AWS 201708 Update & IPv6

Transcript

1. © 2017, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon Web Services (AWS) 2017年8⽉Update & IPv6対応状況 - 九州インフラ交流勉強会(Kixs) Vol.005 - アマゾン ウェブ サービス ジャパン 株式会社 ソリューション アーキテクト 藤原 吉規 2017.09.02

2. © 2017, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. ⾃⼰紹介 藤原 吉規（フジえもん） ⻄⽇本担当 ソリューション アーキテクト @twingo_b • AWS ⼤阪オフィスにいます • 関⻄のビジネスチャットスタートアップ企業で 6 年間 AWS を活⽤ • Edge系 サービスを主に担当 • AWS サムライ 2013 • 好きな AWS サービス: AWS サポート

3. © 2017, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 9 ⽉の AWS Black Belt オンラインセミナーの ご案内 https://aws.amazon.com/jp/blogs/news/aws-black-belt-201709-revised/

4. © 2017, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 2017年8⽉の AWS Update

5. © 2017, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 新サービス Amazon Macie の発表 機械学習を⽤いた機密情報の発⾒、分類、保護サービス https://aws.amazon.com/jp/blogs/news/launch-amazon-macie-securing-your-s3-buckets/ 特徴 (http://aws.amazon.com/jp/macie/) • 継続的監視によりデータ漏えいや不正アクセスを検知するフ ルマネージドサービス • 個⼈特定情報 (PII)、個⼈医療情報 (PHI)、知的財産 (IP)、 ソースコード、認証情報、APIキーなどの機密データを識別 • ユーザー振る舞い分析により、リスクの⾼い不審なアクティ ビティや、価値の⾼いコンテンツへのアクセスを特定 • Amazon S3に保存されたデータを保護(保護対象としてEC2, DynamoDB, RDS, EFS, Glueを2018年に追加予定) 価格体系 (http://aws.amazon.com/jp/macie/pricing/) • コンテンツ分類処理: 最初の1GB無料。以降、1GBあたり$5 • CloudTrailイベント処理: 最初の10万件無料。以降、100万 件あたり$4 • メタデータ保存期間: 最初の30⽇間無料。以降、処理データ 1GBあたり$0.05/⽉ S3に保存データの分類と可視化 CloudTrailイベントの時系列表⽰

6. © 2017, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. AWS CloudHSM 新バージョンの発表 特徴 (http://aws.amazon.com/jp/cloudhsm/) • ソフトウェアへのパッチ適⽤、⾼可⽤性、バックアップなど を⾃動化するフルマネージド型サービス • オンデマンドでクラスターからHSMを追加・削除すること で、簡単にキャパシティーをスケール • 安全性に優れた HSM での暗号化キーの⽣成と使⽤ • FIPS 140-2 のレベル 3 に準拠 • Amazon VPC内での専⽤シングルテナントアクセスを使って、キーを保護 • 業界基準で構築されたオープンな HSM の使⽤ • PKCS#11, Java Cryptography Extensions (JCE), Microsoft CryptoNG (CNG) ライブラリといった業界標準 API を使⽤ • キーを他の市販の HSM ソリューションに移⾏可 価格体系 (http://aws.amazon.com/jp/cloudhsm/pricing/) • 初期費⽤なしの従量課⾦制 • 時間単位での課⾦（⽶国東部の場合$1.60/1時間） クラウドベースのハードウェアセキュリティモジュール (HSM) AWS Virtual Private Cloud CloudHSM クライアント SSL App HSM Client https://aws.amazon.com/jp/blogs/news/aws-cloudhsm-update-cost-effective-hardware-key-management/

7. © 2017, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. AWS Glue が⼀般利⽤可能に • フルマネージドのデータカタログ + ETL サービス • さまざまなデータソースをカタログとして 管理して，バージョン管理やスキーマ更新を実施 • GUI 上で作成した ETL 処理フローから PySpark コードが⽣成され，必要に応じて加⼯編集することも可能 • S3 に取り込んだログおよび RDS に格納された顧客デー タに対して，前処理を⾏なって Redshift に格納するよう なワークロードに最適 • 価格は以下の通り • ジョブ実⾏: $0.44 / DPU(Data Processing Unit) / hour，最⼩ 10 分での課⾦ • データカタログ: 最初の 100 万オブジェクトは無料，それ以降は $1.00 / 10 万オブジェクト • クローラ: $0.44 / DPU(Data Processing Unit) / hour，最⼩ 10 分での課⾦ https://aws.amazon.com/about-aws/whats-new/2017/08/introducing-aws-glue-a-simple-flexible-and-cost-effective- extract-transfer-and-load-etl-service/

8. © 2017, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. VMware Cloud on AWS が利⽤可能に • ⽶国⻄部 (オレゴン) リージョンで VMware および VMware Partner Network のメンバーを通して提供、 販売、配信、サポート、請求は VMware が担当 • シングルテナントのベアメタル AWS インフラストラクチャ • 各 SDDC (Software-Defined Data Center) は 4 個から 16 個のインス タンスで構成され、各インスタンス は 36 個のコア、512 GB のメモ リー、15.2 TB の NVMe ストレー ジを持つ https://aws.amazon.com/jp/blogs/news/vmware-cloud-on-aws-now-available/

9. © 2017, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon EC2 Elastic GPUs for Windows の提供を開始 • Elastic GPUsの特徴 • EC2インスタンスにアタッチすることで3Dグラフィックスの 機能を追加 • t2インスタンスなど安価なインスタンスと組み合わせること でG2/G3インスタンスに⽐べて安価にGPUを⽤いた3Dグラ フィックス機能が利⽤可能 • Elastic GPUsの構成 • GPU Memory 1GiBのeg1.mediumから8GiBのeg1.2xlarge まで4つのGPUサイズが選択可能 • OpenGL APIに対応 (他のAPIも今後対応予定) • 利⽤可能なEC2インスタンスは c3,c4,m3,m4,r3,r4,x1,d2,i3,t2.medium以上 • リージョン • バージニア、オハイオ https://aws.amazon.com/jp/blogs/aws/new-ec2-elastic-gpus-for-windows Elastic GPU Size GPU Memory Price※ eg1.medium 1GiB $0.05/hour eg1.large 2GiB $0.10/hour eg1.xlarge 4GiB $0.20/hour eg1.2xlarge 8GiB $0.40/hour ※2017/8/29時点のバージニアでの価格

10. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Kinesis Firehose が東京、フランクフル ト、オハイオの各リージョンで利⽤可能に これにより、 Amazon Kinesis Firehose は 以下の６リージョンで利⽤可能に • ⽶国東部 (バージニア) • ⽶国東部 (オハイオ) • ⽶国⻄部 (オレゴン) • 欧州 (アイルランド) • 欧州 (フランクフルト） • アジアパシフィック (東京) https://aws.amazon.com/about-aws/whats-new/2017/08/amazon-kinesis-firehose-is-now-available-in-asia-pacific-tokyo-eu-frankfurt- and-us-east-ohio-regions/

11. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 次世代 GPU インスタンス G3 が 東京リージョンで利⽤可能に NVIDIA Tesla M60を搭載 • グラフィックス⽤G2インスタンスの後継 • M60は各GPUに2048CUDAコアと8GiBのGPUメモリを搭載 • ハードウェアエンコーダーを搭載 • 10 x H.265(HEVC) 1080p30 • 18 x H.264 1080p30 EC2スペック • Intel Xeon E5-2686v4(Broadwell)@2.7GHz • 最⼤20GbpsのEnhanced Networking (ENA) • 最⼤14GbpsのEBS帯域 リージョン • オハイオ、バージニア、オレゴン、北カリフォルニア、アイルランド、GovCloud • 東京、シドニー、シンガポール、フランクフルト (2017/8/23) • その他リージョンは順次追加予定 https://aws.amazon.com/jp/about-aws/whats-new/2017/08/amazon-ec2-g3-instances-now-available-in-asia-pacific-japan-asia-pacific- sydney-asia-pacific-singapore-and-eu-frankfurt-regions/ G3(M60) G2(K2) GPU Maxwell Kepler CUDA core 2048 1536 VRAM 8GiB 4GiB H.264 1080p30 x18 x4

12. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Virtual Private Cloud (VPC) のアドレス ブロックを拡張可能に • VPCで割り当てるアドレスブロックを拡張することが できるようになりました。 • 最初に割り当てたCIDRブロックをプライマリ、追加し たCIDRブロックをセカンダリと呼びます。 • デフォルトで5つまで1VPCにCIDRブロックを持つこ とができます。 • /28で最初に⼩さく作ってしまい、拡張の必要がある 場合や、最⼤値/16でも⾜りない場合に有⽤です。 • ※注意する点 • DXやVPNでピアをしたときに流れてくる経路が拡張し た分増えます。（5つの場合5経路） • プライマリのCIDRアドレスにより拡張できるアドレス ブロックに制限があります。 • 詳細は以下を参照。 http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets. html#add-cidr-block-restrictions https://aws.amazon.com/jp/about-aws/whats-new/2017/08/amazon-virtual-private-cloud-vpc-now-allows-customers-to- expand-their-existing-vpcs/

13. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Elastic IP Address の復旧が可能に • Elastic IPを誤って削除した後、APIまたはCLIにて、削除してしまったIPアドレスを • 復旧させることができるようになりました。 • DNSやロードバランサで指定していたElastic IPアドレスを誤って消してしまったとき にリカバリできます。 • 条件 • EC2-VPCまたは、EC2-ClassicからEC2-VPCへ移⾏したElastic IPであること • 同⼀AWSアカウントを使⽤していること AWSCLIでは aws ec2 allocate-addressに --address⾏が追加になり、引数に⼀度削 除してしまったアドレスを指定すると復旧できる。 http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-eip-recovering aws ec2 allocate-address --domain vpc --address 203.0.113.3

14. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Route 53 が CAA レコード をサポート • Route53で CAA(Certification Authority Authorization)レコードが登録できるように なりました。 https://aws.amazon.com/jp/about-aws/whats-new/2017/08/amazon-route-53-now-supports-caa-records/ CAAレコードとは？ • このドメインに関する証明書を発行するための認証局を指定するため のレコード • 設定してある場合、認証局が証明書を発行してよいかどうか判断する ために利用します。 • 9月より大手認証局がこの仕組みを利用します。

15. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Web Services (AWS) におけるIPv6対応状況

16. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 16 Regions – 44 Availability Zones – 82 Edge Locations Region & Number of Availability Zones AWS GovCloud(2) EU Ireland (3) US West Frankfurt (3) Oregon (3) London (2) Northern California (3) Asia Pacific US East Singapore (2) N. Virginia (6), Ohio (3) Sydney (3), Tokyo (3), Seoul (2), Mumbai (2) Canada Central (2) China Beijing (2) South America São Paulo (3) Announced Regions China, France, Hong Kong, Sweden, AWS GovCloud (US-East) AWSの今⽇

17. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.

18. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 16 Regions – 44 Availability Zones – 82 Edge Locations Region & Number of Availability Zones AWS GovCloud(2) EU Ireland (3) US West Frankfurt (3) Oregon (3) London (2) Northern California (3) Asia Pacific US East Singapore (2) N. Virginia (6), Ohio (3) Sydney (3), Tokyo (3), Seoul (2), Mumbai (2) Canada Central (2) China Beijing (2) South America São Paulo (3) Announced Regions China, France, Hong Kong, Sweden, AWS GovCloud (US-East) AWSのIPv6対応は 中国以外の全てですすめられている IPv4 Only

19. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Account Support Support Managed Services Professional Services Partner Ecosystem Training & Certification Solution Architects Account Management Security & Pricing Reports Technical Acct. Management Marketplace Business Applications DevOps Tools Business Intelligence Security Networking Database & Storage SaaS Subscriptions Operating Systems Mobile Build, Test, Monitor Apps Push Notifications Build, Deploy, Manage APIs Device Testing Identity Enterprise Applications Document Sharing Email & Calendaring Hosted Desktops Application Streaming Backup Game Development 3D Game Engine Multi-player Backends Mgmt. Tools Monitoring Auditing Service Catalog Server Management Configuration Tracking Optimization Resource Templates Automation Analytics Query Large Data Sets Elasticsearch Business Analytics Hadoop/Spar k Real-time Data Streaming Orchestration Workflows Managed Search Managed ETL Artificial Intelligence Voice & Text Chatbots Machine Learning Text-to- Speech Image Analysis IoT Rules Engine Local Compute and Sync Device Shadows Device Gateway Registry Hybrid Devices & Edge Systems Data Integration Integrated Networking Resource Management VMware on AWS Identity Federation Migration Application Discovery Application Migration Database Migration Server Migration Data Migration Infrastructure Regions Availability Zones Points of Presence Compute Containers Event-driven Computing Virtual Machines Simple Servers Auto Scaling Batch Web Applications Storage Object Storage Archive Block Storage Managed File Storage Exabyte- scale Data Transport Database MariaDB Data Warehousing NoSQL Aurora MySQL Oracle SQL Server PostgreSQL Application Services Transcoding Step Functions Messaging Security Certificate Management Web App. Firewall Identity & Access Key Storage & Management DDoS Protection Application Analysis Active Directory Dev Tools Private Git Repositories Continuous Delivery Build, Test, and Debug Deployment Networking Isolated Resources Dedicated Connections Load Balancing Scalable DNS Global CDN The AWS Platform

20. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Account Support Support Managed Services Professional Services Partner Ecosystem Training & Certification Solution Architects Account Management Security & Pricing Reports Technical Acct. Management Marketplace Business Applications DevOps Tools Business Intelligence Security Networking Database & Storage SaaS Subscriptions Operating Systems Mobile Build, Test, Monitor Apps Push Notifications Build, Deploy, Manage APIs Device Testing Identity Enterprise Applications Document Sharing Email & Calendaring Hosted Desktops Application Streaming Backup Game Development 3D Game Engine Multi-player Backends Mgmt. Tools Monitoring Auditing Service Catalog Server Management Configuration Tracking Optimization Resource Templates Automation Analytics Query Large Data Sets Elasticsearch Business Analytics Hadoop/Spar k Real-time Data Streaming Orchestration Workflows Managed Search Managed ETL Artificial Intelligence Voice & Text Chatbots Machine Learning Text-to- Speech Image Analysis IoT Rules Engine Local Compute and Sync Device Shadows Device Gateway Registry Hybrid Devices & Edge Systems Data Integration Integrated Networking Resource Management VMware on AWS Identity Federation Migration Application Discovery Application Migration Database Migration Server Migration Data Migration Infrastructure Regions Availability Zones Points of Presence Compute Containers Event-driven Computing Virtual Machines Simple Servers Auto Scaling Batch Web Applications Storage Object Storage Archive Block Storage Managed File Storage Exabyte- scale Data Transport Database MariaDB Data Warehousing NoSQL Aurora MySQL Oracle SQL Server PostgreSQL Application Services Transcoding Step Functions Messaging Security Certificate Management Web App. Firewall Identity & Access Key Storage & Management DDoS Protection Application Analysis Active Directory Dev Tools Private Git Repositories Continuous Delivery Build, Test, and Debug Deployment Networking Isolated Resources Dedicated Connections Load Balancing Scalable DNS Global CDN The AWS Platform

21. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. IPv6の対応 https://aws.amazon.com/jp/blogs/news/new-ipv6-support-for-ec2-instances-in-virtual-private-clouds/ 10.0.1.0/24 プライベート サブネット 10.0.0.0 /16 10.0.2.0/24 オフィス データセンター Direct Connect Amazon S3 Application Load Balancer AWS WAF IoT、S3、CloudFront、WAF、Route53に続きVPC、ALBがIPv6対応 上記のような構成をIPv4/IPv6デュアルスタックで構築可能 EC2 EC2 EC2 Amazon CloudFront Amazon Route 53 WEB Internet gateway Egress-only Gateway(EGW) を利⽤してIPv6においてもプライベート利⽤が可能 Basion 2001:db8:1234:1a01::/64 2001:db8:1234:1a00::/64 2001:db8:1234:1a00::/56 Egress-only Internet Gateway Internet EC2 パブリック サブネット AWS IoT

22. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. • Working Backwards すべてはお客様から逆に考える "We work backwards from the customer, rather than starting with an idea for a product and trying to bolt customers onto it."

23. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Classic Load Balancer (CLB) 特徴 (https://aws.amazon.com/jp/elasticloadbalancing/classicloadbalancer/) • 複数のAmazon EC2インスタンスに負荷分散 • 複数のアベイラビリティゾーンに跨って、⾼レ ベルの耐障害性を実現 • CLB⾃体が⾃動的にキャパシティを増減 • IPv4動作のバックエンドホストの前⾯でIPｖ６ を変換(EC2-Classicネットワーク向け） 価格体系 (https://aws.amazon.com/jp/elasticloadbalancing/classicloadbalancer/pricing/) • CLBの起動時間 • CLBのデータ転送量 レイヤー４および７のロードバランサー アベイラビリティ ゾーン a ユーザー アベイラビリティ ゾーン b CLB EC2 EC2 myLB-xxx.elb.amazonaws.com

24. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ELBにおけるIPv6はオプトイン

25. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Web向けIPv６サポートは2011年５⽉から 2011.June.8のWorld IPv6 dayでは、実際に 多くのAWS顧客がこの 機能を使⽤して対応

26. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS IoT 特徴 (https://aws.amazon.com/jp/iot/) • デバイスとクラウドの双⽅向コミュニケーショ ン • HTTP、MQTT、Websocketに対応 • SQLベースのルールとアクション定義 • AWSサービスとのシームレスな連携 • デバイス向けのSDK 価格体系 (https://aws.amazon.com/jp/iot/pricing/) • 100万メッセージあたり$8(⽇本リージョン) • 無料利⽤枠利⽤は25万メッセージ/⽉を(1年間) 簡単で安全なクラウドへのデバイス接続サービス 様々な産業での利⽤ アーキテクチャ図

27. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Simple Storage Service (S3) 特徴 (http://aws.amazon.com/jp/s3/) • ⾼い堅牢性 99.999999999% • 格納容量無制限。利⽤した分のみ課⾦ • 様々なAWSサービスと連携するセンター ストレージ • APIおよびRESTのWebサーバ機能を持つ 価格体系 (http://aws.amazon.com/jp/s3/pricing/) • データ格納容量 • データ転送量(OUT) • APIリクエスト数 マネージドオンラインストレージサービス Amazon S3

28. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon CloudFront 特徴 (http://aws.amazon.com/jp/cloudfront/) • 簡単にサイトの⾼速化が実現できると共に、 サーバの負荷も軽減 • 様々な規模のアクセスを処理することが可能 • 世界82箇所のエッジロケーション 価格体系 (http://aws.amazon.com/jp/cloudfront/pricing/) • データ転送量(OUT) • HTTP/HTTPSリクエスト数 • (利⽤する場合)SSL独⾃証明書 など マネージドCDN(Contents Delivery Network)サービス クライアント レスポンス向上 負荷軽減 Amazon CloudFront キャッシュ 配信 オフロード Webサーバ

29. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS WAF(Web Application Firewall) 特徴 (https://aws.amazon.com/jp/waf/) • カスタムルールによるアクセス制御を実現 • SQLインジェクションやXSS攻撃などへの対 応が可能。APIを利⽤した動的なルールの変 更もサポート • CloudFrontとALB(Application Load Balancer)で利⽤できる 価格体系 (https://aws.amazon.com/jp/waf/pricing/) • ウェブACLの数とルール数 • リクエスト数 AWSが提供するウェブアプリケーションファイアウォール

30. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Route53 特徴 (http://aws.amazon.com/jp/route53/) • ⾼い可⽤性：Amazon Route53は世界中に配置さ れたサーバーによって、⾮常に⾼い可⽤性を提供。 • 多様な機能：管理ホストに対するヘルスチェック や様々なアルゴリズムによるラウンドロビンなど、 柔軟なアプリケーションの運⽤を助ける機能が豊 富。 • アプリケーションの内部DNSをとしても利⽤可能。 価格体系 (http://aws.amazon.com/jp/route53/pricing/) • ⾮常に低価格なのが特徴。 • ホストするゾーンあたり 0.5USD/⽉ • 標準クエリ: １０億クエリあたり0.4USD ⾼い可⽤性と豊富な機能を提供するフルマネージドな権威DNS • 各ネームサーバは冗⻑化され世界中に 分散配置。 • IP Anycast • ヘルスチェック/DNSフェイルオーバー • 重み付けラウンドロビン • レイテンシーベースルーティング • ジオルーティング • ドメイン取得と管理 • AAAA, Query in IPv6 Route53の特徴的な機能

31. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 東京リージョン Amazon Virtual Private Cloud (VPC) 特徴 (http://aws.amazon.com/jp/vpc/) • AWS上にプライベートネットワークを構築 • AWSと既存環境のハイブリッド構成を実現 • きめ細かいネットワーク設定が可能 価格体系 (http://aws.amazon.com/jp/vpc/pricing/) • VPCの利⽤は無料 仮想プライベートクラウドサービス VPC ( 172.16.0.0/16) 既存システム プライベート サブネット パブリック サブネット インターネット VPN or 専⽤線 ネットワークを 要件に応じて設定 インターネット ゲートウェイ

32. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 専⽤線(Direct Connect)接続構成 バーチャル プライベート ゲートウェイ カスタマ ゲートウェイ 相互接続ポイント (Equinix TY2 or OS1) ・AWSとお客様設備を専⽤線で ネットワーク接続 ・相互接続ポイントへ専⽤線を敷設 し、AWSのルータと相互接続 ・⽇本の相互接続ポイントは 東京(Equinix TY2) ⼤阪(Equinix OS1) ・ルーティングはBGPのみ ・接続先は以下の２つ VPC(プライベート接続) AWSクラウド(パブリック接続) ・VPNよりも⼀貫性がある ・帯域のパフォーマンスも向上 ・ネットワークコストも削減

33. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. コンセプト：IPv6 in Amazon VPC • IPv6 を有効にした場合には、デュアルスタックとなる 10.0.3.3 - 54.0.0.3 Instanc e 10.0.0.0/16 10.0.3.0/24 2001:db8::/64 2001:db8::3 Subnet 2001:db8::/56

34. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. コンセプト：IPv6 in Amazon VPC • IPv4 がデフォルト。 IPv6 はオプトイン My VPCs My Subnets

35. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. コンセプト：IPv6 in Amazon VPC インスタンス情報

36. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. コンセプト：IPv6 グローバルユニキャストアドレス • IPv6を有効にしたVPCではグローバルユニキャストアド レス(GUA)を使う • それぞれのインスタンスはGUAが付与される • １：１のNATは存在しない • GUAの使⽤はセキュリティやプライバシ問題発⽣を意味 しない。ルートテーブル、セキュリティグループ、ゲー トウェイは別途設定する。

37. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. EIGW X 10.0.3.3 - 54.0.0.3 Instanc e 2001:db8::3 Subnet Egress-only Internet Gateway • IPv6インターネットアクセス のための仮想デバイスを導⼊ • コスト負担なし • パフォーマンスや可⽤性の制 限はない

38. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. コンセプト： セキュリティグループ、ルートテーブル、NACL • IPv6もIPv4も同様に設定、動作する Example Security Group Rules

39. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. VPCにおけるIPv4とIPv6の特徴と制限 IPv4 IPv6 アドレス体系 32bit 128bit VPCでの利⽤ デフォルトで適⽤ オプトイン （⾃動適⽤ではなく任意） CIDRブロックサイズ 16〜28bitで選択 ⾃分で任意のアドレスを設定可能 56bit固定 Amazon保有のprefixから⾃動で56bit CIDRが アサインされる（選べない） サブネット ブロックサイズ 16〜28bitで選択 64bit固定 パブリックIP/ プライベートIP それぞれ存在 （NATを介してパブリックIPをプライマリプラ イベートIPにMAP） パブリックのみ （プライベートにするにはEgress-only Internet Gatewayを利⽤） インスタンスタイプ 全てのインスタンスタイプ M3、G2を除く全ての現⾏世代の インスタンスタイプでサポート アマゾン提供DNS プライベートIP、Elastic IPに対する それぞれのDNSホスト名を受信 提供されるDNSホスト名はなし 閉域接続 VPN、DirectConnect DirectConnectのみ http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpc-ip-addressing.html

40. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Application Load Balancer (ALB) 特徴 (https://aws.amazon.com/elasticloadbalancing/applicationloadbalancer/) • レイヤー7のコンテントベースで、 ターゲットグループに対してルーティング • コンテナベースのアプリケーションのサポート • WebSocket, HTTP/2, IPv6, AWS WAF をサポート • 複数のアベイラビリティゾーンに跨って、 ⾼レベルの耐障害性を実現 • ALB⾃体が⾃動的にキャパシティを増減 価格体系 (https://aws.amazon.com/jp/elasticloadbalancing/applicationloadbalancer/pricing/) • ALBの起動時間 • Load Balancer Capacity Units (LCU)の使⽤量 レイヤー７のコンテントベースのロードバランサー アベイラビリティ ゾーン a ユーザー アベイラビリティ ゾーン b ALB EC2 myLB-xxx.elb.amazonaws.com EC2 EC2 ターゲットグループ ターゲットグループ

41. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. VPC Flow Logsとは ・ネットワークトラフィックをキャプチャ し、CloudWatch LogsへPublishする機能 ・ネットワークインタフェースを送信元/ 送信先とするトラフィックが対象 ・セキュリティグループとネットワークACL のルールでaccepted/rejectされた トラフィックログを取得 ・キャプチャウインドウと⾔われる時間枠 (約10分間)で収集、プロセッシング、 保存 ・追加料⾦はなし(CloudWatch Logsの標準 料⾦は課⾦）

42. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 利⽤例：Elasticsearch Service + kibanaによる可視化 VPC CloudWatch Logs Elasticsearch Service kibana Elasticsearchへ PUT https://blogs.aws.amazon.com/security/post/Tx246GOZNFIW79N/How-to-Optimize-and-Visualize-Your-Security-Groups

43. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. まとめ

44. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 16 Regions – 44 Availability Zones – 82 Edge Locations Region & Number of Availability Zones AWS GovCloud(2) EU Ireland (3) US West Frankfurt (3) Oregon (3) London (2) Northern California (3) Asia Pacific US East Singapore (2) N. Virginia (6), Ohio (3) Sydney (3), Tokyo (3), Seoul (2), Mumbai (2) Canada Central (2) China Beijing (2) South America São Paulo (3) Announced Regions China, France, Hong Kong, Sweden, AWS GovCloud (US-East) AWSのIPv6対応は 中国以外の全てですすめられている IPv4 Only

45. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. IPv6の対応 https://aws.amazon.com/jp/blogs/news/new-ipv6-support-for-ec2-instances-in-virtual-private-clouds/ 10.0.1.0/24 プライベート サブネット 10.0.0.0 /16 10.0.2.0/24 オフィス データセンター Direct Connect Amazon S3 Application Load Balancer AWS WAF IoT、S3、CloudFront、WAF、Route53に続きVPC、ALBがIPv6対応 上記のような構成をIPv4/IPv6デュアルスタックで構築可能 EC2 EC2 EC2 Amazon CloudFront Amazon Route 53 WEB Internet gateway Egress-only Gateway(EGW) を利⽤してIPv6においてもプライベート利⽤が可能 Basion 2001:db8:1234:1a01::/64 2001:db8:1234:1a00::/64 2001:db8:1234:1a00::/56 Egress-only Internet Gateway Internet EC2 パブリック サブネット AWS IoT

46. © 2017, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.