Amazon Web Services ブログ

Category: AWS Transit Gateway

AWS TransitGateway が大阪リージョンでご利用いただけます

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 AWS Transit Gatewayが大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。 AWS Transit Gateway Transit Gateway は、中央ハブを介して VPC とオンプレミスネットワークを接続しクラウドルーターとして機能するため、複数VPCの接続などでVPC Peeringを用いた複雑なピア接続関係ネットワークを簡素化することができます。データは自動的に暗号化され、インターネットを介して移動することはありません。また、IPv4 環境だけではなくIPv6環境をサポートします。 数千の Amazon VPC にまたがるアプリケーションを構築する際、個別VPCのPeeringやルートテーブルを更新せずに新しい接続関係を作成することが可能になります。新しい VPC を追加でアタッチする場合、その CIDR が、既にアタッチされている別のVPC と同一である場合、Transit Gateway では、新しい VPC のルートを ルートテーブルに伝播しないため、異なるCIDR持つ必要があることをVPC作成時点で留意いただく必要があります。この際、静的ルーティングは行われず、BGPによりルートは自動でアドバタイスされ、BGP セッションはGeneric Routing Encapsulation (GRE) トンネル上に確立されます。 VPC接続だけではなく、AWS Direct Connect ゲートウェイを追加して、オンプレミスネットワークトのルーティングも管理を行えます。 異なるリージョン間のTransit Gatewayをピアリング接続させるための、Peering接続は2021年4月27日時点で、大阪リージョンで未サポートですので、リージョンをまたぐ接続は従来通りVPC Peeringをご利用いただくことなります。また同様に、Transit Gateway はマルチキャスト IGMPをサポートしており、アプリケーションを再設計することなく、マルチキャストアプリケーションをAWS上にホストすることもできますが、現時点で大阪リージョンにはまだ未対応ですのでご留意ください。これらの機能のご要望をお持ちのお客さまは是非サポートまでご意見をお寄せください。 – シニアエバンジェリスト 亀田

Read More

AWS Network Firewall が東京リージョンで利用可能になりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 今週はAWS東京リージョンの10周年、そして3つのAZを持つ大阪リージョンの発表があり、日本におけるクラウド利用は広がり続けています。そして、2020年11月に発表された、AWS Network Firewall が東京リージョンで本日利用可能になりましたのでお知らせいたします。 Network Firewall は AWS クラウド上でお客様向けに論理的に分離された仮想ネットワークの構築を実現するAWSの重要な機能である、Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張される数十万コネクションを管理できるため、インフラストラクチャのデプロイと管理について心配する必要はありません。 従来VPCには基本的なセキュリティ機能として、プロトコル単位、IPアドレス単位、ポート単位で通信のインバウンド、アウトバウンドの許可・拒否の制御を行うセキュリティグループ、ネットワークアクセスコントロールリスト (ACL) があり、主にレイヤ3及び4で動作します。このNetwork Firewall は、VPCに備わる新たなセキュリティ機能であり、アカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるようにするAWS Firewall Managerと統合されて、レイヤ7まで含めた制御を実現します。 Network Firewallは数千のカスタムルールを設定可能なステートフルに動作するファイアウォールとして機能し、接続の追跡やプロトコルの識別などのトラフィックフローからコンテキストを組み込んで、VPC が不正なプロトコルを使用してドメインにアクセスするのを防ぐなどのポリシーを適用することができます。AWS Network Firewall の侵入防止システム (IPS) は、アクティブなトラフィックフロー検査を提供するため、シグネチャベースの検出を使用して脆弱性の悪用を特定してブロックすることができ、また、既知の不正な URL へのトラフィックを停止し、完全修飾ドメイン名を監視できるウェブフィルタリング等も提供されます。従来のセキュリティグループやネットワークACLの制御では、許可、拒否の2択でしたが、alertの機能が備わっており、これらの検知結果などはAmazon CloudWatch でダッシュボード化することが可能で、可観測性を高めることに役立ちます。 外部通信のインバンド、アウトバウンド制御だけではなく、AWS Transit Gatewayとの連携により、相互接続された VPC のきめ細かいネットワークセキュリティコントロールを実現することが可能で、さらに Transit Gateway でサポートされているクライアントデバイスおよび オンプレミス環境から AWS Direct Connect と VPN のトラフィックを保護することができます。 サービスの起動はマネージメントコンソールのVPC画面から行えます。 Network Firewallに組み込むルールは以下の画面で設定を行っていきます。送信元IP、送信元ポート番号、宛先IP、宛先ポート番号、プロトコル番号を指定する5-tuple形式、ドメイン名ベースの制御を行うDomain list形式、オープンソースベースのIPSであるSuricata […]

Read More

【開催報告&資料公開】放送業界向け InterBEE 2020 / re: Invent 2020 Recap セミナー

1 月 28 日に放送業界のお客様向けに、昨年開催された InterBEE 2020 と AWS re:Invent 2020 の Recap セッションを実施しました。 ■InterBEE 2020 Recap アマゾンウェブサービスジャパン ソリューションアーキテクト 門田 梓 [Slide] ソリューションアーキテクトの門田より、InterBEE 2020 で発表した AWS を活用した放送業界の AWS 活用事例を紹介しました。2020 年は新型コロナウイルスの感染拡大が番組制作に非常に大きく影響した年でした。登壇いただいたお客様は、この困難に立ち向かうため、AWS のサービスとツールを活用して コストを必要最小限に、ゼロから作るより迅速に、拡張性や可用性のメリットを手に入れています。本セッションでご紹介した概要は以下の通りです。

Read More

“共有型”AWS DirectConnectでも使えるAWS Transit Gateway

AWS Transit Gateway (TGW)は徹底的に進化することにより、クラウドネットワーキングを簡素化しました。本記事では、複数Amazon Virtual Private Cloud(VPC)とオンプレミスの接続パターンを紹介します。 AWSでは、オンプレミスのネットワークとの接続にはAWS Direct Connect(DX)を使います。DX接続は様々な形態がありますが、日本のお客様に多い“共有型”DX接続ではTGWを直接使うことができません。TGWを使うことができることが“専有型”DX接続の優位点の一つですが、本記事では”共有型”DX接続でTGWを使った接続実現する方法を含めて、いくつかの接続パターンを解説します。 TGWのメリット TGWを使用すれば、一貫した信頼性の高いネットワークパフォーマンス を実現しながら、複数のVPCおよびDXを使ってオンプレミスネットワークを相互接続するのはお手の物です。TGWは各VPC、VPN、DXの間のすべてのトラッフィクを一箇所で制御することができます。 専有型が利用できる場合にはTGWとDXをつなぐと、AWSを経由してインターネット接続することもできます。 上の例では、TGWがAWS Direct Connect Gateway(DXGW)にアタッチされています。 DXの複数VPCでの利用は典型的なユースケースです。一方で、DXは1Gbps以上の接続につきTGWのためのトランジット仮想インターフェースは1つだけという制限があります。つまり、日本のお客様に多い、“共有型”DX接続ではTGWを直接使うことができません。 ここでは、複数VPCとオンプレミスの接続パターンを以下4つに整理してみます。1つ目だけが、“専有型または1Gbps以上のホスト型接続”のみ実現可能です。 TGWにDXをつける DX用のVPCにNetwork Load Balancer(NLB)を配置。VPC間はTGW DX用のVPCにNLBを配置。VPC間はAWS PrivateLink(Private Link) DXGWにVPCをつける 1. TGWにDXをつける この場合、すべてのトラフィックはTGWで管理できます。AWSを経由したインターネット接続もProxyなしで実現できます。また、全トラフィックを”監査用アプライアンス”に通すことで全トラフィックの記録 / 制限 / 監査も可能ですので、セキュリティ面でも有利です。 2. DX用のVPCにNLBを配置。VPC間はTGW DXにつながるVPCとして“DX用VPC”1つが現れました。このとき、DXからみれば1つの”DX用VPC”がつながるだけですので、”共有型”でも問題ありません。VPC間の通信はTGWで設定制御ができます。 オンプレミス↔VPC間で通信をしなければならない特定のサーバのフロントにはDX用VPCにNLBを設置することで通信できるようにします。サーバの数だけNLBを設定するため、サーバ数が増えるとNLBの時間あたり費用がかさむことに注意してください。 3. DX用のVPCにNLBを配置。VPC間はPrivateLink このパターンでは、PrivateLinkが重要です。マイクロサービスなど、VPCを自由にいくつも使っている場合には、IPアドレスブロックが重複することはよくあることです。2つ目のパターンでは、TGWをつかってVPC間の通信を制御していました。TGWではアドレス重複の答えにはなりません。PrivateLinkはその解決策です。 VPC間およびオンプレミスとの特定の通信はPrivateLinkで設定します。VPCからオンプレミス上のサーバにアクセスするためにも使うことができます。 4. DXGWにVPCをつけたとき VPCとオンプレミスの間の通信はあるけれども、VPC同士の通信が無いのであれば、TGWは実は必要なかったのかもしれません。なお、一つのDXGWに接続できるVPCは10までですので、スケーラビリティにもやや難があるかもしれません。VPCの数が10以上になった場合、2つめの共有型Private VIFを利用する事により、多くのVPCと接続することができます。ただし、共有型VIFを増やし続けると、”1.”でご紹介した専有型接続の方が結果的に安価となる分岐点に到達します。詳細な見積もりが必要な場合は、利用するパートナー様にご確認ください。 比較 比較の一覧を追加しておきます。料金試算は、東京リージョンで、3つのサービス用VPCと1つのオンプレミスのネットワークを接続し、サービスするVPCひとつあたり月間10TB通信があり、DXのIn/Outの比率が1:1の場合です。(詳細は最後に) 案1: TGWにDXをつけたとき 案2: DX用のVPCにNLBを配置。VPC間はTGW 案3: DX用のVPCにNLBを配置。VPC間はPrivateLink […]

Read More