AWS Cloud Design Pattern for Enterprise

46 %
54 %
Information about AWS Cloud Design Pattern for Enterprise
Technology

Published on March 15, 2014

Author: c95029

Source: slideshare.net

Description

2014/3/15のJAWS Days 2014セッション資料

AWS Cloud Design Pattern for Enterprise Ken Tamagawa Akio Katayama JAWS DAYS 2014

“AWSクラウドを利用する際に発生する、典型的な 問題とそれに対する解決策・設計方法について、先 人たちの知恵を分かりやすく分類して、ノウハウと して利用できるように整理したもの” - Ninja of Three - AWS クラウドデザインパターンとは

AWSクラウドデザインパターン書籍 • 祝!!Kindle版!!

本日のテーマ エンタープライズでよく使われる AWSクラウドデザインパターン ↓ エンタープライズCDP

自己紹介 • 名前: 玉川憲 • Twitter • @KenTamagawa • 好きなAWSサービス • S3 • 好きなCDP • Server Swapping パターン

自己紹介 • 名前: 片山 暁雄 • Twitter • @c9katayama • #ヤマン • 好きな言語 • Java,C#,ActionScript • 好きなCDP • Cloud DI パターン

自己紹介 • 名前: 鈴木 宏康 Twitter • @suz_lab • 好きな言語 • BGP • 好きなCDP • Cloud HUBパターン

本日ご紹介する エンタープライズ的シナリオ • ハイブリッド環境のネットワーク構成 • ハイパフォーマンスな業務アプリケーション • クレジットカード情報を扱う業務システム • 企業システムのディザスタリカバリ

ハイブリッド環境の ネットワーク構成

よくある既存のネットワーク構成 メイン データセンタ IP-VPN 主回線+ 副回線

よくある既存のネットワーク構成 オフィス メイン データセンタ 主回線+ ワイヤレス IP-VPN 主回線+ 副回線

よくある既存のネットワーク構成 オフィス メイン データセンタ 会社支給 モバイル (SIM) 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線

よくある既存のネットワーク構成 Internet オフィス メイン データセンタ 会社支給 モバイル (SIM) 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 SaaS ソリューシ ョン

よくある既存のネットワーク構成 Internet オフィス メイン データセンタ 地方 /海外オフィス 会社支給 モバイル (SIM) HW VPN 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 SaaS ソリューシ ョン

よくある既存のネットワーク構成 Internet オフィス メイン データセンタ 地方 /海外オフィス BYOD モバイル 会社支給 モバイル (SIM) HW VPN 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 ワイヤレス SaaS ソリューシ ョン

どうやってAWSにつなげますか? Internet オフィス メイン データセンタ 地方 /海外オフィス BYOD モバイル 会社支給 モバイル (SIM) HW VPN 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 ワイヤレス SaaS ソリューシ ョン

ハイブリッド環境のネットワーク構成例 Internet オフィス メイン データセンタ 地方/海外 オフィス ソフトウェアVPN もしくはHTTPS BYOD モバイル 会社支給 モバイル (SIM) AWS Direct Connect ソフトウェア VPN HW VPN 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 HW VPN ワイヤレス

AWSとのつなぎかた

AWS Direct Connect(DX)による 専用線接続 データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続

ルータを使ったインターネットVPN データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続 Internet 地方/海外 オフィス HW VPN

ソフトウェアVPN データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続 Internet 地方/海外 オフィス HW VPN ソフトウェアVPN BYOD モバイル ワイヤレス

HTTPS データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続 Internet 地方/海外 オフィス HW VPN HTTPS BYOD モバイル ワイヤレス

専用線接続(DX)の つなぎかた

AWS Direct Connect(DX)による 専用線接続 データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続

AWS Direct Connect(DX)による 専用線接続 データセンタ Virtual Private Cloud Virtual Private Cloud AWS Direct Connect = 専用線接続

Direct Connectの中には 複数のVPC接続を設定できる データセンタ Virtual Private Cloud Virtual Private Cloud AWS Direct Connect = 専用線接続

Multi-accounts DXパターン 「DXでは異なるAWSアカウントで、 AWS Direct Connectをシェアできる」 データセンタ Invited Account A Invited Account B AWS Direct Connect = 専用線接続

VPC間どうしの ネットワーク経路?

VPC間どうしのネットワーク経路? データセンタ Virtual Private Cloud Virtual Private Cloud

ヘアピンDXパターン VPC間のネットワーク接続をDX経由で データセンタ Virtual Private Cloud Virtual Private Cloud

ソフトウェアVPNを使って VPC間同士をつなぐ Corporate Data center Virtual Private Cloud Virtual Private Cloud

専用線接続(DX)の 冗長化

Redundant DXパターン データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続

Hybrid VPN Connectionパターン データセンタ Virtual Private Cloud AWS Direct Connect = 専用線接続 インターネットVPN

IP-VPN網もからめると?

IP-VPC DXパターン オフィス メイン データセンタ 主回線+ ワイヤレス IP-VPN 主回線+ 副回線

IP-VPC DXパターン オフィス メイン データセンタ AWS Direct Connect 主回線+ ワイヤレス IP-VPN 主回線+ 副回線

モバイルもつながる オフィス メイン データセンタ 会社支給 モバイル (SIM) AWS Direct Connect 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線

これまでの話を まとめると

ハイブリッド環境のネットワーク構成例 オフィス メイン データセンタ 会社支給 モバイル (SIM) AWS Direct Connect 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線

ハイブリッド環境のネットワーク構成例 Internet オフィス メイン データセンタ 会社支給 モバイル (SIM) AWS Direct Connect 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 HW VPN

ハイブリッド環境のネットワーク構成例 Internet オフィス メイン データセンタ 会社支給 モバイル (SIM) AWS Direct Connect ソフトウェア VPN 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 HW VPN

ハイブリッド環境のネットワーク構成例 Internet オフィス メイン データセンタ 海外オフィス 会社支給 モバイル (SIM) AWS Direct Connect ソフトウェア VPN HW VPN 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 HW VPN

ハイブリッド環境のネットワーク構成例 Internet オフィス メイン データセンタ 海外オフィス ソフトウェアVPN もしくはHTTPS BYOD モバイル 会社支給 モバイル (SIM) AWS Direct Connect ソフトウェア VPN HW VPN 主回線+ ワイヤレス IP-VPN ワイヤレス 主回線+ 副回線 HW VPN ワイヤレス

ハイパフォーマンスな 業務アプリケーション

Ondemand disk High Availability NAT Synchronized Disk DB Replication Multi-Server Multi-Datacenter Self Healing

Self Healing パターン • インスタンスを起動後、インスタンス自身 でデータ領域のマウントを実施 • Cloud DIパターンを併用 • 実装 • AutoScalingをmin 1,max 1で セットする • Fail後にAMIから起動したインス タンスから、EBSなどをマウン ト • ヘルスチェックは監視サービス やELBも利用可能

Synchronized Disk パターン • 共有ディスクを使ったフェイルオーバーを 実現したい • 実装 • EC2を複数台起動し、それぞれにデー タ領域用のEBSをマウントする • データソフトウェアを導入し、データ を同期する • DRBD • CLUSTERPRO • DataKeeper など

Ondemand Disk パターン • ストライピングに加えて、 EBS最適化インスタンスや Provisioned IOPSを利用 • 高いディスクIO性能や、安定したIOが必要

High Availability NAT パターン • SPOFとなるNATサーバを冗長化したい • 実装 • NATサーバを2台起動し、 source/destチェックを外す • 片方のインスタンスをインター ネットゲートウェイとして登録 • NATインスタンスがダウンした時 点で、ルーティングテーブルを書 き換える

• その他パターン

High Availability Forward Proxy パターン • ELB+Proxy+AutoScalingでの実装 • Squid, ExaProxyなどのProxyサーバ を使用 • 利点 • 障害発生時でも自動的に回復する • PROXY部分でログが取れる • 欠点 • アプリ/OSごとのプロキシ設定が 必要 • 外部接続用のProxyを冗長化したい

On-premise Load Balancing パターン • アクセス元のシステムの都合上、既存の構成を変更せずにクラウド のスケールメリットを生かしたい • オンプレのLBのバックエンドに、仮想サーバを配置する • アクセス元システムの都合 • アクセスIPアドレスを変えられ ない • WAF/IDSの振り先がIPアドレ スしか受け付けない • 認証やコンテントベース振り分 けなど、使いたいLBの機能があ る

Floating VPN Gateway パターン • テストなどで、同一ネットワーク領域の環境を複数利用したい • クラウド上に同一ネットワーク領域の環境を複数用意し、VPNの接 続口をつけかえることで環境を切り替える

クレジットカード情報 を扱う業務システム (PCI-DSS)

事例 コイニー株式会社

下記のガイドラインをベースにCDPを整 理してみる https://www.pcisecuritystandards.org/pdfs/PCI_D SS_v2_Cloud_Guidelines.pdf PCI DSS Cloud Computing Guideline AWS PCI Compliance Package (NDAベース) http://aws.amazon.com/jp/compliance/

PCIデータセキュリティ基準 概要 安全なネットワークの構築と 維持 要件1 カード会員データを保護するために、ファイアウォールをインス トールして構成を維持する 要件2 システムパスワードおよび他のセキュリティパラメータにベンダ提 供のデフォルト値を使用しない カード会員データの保護 要件3 保存されるカード会員データの保護 要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場 合、暗号化する 脆弱性管理プログラムの整備 要件5 アンチウィルスソフトウェアまたはプログラムを使用し、定期的に 更新する 要件6 安全性の高いシステムとアプリケーションを開発し、保守する 強固なアクセス制御手法の導 入 要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8 コンピュータにアクセスできる各ユーザに一意のID を割り当てる 要件9 カード会員データへの物理アクセスを制限する ネットワークの定期的な監視 およびテスト 要件10 ネットワークリソースおよびカード会員データへのすべてのアクセ スを追跡および監視する 要件11 セキュリティシステムおよびプロセスを定期的にテストする 情報セキュリティポリシーの 整備 要件12 すべての担当者の情報セキュリティポリシーを整備する

PCI-DSS標準に準拠しているAWSサービス as of 2014/03/14 • Amazon DynamoDB / Amazon SimpleDB • Amazon Elastic Block Storage (Amazon EBS) • Amazon Elastic Compute Cloud (Amason EC2) • Amazon Elastic Map Reduce (Amazon EMR) • Amazon Glacier • Amazon Redshift • Amazon Relational Database Service (Amazon RDS) • Amazon Simple Storage Service (Amazon S3) • Amazon Virtual Private Cloud (Amason VPC) • AWS CloudHSM • AWS Direct Connect • AWs Identity and Access Management (IAM) • Elastic Load Balancing (ELB) • 上記の基礎となる物理インフラストラクチャと AWS 管理環境 • 上記に定義されているサービスの AWS PCI 準拠の範囲は、すべての AWS データセンターリージョンと場所に適用されます。

Chained Defense-in-Depthパターン VPN Web Web App App NAT Web Web App App NAT VPN 縦深防御とは、多数 の防御策を多層的に 施すことで、リスク を軽減する仕組み レイヤ毎にサブネッ トを分けルーティン グを管理 レイヤ毎にセキュリ ティグループを分け 必要部分のみつなぐ

Chained Defense-in-Depthパターン VPN Web Web App App NAT Web Web App App NAT VPN WebTierAppTierDBTierPublicFacing VPN NFW IPS/I DS WAF AV VPN NFW IPS/I DS WAF AV VPN NFW IPS/I DS WAF AV

ELB End-to-End Encryptionパターン ELBでSSL termination SSL処理をELBで実施 証明書の管理が楽 Web Web Web Web WebTier Backend-SSLで裏側も暗号化 全通信経路の暗号化 SSL termination Backend SSL

High Availability Forward Proxy パターン • ELB+Proxy+AutoScalingでの実装 • Squid, ExaProxyなどのProxyサーバ を使用 • 利点 • 障害発生時でも自動的に回復する • PROXY部分でログが取れる • 欠点 • アプリ/OSごとのプロキシ設定が 必要 • 外部接続用のProxyを冗長化したい

Log Aggregationパターン

Encrypted Log Aggregationパターン 暗号化

OnDemand Bastionパターン 踏み台サーバ(Bastion)の利 用はどのような環境でも推 奨 OnDemand Bastionでは利 用時のみ、踏み台サーバを 起動する セキュリティ面、コスト面 でGood

High Availability IAMパターン 各AZ毎にRoleを分けて設定することで、設定変更の失敗があったとき でも、システム全体が一度に影響を受けないようにできる http://blogs.aws.amazon.com/security/post/TxQ0OYRWOOK9L3/High-Availability- IAM-Design-Patterns

参考: Storage/Data Security EC2 EBS S3 Glacier Encryption Client Key Management File Encryption Full Disk Encryption Database Encryption AWS Server Side Encryption Key Management File Encryption Full Disk Encryption Database Encryption AWS Server Side Encryption File Encryption Full Disk Encryption Database Encryption AWS Server Side Encryption S3 Glacier On premise Encryption Client EC2 On premise

企業システムの ディザスタリカバリ

ディザスタリカバリ • ディザスタリカバリ― (DR) とは自然災害・人的災害発 生時に企業が技術的なインフラストラクチャを復旧もし くは継続させるために準備する一連のプロセス・ポリシ ー・および手順のこと • クラウドでの解決 • DRにかかる予算やオンプレミスのIT資産を抑える • セカンダリの物理データセンターの除去 • テープバックアップ・アーカイブの安全な格納 • DR=解決したい課題 • 昨今の重要トピックだが、実現できている企業は多くない

可用性とディザスタリカバリーレベルの選択 DRの コスト増 リカバリなし データ リカバリのみ スタンバイ システム 高い可用性 継続的 可用性 データ リカバリ コールド サイト ウォーム サイト ホット サイト 常時-15秒 15秒-30分 30分-72時間 72時間以上 対災害性 の向上 アプリケー ションの可 用性 なし 可用性レベル DRレベル復旧時間

• 実装 • アプリケーションは、オンプレ/AWSにデプロイ • DBは同期書き込みを実施(DB Replication Pattern) • すべてのシステムを起動しておく Hot Standby DC 継続的 可用性 オンプレミス - AWS AWS - AWS

• 実装 • アプリケーションは、オンプレ/AWSにデプロイ • デプロイ後、DRサイト側のアプリサーバは停止 • DBは同期もしくは非同期で書き込み Worm Standby DC 高い可用性 オンプレミス - AWS AWS - AWS

• 実装 • アプリケーションはDRにデプロイ後停止 • DBはデータをS3に定期バックアップ/Snapshot • 災害発生時はS3からリストア Cold Standby DC スタンバイ システム オンプレミス - AWS AWS - AWS

データ リカバリのみVirtual Cloud Storage • 既存のバックアップ方式の変更にはコストがかかる • オンプレミスに、自動的にクラウドにデータをアップロードするス トレージアプライアンスを配置し、既存バックアップに組み込む • アプライアンス • AWS Storage Gateway  Stored or Cached Volume  LTV(Virtual Tape Library) • Riverbed Whitewater • S3対応NAS(QNAP,Buffalo)

まとめ

本日ご紹介した エンタープライズ的シナリオ • ハイブリッド環境のネットワーク構成 • ハイパフォーマンスな業務アプリケーション • クレジットカード情報を扱う業務システム • 企業システムのディザスタリカバリ

Resources • AWSクラウドデザインパターン Webサイト • http://aws.clouddesignpattern.org/ • http://en.clouddesignpattern.org (英語) • Facebookページ • https://www.facebook.com/awscdp • Cacoo CDP テンプレート • https://cacoo.com/store/templates/category/10018 • 書籍 • 設計ガイド • http://www.amazon.co.jp/dp/4822211983 • 実装ガイド • http://www.amazon.co.jp/dp/4822211967 • Kindle版設計ガイド • http://www.amazon.co.jp/dp/B00I3XD0I0/

Thanks!

Add a comment

Related presentations

Related pages

AWS-CloudDesignPattern

5 AWS Cloud Design Pattern (CDP) ... AWSクラウドデザインパターン for Enterprise
Read more

Server-less Design Patterns for the Enterprise with AWS Lambda

... and Netflix make short work of that complexity with Spring Boot and Spring Cloud. ... Design Patterns for the Enterprise with AWS ... Design Pattern; AWS;
Read more

AWS | Application Architecture Center

The AWS Architecture Center is designed ... compliance on the AWS cloud. This an AWS Enterprise ... The flexibility of AWS allows you to design your ...
Read more

Download Cloud Design Patterns – Book Download from ...

... by showing how each piece can fit into the big picture of cloud application ... general advice on using each pattern. ... Cloud Design Patterns ...
Read more

Cloud Computing Patterns | Home

A design patterns catalog dedicated to cloud computing technology architecture and ... Pattern Contribution ... VPN Cloud Hub; Design Patterns ...
Read more

Cloud Design Patterns: Prescriptive Architecture Guidance ...

24 design patterns and 10 related ... Cloud Development Cloud Design Patterns: ... Runtime Reconfiguration Pattern. Design an application so ...
Read more

Cloud Design Patterns: Prescriptive Architecture Guidance ...

Cloud Design Patterns: Prescriptive Architecture Guidance for Cloud ... Each pattern discusses design considerations, ... The Enterprise Cloud: ...
Read more