事も有効です。 どちらの方式を選択するかは、ご利用のアプリケーションの要件からご判断ください。 — 今後の AWS Webinar | イベントスケジュール 直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。 — AWSome Day Online Conference 「AWSome Day Online」は、実際に足を運んでいただく 1 日の AWSome Day […]

Read More

Contour で EKS Ingress を保護し、Let’s Encrypt の GitOps 方法を学びます

Weaveworks の Stefan Prodan 氏によるゲスト投稿です。 Kubernetes の用語で、Ingress は、クラスターの外部からクラスター内で実行されているサービスへの HTTP(S) ルートを公開します。Ingress は、負荷分散と SSL/TLS 終了を実行しながら、Kubernetes サービスに外部から到達可能な URL を提供するように構成できます。 Kubernetes には Ingress リソースが付属しており、ELB Ingress Controller や NGINX などの Ingress 仕様を実装するコントローラがいくつかあります。Kubernetes Ingress の仕様は非常に限られているため、ほとんどのコントローラはアノテーションを使用してルーティング機能を Ingress が許可する基本範囲を超えて拡張する必要がありました。ただし、アノテーションを使用しても、名前空間間のルーティングや加重負荷分散など、解決できない制限がいくつかあります。 Contour (今後 CNCF プロジェクト) は、Envoy に基づいた最新の Ingress コントローラで、HTTPProxy という名前の新しい仕様で Ingress API の機能を拡張します。HTTPProxy API は、より豊かなユーザー体験を可能にし、マルチテナント環境での Ingress の使用制限に対処します。 HTTPProxy 仕様は、HTTP ヘッダーまたは Cookie フィルターに基づいた高度な L7 ルーティングポリシー、および Kubernetes […]

Read More

株式会社フジテレビジョン、ワールドカップバレー 2019 の配信において AWS を利用した超低遅延配信を実現

『 超低遅延配信は放送番組の視聴をより楽しくするマルチスクリーンでの利用や UGC におけるユーザ体験の向上を通し、インターネット配信に大きな変化をもたらすでしょう。』と株式会社フジテレビジョン(フジテレビ) 技術局 技術開発部 副部長 伊藤氏は述べます。 そして以下のように続きます。『 今回の ワールドカップバレー 2019( FIVB2019 ) では数万人が同時に視聴できる環境をわずか 3~4 週間で組み上げ本番に臨みました。我々は手軽に素早く超低遅延配信環境を実現できるようになりました。また、従量課金で利用でき、配信時における煩雑な運用から解放された事を非常に嬉しく思います。我々は既にそのユースケースを拡大しています。』 超低遅延配信はスポーツ Live 、TV と連動した配信、配信者/ユーザとのインタラクティブなやりとりを必要とする配信など様々なシーンで求められています。ただし超低遅延配信の実現には CMAF-UltraLowLAtency(ULL) 、WebRTC 、LL-HLS 、セグメント秒数を切り詰めた HLS/MPEG-DASH など様々なアプローチがありますが、超低遅延配信に対応したエンコーダ/インフラ/プレイヤーの準備が必要であり、大規模配信への対応の容易さ、到達できる遅延秒数も様々でした。 フジテレビは CMAF-ULL を用いて地上デジタル放送と同程度の約2~3秒という遅延量で FIVB2019 の配信を実現させました。それは地上デジタル放送の放送映像をさらに楽しんで頂くためのマルチスクリーンとして配信され、TV では試合のコート全体が映し出されている間、手元のスマートフォンではエース選手やフォーカスされた選手にクローズアップされるといったユーザ体験を向上させる取り組みでした。目的はユーザ体験を向上させ、これまでよりも更に試合の運び、選手の動きに注目し、放送番組にのめり込んでもらう事でした。 低遅延配信を実現した仕組みを以下の図に記します。 試合会場からの映像信号はフジテレビ局舎に伝送され、地上デジタル放送用設備と超低遅延配信用エンコーダである Videon社のEdgeCaster4K に分配して入力されます EdgeCaster4K では入力された映像信号を CMAF-ULL の HLS/DASH に処理します。1つの fMP4 ファイルの構造は 8 秒セグメント、200msec の Chunk です EdgeCaster4K からは専用線である AWS DirectConnect を通りオリジンサーバとなる […]

Read More

AWS Transit Gatewayにマルチキャストとインターリージョンピアリング機能を追加

AWS Transit Gateway は、1 つのゲートウェイを使用して、数千の Amazon Virtual Private Cloud(VPC)とオンプレミスネットワークを接続できるサービスです。 お客様は、このサービスがもたらす運用コストの削減と全体的なシンプルさを享受しています。 さらに、本日(2019/12/03) AWS Transit Gateway インターリージョンピアリングと AWS Transit Gateway マルチキャストという 2 つの新機能がリリースされました。 ピアリング お客様がAWSでワークロードを拡張するときに、複数のアカウントやVPCにまたがってネットワークを拡張する必要があります。お客様は、VPCピアリングを使用して VPC のペアを接続するか、PrivateLink を使用して VPC 間でプライベートサービスエンドポイントを公開することができます。 しかし、この管理は複雑です。 AWS Transit Gateway インターリージョンピアリングでは、これに対処し、複数のAWSリージョンにまたがるセキュアでプライベートなグローバルネットワークを簡単に作成できます。 インターリージョンピアリングを使用すると、組織内の異なるネットワーク間で一元化されたルーティングポリシーを作成し、管理を簡素化し、コストを削減できます。 インターリージョンピアリングを流れるすべてのトラフィックは匿名化、暗号化され、AWS バックボーンによって伝送されるため、リージョン間の最適なパスが常に最も安全な方法で確保されます。 マルチキャスト AWS Transit Gateway Multicast を使用すると、クラウドでマルチキャストアプリケーションを構築し、接続された数千の仮想プライベートクラウドネットワークにデータを配信することが容易になります。 マルチキャストは、単一のデータストリームを多数のユーザーに同時に配信します。 これは、ニュース記事や株価などのマルチメディアコンテンツやサブスクリプションデータをサブスクライバーグループにストリーミングするための好ましいプロトコルです。 AWS は、お客様がアプリケーションをクラウドに移行し、AWS が提供する伸縮自在性と拡張性を活用できるようにするネイティブのマルチキャストソリューションを提供する最初のクラウドプロバイダーです。今回のリリースでは、Transit Gatewayにマルチキャストドメインが導入されました。 ルーティングドメインと同様に、マルチキャストドメインを使用すると、マルチキャストネットワークを異なるドメインにセグメント化し、Transit Gateway を複数のマルチキャストルーターとして動作させることができます。 今すぐ利用可能 これら2つの新機能は準備ができており、今日あなたが試すことを待っています。 インターリージョンピアリングは、米国東部 (バージニア北部)、米国東部 […]

Read More

[AWS Black Belt Online Seminar] AWS Transit Gateway 資料及び QA 公開

先日 (2019/11/14) 開催しました AWS Black Belt Online Seminar「 AWS Transit Gateway 」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20191113 AWS Black Belt Online Seminar AWS Transit Gateway from Amazon Web Services Japan   AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. TGW を使う場合、DXGW も一緒に使う必要がありますか?TGW のみでも利用できるのでしょうか? A. Direct Connect を使う場合は、DXGW を一緒に使う必要があります。構成については、こちらをご参照ください Q. VPC をアタッチするときに指定するサブネットをアタッチ専用のサブネットとする必要性について、もう少し具体例を挙げて説明していただきたいです。そのサブネットの内部のEC2 インスタンスのルーティングに影響あるとのことでしたが、どのような影響があるのか?などを教えていただきたいです。 A. Transit Gateway (TGW) のアタッチメントがついているサブネットと同一のサブネットに EC2 インスタンスが存在する場合に、その EC2 インスタンスはTGWと同じルーティングテーブルを参照します。 例えば インライン監査用の […]

Read More

[AWS Black Belt Online Seminar] Elastic Load Balancing (ELB) 資料及び QA 公開

先日 (2019/10/29) 開催しました AWS Black Belt Online Seminar「 Elastic Load Balancing (ELB) 」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。   20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB) from Amazon Web Services Japan   AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. なぜ NLB だけ暖気不要なのでしょうか? A. AWS Hyperplaneと呼ばれる特殊なAWS独自の負荷分散技術を用いているためです。 AWS Hyperplaneに関しては、こちらの資料のP17 – P21をご確認ください。 Q. ALB のルーティング機能を用いると API Gateway を用いた時と同じようなかたちで REST API などの Web […]

Read More

ソシオネクスト、AWS でリアルタイム AV1 エンコーディングを実現

NFL の試合をストリーミングで観戦することや、ミステリースリラー番組「ストレンジャー・シングス」の新シーズンを好きなだけ見たりする事から、消費者はストリーミングビデオ体験に対し、高い映像品質を期待するようになってきています。また、コンテンツ制作者や配給事業者にとって、低遅延且つ高品質のビデオを作成することが不可欠となっています。ただし、拡大するデバイスへの配信や多様なネットワーク接続環境を考慮に入れると、映像品質について高い水準を維持することは困難になっています。 日本の SoC( System-on-Chip )テクノロジープロバイダーである株式会社ソシオネクスト(以下、ソシオネクスト社)では、映像伝送にAWS Elemental MediaConnect、AV1エンコード処理にAmazon Elastic Compute Cloud( EC2 )F1 インスタンス、コンテンツ配信に Amazon CloudFront を使用しクラウドベースの AV1 リアルタイムエンコードを可能にするソリューションを構築することで、処理時間を大幅に短縮しながら一貫した高い映像品質を実現しました。 その仕組みは次のとおりです。 エンコーダを内蔵し Zixi プロトコルに対応した JVCのCONNECTED CAMカメラで撮影をします。JVC カメラは 前方誤り訂正(FEC)および自動再送要求(ARQ)パケット損失回復を使用するメカニズムであるZixiプロトコルに対応した唯一のプロフェッショナル用カメラです。JVC カメラから出力された信号は MediaConnect に送信されます。その後、信号は EC2 F1 インスタンスに入力され、リアルタイムで次世代の圧縮コーデック AV1 にエンコードされ、CloudFront を介して視聴者に送信されます。 適切に実装された場合、AV1 エンコーディングは H.264 および H.265 コーデックよりも小さいファイルサイズでより高品質の画像を生成しますが、エンコーディングのための高いコンピューター処理装置( CPU )要件によって、広く採用されていません。MediaConnect と EC2 F1 インスタンスがサポートするフィールドプログラマブルゲートアレイ( FPGA )を組み合わせることで、ソシオネクスト社のソリューションはリアルタイムの AV1 エンコードを可能にし、専用 CPU のハードウェアコストを削減します。また、不安定なネットワーク環境でも、エンドユーザーエクスペリエンスとストリームの品質を向上させながら、ストレージとコンテンツ配信ネットワーク( CDN […]

Read More

WinTicket 、 AWS メディアサービスで競輪ファンに高画質レース映像を低遅延ライブで提供

WinTicket は、インターネットテレビ局 AbemaTV の番組「競輪チャンネル」と連動し、24時間どこでも投票チケットを購入できるほか、レース情報・オッズ・ AI 予想機能、そして開催中の熱戦レースのライブ映像を提供しています。 時速 60km ~ 70km で 9 名の選手がレースする中、 WinTicket のユーザーが視聴環境を問わず、レースの状況を高画質・低遅延で視聴できるようにすることは重要です。そのため、 WinTicket は動画配信ワークフローをクラウドに移行し、AWSメディアサービスを活用することで高画質・低遅延のライブ配信を確立させました。 WinTicket のライブ配信は、全国40以上の競輪場から集約した映像で構成されています。 AbemaTV の番組スタジオで映像を集めてクラウドへ伝送し、 AWS Elemental MediaLive で ABR エンコード、 AWS Elemental MediaPackage で HLS にパッケージ化し、 Amazon CloudFront 経由で視聴者へ低遅延なライブ配信しています。 「 WinTicket はサービスの特性上、レース状況や結果がすぐにわかるようにしなければ、ユーザー体験に影響を及ぼしてしまいます。 AWS Media Services は、他のサービスよりも 1.5 倍ほど低いレイテンシでコンテンツを配信できるため、戦略的な強みが得られました。」と、株式会社サイバーエージェントの CATS ソフトウェア エンジニア 江頭 宏亮 氏は語っています。「今回、 AWS Media Services を採用したことで、配信ワークフローの開発工程数を抑えた、冗長性のある可用性の高いライブ配信システムの構築ができました。配信管理ツールとして採用したサーバレスアーキテクチャを含め、利用している時間帯だけ課金されるため、運用コストを抑えられます。また、スケジュール管理上で蓋絵 […]

Read More