ENOG81: AWSのIPv6とPublic IPv4のおはなし

Transcript

1. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. AWS の IPv6 と Public IPv4 の おはなし E N O G 8 1 M E E T IN G 菊池 之裕/Yukihiro Kikuchi Amazon Web Services Japan G.K.

2. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 内容についての注意点 本資料では 2024 年2 月時点のサービス内容および価格についてご説明しています。 最新の情報は AWS 公式ウェブサイト (http://aws.amazon.com) にてご確認ください。 資料作成には十分注意しておりますが、資料内の価格と AWS 公式ウェブサイト記載の価格に 相違があった場合、AWS 公式ウェブサイトの価格を優先とさせていただきます。 価格は税抜表記となっています。 日本居住者のお客様には別途消費税をご請求させていただきます。 AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 2

3. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 自己紹介 名前：菊池 之裕(きくち ゆきひろ) 所属：アマゾン ウェブ サービス ジャパン合同会社 シニアソリューションアーキテクト ネットワークスペシャリスト ロール：Network系サービス全般についてのご支援 経歴：ISP,IXP,VPN運用、開発の後、ストレージ、ネットワーク機器、仮想ルータ販売会社の プリセールス・プロダクトエンジニア、2017年より現職 好きな AWS サービス: Direct Connect,VPC,AWS Marketplace

4. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. はじめに（AmazonとAWSについて） AWSのIPv6サービス対応状況 • 個別サービスの状況 Public IPv4の有料化について まとめ Agenda 4

5. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. はじめに 5

6. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazonのビジョン Our Vision: 地球上で、もっともお客様を 大切にする企業であること Who we are: AWS は Amazon の DNA を 継承したクラウドサービス Amazon.com 創業者 兼 最高経営責任者 ジェフ・ベゾス

7. © 2021, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. 品揃え 顧客体験 顧客数 売り手の数 低コスト 低価格 成 長 Amazonのビジネスモデル 利便性 Innovation

8. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. AWS は、アマゾン の DNA を 継承したクラウドサービス

9. © 2024, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. AWSのIPv6対応 9

10. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS の IPv6 対応 IPv4/IPv6 デュアルスタック構成 AWS Cloud VPC 172.32.0.0/16 2406:da14:4b9:ae00::/56 Public subnet 172.32.1.0/24 2406:da14:4b9:ae01::/64 Private subnet 172.32.11.0/24 2406:da14:4b9:ae11::/64 Private subnet 2406:da14:4b9:ae12::/64 Public subnet 2406:da14:4b9:ae02::/64 オフィス データセンター Amazon Aurora Amazon CloudFront Amazon Route 53 AWS Site-to-Site VPN AWS WAF Amazon EKS Amazon ECS Amazon EC2 Application/Network Load Balancer NAT gateway Internet gateway Egress-only Internet gateway VPN gateway Customer gateway AWS Direct Connect Amazon S3 Internet AWS IoT

11. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. コンセプト：IPv6 in Amazon VPC • IPv6を有効にした場合には、デュアルスタックとなる。 • 持ち込んだIPv6アドレスも利用できる。(BYOIPv6) • サブネットはIPv6 Single Stackも可能 10.0.3.3 - 54.0.0.3 Instance/Container 10.0.0.0/16 10.0.3.0/24 2001:db8::/64 2001:db8::3 2001:db8::/56 VPC Subnet

12. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. コンセプト：IPv6 in Amazon VPC • IPv4がデフォルト。 IPv6 はオプトイン My VPCs My Subnets

13. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. コンセプト：IPv6グローバルユニキャストアドレス • IPv6を有効にしたVPCではグローバルユニキャストアドレス (GUA)を使う。 • 割り当てられるIPv6アドレスは、Amazonから割り当てられる か、持ち込んだIPv6アドレス(BYOIPv6)を使う。 • それぞれのインスタンスはGUAが付与される • 1:1 NATは存在しない

14. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Linux 2023 から見た IPv6 4 [ec2-user@ip-10-4-7-67 ~]$ ip -d a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 promiscuity 0 minmtu 0 maxmtu 0 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enX0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc fq_codel state UP group default qlen 1000 link/ether 06:c7:51:ee:79:df brd ff:ff:ff:ff:ff:ff promiscuity 0 minmtu 68 maxmtu 65535 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 altname eni-0a669e62d4a866cc7 altname device-number-0 inet 10.4.7.67/20 metric 512 brd 10.4.15.255 scope global dynamic enX0 # IPv4 プライベートアドレス valid_lft 3343sec preferred_lft 3343sec inet6 2406:da14:f9:f100:89b0:6140:148:e9d0/128 scope global dynamic noprefixroute # IPv6 グローバルユニキャストアドレス valid_lft 382sec preferred_lft 72sec inet6 fe80::4c7:51ff:feee:79df/64 scope link # IPv6 リンクローカルアドレス valid_lft forever preferred_lft forever 1 つのインターフェースに IPv4 と IPv6 が共存している IPv6 を使ってインターネットを利用するとき、グローバルユニキャストアドレスで通信する ローカルネットワークの通信では、リンクローカルアドレスを利用する場合もある

15. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 個別サービスの対応状況 15

16. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Cloud Virtual private cloud (VPC) 10.4.0.0/16 Public subnet 10.4.0.0/20 Private subnet 10.4.128.0/20 EC2 Linux 10.4.7.67 Destination Target 0.0.0.0/0 Internet Gateway Destination Target 0.0.0.0/0 NAT Gateway EC2 10.4.132.174 Internet gateway IPv4 の構成例 • IPv4 構成例 • Public Subnet には Internet Gateway • Private Subnet には NAT Gateway

17. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Cloud Virtual private cloud (VPC) 10.4.0.0/16 2406:da14:f9:f100::/56 Public subnet 10.4.0.0/20 2406:da14:f9:f100::/64 Private subnet 10.4.128.0/20 2406:da14:f9:f101::/64 EC2 Linux 10.4.7.67 2406:da14:f9:f100:89b0:6140:148:e9d0 Destination Target 0.0.0.0/0 Internet Gateway ::/0 Internet Gateway Destination Target 0.0.0.0/0 NAT Gateway ::/0 Egress-only Internet Gateway EC2 10.4.132.174 2406:da14:f9:f101:2300:2f4f:8474:a402 Internet gateway IPv4 + IPv6 の構成例 • IPv6 を後から追加可能 • VPC は、/56 の CIDR 固定 ▪ /40 - /64 /4刻みで最大5個まで • Subnet は、/64 の CIDR 固定 ▪ /44 - /64 /4刻みで指定可能 • 既存の EC2 インスタンスは、1 つずつ IPv6 の有効化作業が必要 • Route Table も、IPv6 用に設定が必要 Egress-only Internet gateway

18. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. IPv6 に関連する Gateway • Internet Gateway • IPv6 で Public Subnet として構成し、Public IP 相当を設定したい場合に利用する • VPC → Internet, Internet → VPC の双方向通信が可能 • EC2 インスタンスが持つ IPv6 アドレスが、Global IP として機能する • Egress-only Internet Gateway • IPv6 で Private Subnet として構成し、IPv4 の NAT Gateway 相当を設定したい場合に利用する • VPC → Internet の通信は可能。 • NAT Gateway • NAT64, DNS64 関連で利用可能 • VPC 上の IPv6 を持つリソースが、インターネット上の IPv4 しかもたないリソースにアクセス したい場合に利用する 8

19. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Cloud Virtual private cloud (VPC) 10.4.0.0/16 2406:da14:f9:f100::/56 Public subnet 10.4.0.0/20 2406:da14:f9:f100::/64 Private subnet 10.4.128.0/20 2406:da14:f9:f101::/64 EC2 Linux 10.4.7.67 2406:da14:f9:f100:89b0:6140:148:e9d0 Destination Target 0.0.0.0/0 Internet Gateway ::/0 Internet Gateway Destination Target 0.0.0.0/0 NAT Gateway ::/0 Egress-only Internet Gateway EC2 10.4.132.174 2406:da14:f9:f101:2300:2f4f:8474:a402 Internet gateway Internet Gateway Egress-only Internet gateway IPv4 IPv6 双方向通信が可能

20. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Cloud Virtual private cloud (VPC) 10.4.0.0/16 2406:da14:f9:f100::/56 Public subnet 10.4.0.0/20 2406:da14:f9:f100::/64 Private subnet 10.4.128.0/20 2406:da14:f9:f101::/64 EC2 Linux 10.4.7.67 2406:da14:f9:f100:89b0:6140:148:e9d0 Destination Target 0.0.0.0/0 Internet Gateway ::/0 Internet Gateway Destination Target 0.0.0.0/0 NAT Gateway ::/0 Egress-only Internet Gateway EC2 10.4.132.174 2406:da14:f9:f101:2300:2f4f:8474:a402 Internet gateway Egress-only Internet Gateway Egress-only Internet gateway IPv6 片方向通信が可能 外部サービス IPv4 外部サービス Egress-only Internet Gateway は NAT を実施しない。 送信元 IP は EC2 インスタンスが持つ IPv6 アドレスとなる。 NAT gateway

21. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Cloud Virtual private cloud (VPC) 10.4.0.0/16 2406:da14:f9:f100::/56 Public subnet 10.4.0.0/20 2406:da14:f9:f100::/64 Private subnet 2406:da14:f9:f101::/64 EC2 Linux 10.4.7.67 2406:da14:f9:f100:89b0:6140:148:e9d0 Destination Target 0.0.0.0/0 Internet Gateway ::/0 Internet Gateway Destination Target 64:ff9b::/96 NAT Gateway ::/0 Egress-only Internet Gateway EC2 2406:da14:f9:f101:2300:2f4f:8474:a402 Internet gateway DNS64/NAT64 Egress-only Internet gateway IPv6 片方向通信が可能 外部サービス IPv4 外部サービス Egress-only Internet Gateway は NAT を実施しない。 送信元 IP は EC2 インスタンスが持つ IPv6 アドレスとなる。 NAT gateway IPv6 only networkからNAT Gateway経由で IPv4 Networkにアクセスも可能

22. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Cloud Virtual private cloud (VPC) 10.4.0.0/16 2406:da14:f9:f100::/56 Public subnet IPv4 と IPv6 の混在 VPC 内の IPv4 IPv6 の混在 Subnet ごとに以下を選択可能 • IPv4 のみ • IPv4 と IPv6 の混在 • IPv6 のみ Private subnet IPv4 のみ Private subnet IPv6 のみ

23. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Cloud Application Load Balancer (ALB) • 特徴 (https://aws.amazon.com/elasticloadbalancing/applicationloadbalancer/) ▪ レイヤー7のコンテントベースで、 ターゲットグループに対してルーティング ▪ コンテナベースのアプリケーションのサポート ▪ WebSocket, HTTP/2, IPv6, AWS WAF をサポート ▪ 複数のアベイラビリティゾーンに跨って、 高レベルの耐障害性を実現 ▪ ALB自体が自動的にキャパシティを増減 • 価格体系 (https://aws.amazon.com/jp/elasticloadbalancing/applicationloadbalancer/pricing/) ▪ ALBの起動時間 ▪ Load Balancer Capacity Units (LCU)の使用量 レイヤー７のコンテントベースのロードバランサー アベイラビリティ ゾーン a ユーザー アベイラビリティ ゾーン b ALB EC2 myLB-xxx.elb.amazonaws.com EC2 EC2 ターゲットグループ ターゲットグループ VPC

24. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Cloud Network Load Balancer (NLB) • 特徴 (https://aws.amazon.com/jp/elasticloadbalancing/network-load-balancer/) ▪ TCP、UDP(L4)のバランサとして機能 – TCPがIPv6対応 ▪ 固定IPアドレス: AZ毎に1つ、既に持っているEIPも利用可能 ▪ 送信元IPアドレスの保持: X-Forwarded-ForやProxy Protocol が不要 ▪ 暖気なしに急激なスパイクにも対応可能 ▪ SSLオフロード • 価格体系 (https://aws.amazon.com/elasticloadbalancing/pricing/) ▪ NLBの起動時間 ▪ Load Balancer Capacity Units (LCU)の使用量 レイヤー4のコネクションベースのロードバランサー アベイラビリティ ゾーン a ユーザー アベイラビリティ ゾーン b NLB EC2 myLB-xxx.elb.amazonaws.com EC2 EC2 ターゲットグループ ターゲットグループ VPC

25. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon CloudFront • 特徴 (http://aws.amazon.com/jp/cloudfront/) ▪ 簡単にサイトの高速化が実現できると共に、サーバの 負荷も軽減 ▪ 様々な規模のアクセスを処理することが可能 ▪ 50カ国の100以上の都市にある600以上のPoPと13の リージョナルエッジキャッシュのグローバルネット ワーク • 価格体系 (http://aws.amazon.com/jp/cloudfront/pricing/) ▪ データ転送量(OUT) ▪ HTTP/HTTPSリクエスト数 ▪ (利用する場合)SSL独自証明書 など マネージドCDN(Content Delivery Network)サービス クライアント レスポンス向上 負荷軽減 Amazon CloudFront キャッシュ 配信 オフロード Webサーバ

26. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS WAF(Web Application Firewall) • 特徴 (https://aws.amazon.com/jp/waf/) ▪ カスタムルールによるアクセス制御を実現 ▪ SQLインジェクションやXSS攻撃などへの対応 が可能。APIを利用した動的なルールの変更も サポート ▪ CloudFrontとALB(Application Load Balancer)、 APIGWで利用できる • 価格体系 (https://aws.amazon.com/jp/waf/pricing/) ▪ ウェブACLの数とルール数 ▪ リクエスト数 AWSが提供するウェブアプリケーションファイアウォール

27. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Route 53 • 特徴 (http://aws.amazon.com/jp/route53/) ▪ 高い可用性：Amazon Route53は世界中に配置された サーバーによって、非常に高い可用性を提供。 ▪ 多様な機能：管理ホストに対するヘルスチェックや 様々なアルゴリズムによるラウンドロビンなど、柔軟 なアプリケーションの運用を助ける機能が豊富。 ▪ アプリケーションの内部DNSとしても利用可能。 • 価格体系 (http://aws.amazon.com/jp/route53/pricing/) ▪ 非常に低価格なのが特徴。 ▪ ホストするゾーンあたり 0.5USD/月 ▪ 標準クエリ: １０億クエリあたり0.4USD 高い可用性と豊富な機能を提供するフルマネージドな権威DNS • 各ネームサーバは冗長化され世界中に 分散配置。 • IP Anycast • ヘルスチェック/DNSフェイルオーバー • 重み付けラウンドロビン • レイテンシーベースルーティング • ジオルーティング • ドメイン取得と管理 • AAAA, Query in IPv6 • DNSSEC(new) Route53の特徴的な機能

28. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. その他の AWS サービスの IPv6 対応状況 IPv6 をサポートするサービス https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/aws-ipv6- support.html#ipv6-service-support IPv6 をサポートするサービスが一覧で記載されている デュアルスタック IPv4 と IPv6 が両方利用可能 IPv6 Only IPv6 単体で利用可能 パブリックエンドポイントの IPv6 サポート インターネット経由でアクセス可能 プライベートエンドポイントの IPv6 サポート VPCの内側からのみアクセス可能 28

29. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. IPv6の利用ドキュメントもご用意してあります • https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/get-started- ipv6.html

30. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. https://d1.awsstatic.com/architecture- diagrams/ArchitectureDiagrams/IPv6- reference-architectures-for-AWS-and- hybrid-networks-ra.pdf リファレンスアーキテクチャあります

31. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Public IPv4 アドレスの料金体系 変更について 31

32. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 概要 AWS 提供のパブリック IPv4 アドレスのご利用について新しい料金体系の導入が発 表されました [1][2] 2024年 2月 1日 から適用開始しました。 下表のように AWS 提供のパブリック IPv4 アドレスの料金体系が変更となります。 (お客様が所有している IP アドレスを BYOIP で持ち込まれたものを除く) 32 パブリック IP アドレスのタイプ 2024年2月1日以前の料金/時間 (USD) 現在の料金/時間 (USD) (2024年2月1日より適用) VPC 内のリソース、Amazon Global Accelerator、AWS Site-to-Site VPN トンネルに割り 当てられた、使用中のパブリック IPv4 アドレス（AWSが提供するパブリック IPv4 アド レスおよび Elastic IP アドレスを含む） 無料 $0.005 起動中の EC2 インスタンスに割り当てられた追加（セカンダリ）のElastic IP アドレス $0.005 $0.005 アカウント内の未割り当ての Elastic IP アドレス $0.005 $0.005 • 参考 [1] https://aws.amazon.com/jp/blogs/news/new-aws-public-ipv4-address-charge-public-ip-insights/ [2] https://aws.amazon.com/jp/blogs/news/identify-and-optimize-public-ipv4-address-usage-on-aws/ ※ 0.005USD/hour = 3.6USD/month(30days)

33. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 導入の背景について パブリック IPv4 アドレスが希少な資源となり、AWS 側の調達コストが過去 5 年 間で 300 % 以上増加しています。 使用料をお支払いいただきパブリック IPv4 アドレスを使用し続けることも可能で すが、IPv6へ移行を検討頂きたい、という意図が含まれた変更となっています。 33

34. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 主なサービスの一覧 今回の変更で影響がある、パブリック IPv4 アドレスを利用する主な AWS サービス Pricing for public IPv4 addresses をご参照ください。 Amazon AppStream 2.0 AWS Client VPN AWS Database Migration Service Amazon EC2 Amazon Elastic Container Service Amazon EKS Amazon EMR Amazon GameLift AWS Global Accelerator AWS Mainframe Modernization Amazon Managed Streaming for Apache Kafka Amazon MQ 34 Amazon RDS Amazon Redshift AWS Site-to-Site VPN Amazon VPC NAT gateway Amazon WorkSpaces Elastic Load Balancing

35. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. • Public IPv4 アドレスの利用一覧を提供 • Public IPv4 アドレスに紐づく AWS サービス名を表示 • 本機能は追加の費用なしで利用可能 • 自リージョン、自アカウントのみの表示 (Organizations で管理している他アカウント は、個別で参照) 35 Amazon VPC IP Address Manager で Public IPv4 を確認 https://aws.amazon.com/about-aws/whats-new/2023/07/aws-public-ip-insights-vpc-ip-address-manager/ https://aws.amazon.com/jp/blogs/aws/new-aws-public-ipv4-address-charge-public-ip-insights/

36. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 36 請求書から現在の利用料金を確認

37. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS におけるパブリック IPv4 アドレスの使用状況の特定と最適化 に記載されてい る PublicIPv4:IdleAddress と PublicIPv4:InUseAddress の使用量から概算値を算出可 能です。 実際に請求される値と異なる場合がありますので参考としてご確認ください。 コスト影響の概算値の出し方(ご参考) 37

38. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. まとめ 38

39. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. はじめに（AmazonとAWSについて） AWSのIPv6サービス対応状況 • 個別サービスの状況 Public IPv4 アドレスの料金体系変更について まとめ まとめ 39

40. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Thank you! 菊池 之裕 [email protected] X: @yukihirokikuchi Bluesky: @yukihirokikuchi.bsky.social 40