Amazon Web Services ブログ

Category: Amazon VPC

AWSおよびハイブリッドネットワークにおけるデュアルスタックIPv6アーキテクチャ

この記事はDual-stack IPv6 architectures for AWS and hybrid networks (記事公開日: 2021 年 10 月 18 日) を翻訳したものです。 はじめに パブリックIPv4の枯渇、特に大規模ネットワーク内でのプライベートIPv4の不足、IPv6のみに接続性を持つクライアントへのサービス提供の必要性などから、IPv6を採用する組織が増えています。IPv6に完全に移行するための中間ステップとして、デュアルスタックのIPv4/IPv6設計があります。これは、両方のバージョンのIPプロトコルを並行して利用するものです。 このブログでは、AWSおよびハイブリッドネットワークで現在活用できるデュアルスタックのIPv6アーキテクチャの一部を紹介します。AWS環境で、デュアルスタックアーキテクチャとIPv6の採用を可能にする構成に焦点を当てながら、ネットワークとコンテンツ配信のIPv6でサポートされる実装について説明します。参照する各サービスの設定オプションの全容に関する詳細については、各セクションのドキュメントリンクを参照することをお勧めします。

Read More

VMware Cloud on AWS ワークロードをネイティブ AWS サービスで強化

VMware Cloud on AWS は、VMware ワークロードを AWS クラウドで実行している VMware 管理の Software-Defined Data Center (SDDC) への迅速な移行を可能にします。また、アプリケーションをリプラットフォームまたはリファクタリングすることなく、オンプレミスのデータセンターを拡張できます。 SDDC の仮想マシン (VM) からネイティブ AWS サービスを使用すると、運用のオーバーヘッドと総所有コスト (TCO) を削減しながら、ワークロードの俊敏性とスケーラビリティを向上させることができます。 この投稿では、ネイティブ AWS サービスと VMware ワークロード間の接続パターンについて説明します。 また、SDDC からの AWS クラウドストレージの使用や、AWS ネットワーキングサービスを使用した VM ワークロードの保護、SDDC で実行しているワークロードからの AWS データベースと分析サービスの使用などの、よくある連携例についても説明します。

Read More

AWS Network Firewallのデプロイモデル

この記事は Deployment models for AWS Network Firewall (記事公開日: 2020 年 11 月 17 日) を翻訳したものです。一部更新・加筆しています。 前書き AWSのサービスと機能は、セキュリティを最優先事項として構築されています。Amazon Virtual Private Cloud(VPC)を使用する際、お客様はネットワークアクセスコントロールリスト (NACL)とセキュリティグループ(SG)を使用してネットワークセキュリティを制御できます。しかし、多くのお客様はディープパケットインスペクション(DPI)やアプリケーションプロトコル検出、ドメイン名フィルタリング、侵入防止システム(IPS)など、それらの範囲を超える要件が求められます。また、大規模なシステムの場合、現在のSGおよびNACLでサポートされているものより多くのルールを必要とします。 このような場合のために、AWS Network Firewallをリリースしました。このサービスは、VPC向けのステートフルなマネージドネットワークファイアウォールおよびIPSサービスです。本サービスは何万ものルールをサポートしています。Network Firewallを初めて知る場合は、こちらの記事を先にご覧ください。Network Firewallの機能や使用例を説明しています。 この記事では、Network Firewallの一般的なユースケースのデプロイモデルに焦点を当てて解説します。

Read More

ハイブリッド環境向けに複数リージョンを跨ったAWS Managed Microsoft Active Directoryを設計する

これまで、大規模かつ複雑な構成のMicrosoft Active Directoryを複数の地域に跨って展開しているお客様は、オンプレミスのActive DirectoryをAWSに移行するにおいて様々な課題に直面してきました。AWS Managed Microsoft Active Directoryとの連携も、容易ではありませんでした。
昨年リリースされたAWS Managed Microsoft Active Directoryの「マルチリージョンレプリケーション」機能を利用すれば、このようなグローバル展開の作業を簡略化し、移行プロジェクトにおける難題を軽減することができます。このマルチリージョン機能を活用し、AWS Managed Microsoft Active Directoryを利用したハイブリッドActive Directoryをどのように設計・構築すれば良いかという質問を多くのお客様から受けています。
この記事では、複数のリージョンにまたがるAWS Managed Microsoft Active Directoryの設計と名前解決(DNS)のアーキテクチャーについて説明していきます。

Read More

新しいセキュリティグループルール ID を使用してセキュリティグループルールを簡単に管理する

AWS では、基盤となる IT インフラストラクチャではなく、お客様のビジネスに集中できるよう、精力的にイノベーションを起こしています。私たちは、新しいサービスや主要な機能をリリースすることがあります。私たちは、お客様の仕事を楽にするために、細部に注力することがあります。 本日、違いを生み出すこれらの細部の 1 つである VPC セキュリティグループルール ID を発表します。 セキュリティグループは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Amazon Relational Database Service (RDS) データベースなど、クラウドリソースの仮想ファイアウォールとして機能します。これは入出力ネットワークトラフィックを制御します。セキュリティグループは、セキュリティグループルール、プロトコル、送信元、または送信先 IP アドレスとポート番号の組み合わせ、およびオプションの説明で構成されています。 AWS Command Line Interface (CLI) または API を使用してセキュリティグループルールを変更する場合は、ルールを識別するためにこれらの要素をすべて指定する必要があります。これにより、入力や読み込みが面倒でエラーが発生しやすい長い CLI コマンドが生成されます。以下に例を示します。 aws ec2 revoke-security-group-egress \ –group-id sg-0xxx6 \ –ip-permissions IpProtocol=tcp, FromPort=22, ToPort=22, IpRanges='[{CidrIp=192.168.0.0/0}, {84.156.0.0/0}]’ 新機能 セキュリティグループルール ID は、セキュリティグループルールのための一意の識別子です。セキュリティグループにルールを追加すると、これらの識別子が自動的に作成され、セキュリティグループルールに追加されます。セキュリティグループ ID は […]

Read More

【開催報告】「AWSへのマイグレーションのその先に ~リフト&シフトからのクラウド最適化~」セミナー

EC2スポットインスタンススペシャリスト ソリューションアーキテクトの滝口です。2021年6月3日にオンラインで開催された「AWSへのマイグレーションのその先に ~リフト&シフトからのクラウド最適化~」セミナーでは、200名を超える聴衆の方々にご参加いただき、AWSからの基調講演および技術解説、またリフト後のマイグレーションを成功裏に実施された、2社のお客様の具体的な事例をご紹介いただきました。 本記事では、お客様のご登壇資料を含む当日資料をご紹介し、また参加者の皆様からいただいた当日のQ&Aの一部をご紹介します。

Read More

Amazon FSx for Windows File ServerをAzure ADDSドメインと使用する方法

このブログはAdeleke Coker (Sr. Cloud Support Engineer)によって執筆された内容を日本語化した物です。原文はこちらを参照して下さい。 Amazon FSx for Windows File Serverは、業界標準のSMB(Server Message Block)プロトコルでアクセスでき、Microsoft Active Directoryと統合された共有ファイルストレージを必要とする様々なユースケースに使用されています。Amazon FSxは、オンプレミスでもクラウドでも、セルフマネージドでもフルマネージドでも、ユーザIDをホストしているMicrosoft Active Directoryであれば、どこでも使用することができます。このブログでは、ユーザIDがAzure Active Directory Domain Services (ADDS)ドメインでホストされている場合に、どのようにAmazon FSxを使用できるかについて説明します。Active Directoryは、ネットワーク上のオブジェクトに関する情報を保存し、管理者やユーザーがその情報を簡単に見つけて使用できるようにするために使用されるMicrosoftのディレクトリサービスです。これらのオブジェクトには、通常、ファイルサーバーなどの共有リソースや、ネットワークユーザーおよびコンピュータアカウントが含まれます。Amazon FSxは、AWS Directory Service for Microsoft Active DirectoryでAmazon FSxを使用したり、オンプレミスのActive DirectoryでAmazon FSx for Windows File Serverを使用したりするなど、ファイルシステムを参加させるActive Directory環境を管理者が柔軟にコントロールすることができ、ポリシーの適用や管理権限の委譲を容易に行う事が出来ます。 ADDS上でホストされているActive Directoryにユーザーのアイデンティティがある場合、アイデンティティをAWSに移行または同期する必要なく、そのActive DirectoryでAmazon FSx for Windows File Serverを使用することができます。このブログでは、ラボ環境での例を用いて、Amazon FSxを既存のADDSに参加させる方法を示します。既存のADDSのアイデンティティは、保存されたファイルにアクセスするためにこの共有を利用することができ、Amazon FSx for Windows File Serverのファイル共有に対して認証するためにAzure […]

Read More

Amazon VPC 向け Amazon Route 53 Resolver DNS Firewall の使用を開始する方法

ネットワーク内でアウトバウンド接続をする際には、通常、DNS ルックアップから始めます。セキュリティグループ、ネットワークアクセスコントロールリスト (ACL)、AWS ネットワークファイアウォールなどの AWS サービスを使うと、Amazon Virtual Private Cloud (VPC) のリソースとインターネットサービスが不必要に直接通信しないようにすることができます。これらの AWS サービスはネットワークトラフィックをフィルタリングしますが、パブリック DNS レコード、Amazon Virtual Private Cloud (VPC) 固有の DNS 名、および Amazon Route 53 プライベートホストゾーンに対する DNS クエリに自動的に応答している Amazon Route 53 Resolver に向けたアウトバウンド DNS リクエストはブロックしません。 DNS 漏洩により、DNS クエリを介して犯罪者が管理するドメインにデータが流出する可能性があります。例えば、犯罪者がドメイン「example.com」を管理しており、「sensitive-data」を流出させたい場合、VPC 内の犯罪者が侵入しているインスタンスから「sensitive-data.example.com」の DNS ルックアップを発行できます。これを防ぎ、不正行為による DNS ルックアップをフィルタリングするために、従来は各自が DNS サーバーを操作する手間が必要でした。 こういった DNS レベルの脅威を防ぐことができる Amazon Route 53 Resolver DNS Firewall (DNS […]

Read More

AWS Network Firewall が東京リージョンで利用可能になりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 今週は AWS 東京リージョンの 10 周年、そして 3 つの AZ を持つ大阪リージョンの発表があり、日本におけるクラウド利用は広がり続けています。そして、2020 年 11 月に発表された、AWS Network Firewall が東京リージョンで本日利用可能になりましたのでお知らせいたします。 Network Firewall は AWS クラウド上でお客様向けに論理的に分離された仮想ネットワークの構築を実現する AWS の重要な機能である、Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張される数十万コネクションを管理できるため、インフラストラクチャのデプロイと管理について心配する必要はありません。 従来 VPC には基本的なセキュリティ機能として、プロトコル単位、IP アドレス単位、ポート単位で通信のインバウンド、アウトバウンドの許可・拒否の制御を行うセキュリティグループ、ネットワークアクセスコントロールリスト (ACL) があり、主にレイヤ 3 及び 4 で動作します。このNetwork Firewall は、VPC に備わる新たなセキュリティ機能であり、アカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるようにするAWS Firewall Managerと統合されて、レイヤ7まで含めた制御を実現します。

Read More

新機能 – VPC Reachability Analyzer

Amazon Virtual Private Cloud (VPC) を使用すると、お客様は、論理的に分離された専用の仮想ネットワークを、AWS クラウド上で起動できます。クラウド上でお客様のフットプリントが拡大し、デプロイされるネットワークアーキテクチャの複雑さも増していく中、誤った設定が原因で発生するネットワーク接続の問題は、その解決に時間がかかるようになっています。今回、当社では、ネットワーク診断ツールである VPC Reachability Analyzer を発表できる運びとなりました。このツールでは、VPC 内の 2 つのエンドポイント間、または複数の VPC  間で、通信の到達性に関する問題を解決できます。 ネットワークが目的どおりに設定されているかを確認 Reachability Analyzer のユーザーは、仮想ネットワーク環境を全体的に制御できます。独自の IP アドレス範囲の選択、サブネットの作成、またルートテーブルやネットワークゲートウェイの設定が可能です。また、VPC のネットワーク設定のカスタマイズも簡単です。例えば、ウェブサーバー用にパブリックサブネットを作成する際、インターネットへのアクセスに、インターネットゲートウェイを使用するように構成できます。データベースやアプリケーションサーバーなど、厳しいセキュリティが必要なバックエンドシステムは、インターネットにアクセスできないプライベートサブネットに配置できます。セキュリティグループや、ネットワークアクセスコントロールリスト (ACL) など、複数のセキュリティレイヤーを使用することで、各サブネットのエンティティへのアクセスを、プロトコル、IP アドレス、ポート番号によって制御できます。

Read More