« 【AWS発表】 AWS Management Consoleへの機能追加:インスタンスタイプ変更、無料使用枠向きAMIマーカー表示、EC2インスタンス停止時の挙動指定、など | メイン | 【AWS発表】 Amazon EC2でWindows Server 2008 R2が使用可能に »

【AWS発表】 Amazon EC2の新しい仮想ネットワーキングを発表

3月11日、日本は巨大地震に見舞われました。この災害の影響を受けた皆さまに、特に最愛の方を失った方々に哀悼の意を捧げるとともに、心よりお見舞い申し上げます。

AWSのユーザーグループであるJAWS-UG (AWS User Group Japan)においても、メンバーの総力を結集して、復興支援に努めています。その取り組みはこちらからご覧ください。被災者に情報公開するための無料サイト作成、アクセス過多対策/サーバー復帰のための相談窓口、災害情報データベース、地震関連Tweetデータベース、停電情報データベース、アプリケーション等、幅広く活動しております。

さて、これまで、AWSが提供するAmazon Virtual Private Cloud (VPC)を用いれば、安全なVPNコネクションを利用して既存のIT環境と、アマゾンクラウドのEC2間にセキュアなブリッジを作成することができました。EC2に対してイントラネットワークで用いられるIPを割り振ることができ、VPC内のEC2インスタンス間の通信はこのVPC内に閉じて行われるため、セキュリティに関心の高い大企業のお客様にVPCは非常に好評でした。しかし、もし外界(インターネットの)にアクセスするときは必ずVPNコネクションを通じて出入りを行う必要があり、セキュリティは高いものの利便性に対して、お客様からの改善要望を頂いておりました。

今回の発表により、このこれまでのVPCに加え、さらに多くのことが出来るようになった新しいVPCになったといえます。これは、Amazon EC2において、いわば「仮想ネットワーキング」を実現するための機能だと考えることができるでしょう。この発表は非常に大きなものであり、EC2そのものの使い方をがらっと変えてしまう可能性を秘めていると考えています。

今回の発表は以下を含みます:

  • VPCの作成をタイプ毎に分けて容易にするVPCウィザード
  • サブネットやルーティングを含む、ネットワークトポロジーに対する完全なコントロール
  • サブネットレベルとインスタンスレベルでのアクセス管理(アウトバウンドの管理もできる)
  • インターネット・ゲートウェイ経由の外部インターネットアクセス
  • VPC内のEC2に対する固定IPアドレス(Elastic IP)
  • ネットワークアドレス変換(NAT: Network Address Translation)のサポート
  • VPCコネクションを持たなくてもVPCの利用が可能


上記のように、今回の発表により、パブリックサブネット、プライベートサブネット、DMZといった、物理的なデータセンターで良く使われる概念と同じ考え方で、アマゾンクラウドの中でネットワーク構成を作成できるようになります。言い換えると、物理的なケーブル、ルーター、スウィッチを扱う手間を省きながらも、クラウド上で自在にネットワークを設計し起動することができるようになります。全体のネットワークレイアウトを抽象的な「コード」で保存しておき、それを必要に応じて瞬時に具現化することができるようになるのです。AWS Management Console、コマンドラインツール、APIsのいずれも今回の新しい機能をサポートします。現時点で、米国東海岸(US EAST)と米国西海岸 ヨーロッパ(EU WEST)のリージョンをサポートしており、東京リージョンは現時点ではサポートしておりませんが、2011年内に実装される予定です。

VPCウィザード
新しくなったVPCウィザードを用いると、あらかじめ4つ用意されたネットワークアーキテクチャから選択して、数分以内にVPCを始めることができます。

 

ウィザードで用意されている4つのアーキテクチャは以下の通りです。

  • VPC with a single public subnet 
    パブリックサブネットを持つVPCです。この場合、EC2インスタンスは、Amazonクラウドの中の隔離されたプライベートな領域で稼働しながら、インターネットへ直接アクセスすることができます。
  • VPC with public and private subnets
    パブリックサブネットとプライベートサブネットを持つVPCです。パブリックサブネットで稼働するEC2インスタンスは、NATインスタンスを通してインターネットにアクセスできます。プライベートサブネットのインスタンスには、インターネットから直接アクセスすることはできません。
  • VPC with Internet and VPN access
    所有しているデータセンターから、IPSec VPNを用いてVPCに接続し、データセンターをクラウドにより拡張します。また、VPC内のインスタンスから直接インターネットにアクセスすることも可能です。
  • VPC with VPN only access
    EC2インスタンスは、所有データセンターにIPSec VPN接続されているプライベートサブネットで稼働し、直接インターネットにアクセスすることはできません。この形式は、今回の発表以前のVPCと同じです。

このウィザードで用意されているもの中から一つのアーキテクチャを選択頂いてスタートし、その後、ご要望にあわせて変更していくことができます。また、最初からウィザードを使わずに、VPC内のネットワーク構成を一つずつ設定していくこともできます。ここういったところは、お馴染みのAWSならではの特徴といえるでしょう。

アーキテクチャを選択いただくと、VPCウィザードは、VPCを作成するために必要なIPアドレスなどの情報を入力する画面へと続きます。

VPCはものの数秒で使えるようになります。ですので、皆さんはいつもと同様にVPCの中でECインスタンスを立ち上げて頂けるようになります。

ルートテーブル (Route Tables)
VPCは、複数のルートテーブルを利用し、目的地のCIDRブロックに基づき、インターネット/VPNゲートウェイ/NATインスタンスへの出入りのトラフィックを望み通りにルーティングできます。各VPCはデフォルトのルートテーブルを持ちます。必要に応じて、追加のルートテーブルを作成したり、それを個別のサブネットに付加することが可能です。


インターネット (Internet Gateways)
VPCの中でインターネットゲートウェイを作成できます。このゲートウェイを用いることで、AWSの他のサービスにアクセスすることができます。(もしインターネットゲートウェイを用いない場合は、わざわざVPNコネクションを通じてトラフィックを送信し、受信する必要があります。)

ネットワークアクセスリスト (Network ACLs)
ネットワークアクセスリストを作成し、必要に応じてサブネットに付加することができます。各サブネットとゲートウェイへの出入りのトラフィックを(Allow、Denyルールを用いることで)完全にコントロールできます。インバウンド、アウトバウンドのトラフィック、あらゆるプロトコルを必要に応じてフィルターできます。


また、AWS Identity and Access Managementを用いると、ネットワークアクセスリストを設定し管理するのに関連したAPIとリソースに対するアクセス権を制限することが可能です。

 

セキュリティグループ (Security Groups)
VPCの中で立ち上げたEC2インスタンスに対しても、セキュリティグループの設定ができるようになりました。VPCの中でセキュリティグループを用いた際には、アウトバウンドトラフィックのフィルタリングもできる、TCP、UDP、ICMPを含めたあらゆるIPプロトコルを指定したルールを作成できるなど、多くの強化機能が使えるようになっています。

また、稼働しているEC2インスタンスに対してもセキュリティグループの追加、削除ができるようになります。AWS Management Consoleは、セキュリティグループに対してより洗練されたユーザーインタフェースを提供します。例えば、複数の変更を行って、その変更を一気に適用できるようになりました。

固定のIPアドレス (Elastic IP Addresse)
VPCの中で稼働しているEC2インスタンスに対して、Elastic IP Addressesを割り当てられるようになりました。ただし、これらのアドレスは違うプールから提供されるので、現存の(VPCではない)Elastic IP AddresseをVPCの中で稼働しているEC2インスタンスに割り当てることはできませんのでご注意ください。

NATアドレッシング (NAT Addressing)
プライベートサブネットに出入りするトラフィックをルーティングするのに、"NATインスタンス"を立ち上げることが可能です。このNATインスタンスにより、プライベートインスタンスがインターネットへのアウトバンドコネクションを自らのIPアドレスを見せることなく行えるようになります。じつはNATインスタンスは単にAWSが提供するNAT AMIから起動するEC2インスタンスであり、そのNATインスタンスの料金は通常のEC2の時間課金となります。

使用料金
この値付けがVirtual Private Cloudの一番良いところといえるかもしれません。ここまで説明してきた機能を無料で提供いたします!VPC、サブネット、ネットワークアクセスリスト、セキュリティグループ、ルートテーブル、VPNゲートウェイの作成、そしてVPCの中のEC2とS3の間の通信は無料です。稼働しているインスタンス(NATインスタンスも含む)、Elastic Block Storage、VPNコネクション、インターネット通信量、アサインされていないElastic IPアドレスは通常と同じく課金されます。


インターネットゲートウェイはお客様からの要望が非常に高い機能でした。例えば、VPCは、アウトバウンドトラフィックのフィルタリング、ネットワークアクセスリスト、NATインスタンスによって高められたセキュリティを必要とするアプリケーションには(IPSec VPNコネクションを使わなくとも)非常に適したサービスでしょう。また、VPCを用いて外向けのWebサイトを構築しながらもイントラネットにVPNで接続し社内の認証システムを利用することも可能です。VPCを用いて外向けのWebサービスを提供しながら、その帳票は社内のプリンターで印刷することももちろん可能となるでしょう。皆様のことですから、様々なアイデアが沸いてくるに違いありません。


玉川憲 (@KenTamagawa)

コメント

Featured Event

2016年3 月

    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31