WikiLeaksがAWSのデータセンター所在地を暴露したので詳細を見る


 WikiLeaksがAmazonのデータセンターの所在地を暴露 しましたね。民間企業の機密情報のリークは公益性のない行為のように感じたものの情報としては面白いので日本を中心に詳細なデータを見ていこうと思います。

🌏AWSの リージョン/AZ とは

 知ってるわいという方は読み飛ばしてください。クラウドではデータセンター、アベイラビリティゾーン、リージョンという言葉がでてきますが、各クラウドプロバイダによって言葉の使い方が少し異なります。AWS では以下のように定義されています。


  • データセンター(DC)
    • 物理的なビル、またはビル群
  • AvaliabilityZone(AZ)
    • 1つ以上 のデータセンターで構成したゾーン
  • Region
    • 2つ以上 のAZから成り立つグループ
  • Transit Cernter
    • AZとAZ外部ネットワーク(インターネット/DX専用線/AWS専用線)の接続ポイント
    • DXロケーションとほぼ同一 (この用語はあまりドキュメントに出てきません)
  • エッジロケーション
    • CloudFrontのCDNサーバが置いてあるところ(上の絵にはでてきていませんね)

なお、2018/10 現在はこんな記載でした

AWS クラウドは世界中の 18 個の地理的リージョンと 1 つのローカルリージョンにある 55 個のアベイラビリティーゾーンで運用されており、さらに 4 つのリージョン (バーレーン、香港特別行政区、スウェーデン、米国で 2 番目の AWS GovCloud リージョン) と 12 個のアベイラビリティーゾーンが追加される予定です。

Amazon CloudFront では、26 か国 59 都市にある 132 個の接続ポイント (121 個のエッジロケーションと 11 個のリージョン別エッジキャッシュ) からなるグローバルネットワークを使用しています。

🇯🇵日本の状況

 2018/10 現在は以下の記載となっています。蛇足ですが、リージョン a/b/c/d の物理ロケーションはアカウントにより異なる可能性があるので、 アカウントAap-northeast-1aアカウントB では 1c1d に該当するかもしれません。

  • リージョン
    • 東京:4 ap-northeast-1a/b/c/d
    • 大阪ローカル:1 ap-northeast-3a (?)
  • Transit Center
    • 東京:Equinix TY2、アット東京中央データセンター
    • 大阪:Equinix OS1
  • エッジロケーション
    • 東京:8
    • 大阪:1

🐙 大阪ローカルリージョンとは

【 AWS 新リージョン】 AWS 大阪ローカルリージョンが本日より利用可能になりました | Amazon Web Services ブログ

AWS 大阪ローカルリージョンは、当初、単一のアベイラビリティゾーンのみを提供し、データセンター間をこれまで以上に地理的に離すことで、特定のアプリケーションのニーズに対応します。
AWS 大阪ローカルリージョンをご利用いただくためには、申し込みおよび審査が必要です。詳細については、担当営業にお問い合わせ または ウェブフォームでお申し込みください。( AWS 大阪ローカルリージョンのみのご利用はできませんのでご注意ください。)

 要約すると、S3 の 99.999999999 耐久性などサービスとしての性能は維持しつつも AZ は1つ、というミニマム版リージョンです。サービスも東京と同じ全サービスが揃っていないと思われます。データセンターの拡張がユーザのニーズに間に合わず、スケーラブルな環境を全ユーザに提供できないので、小規模版を限られた利用者に開放しようというノリのようです。
 これだけ見ると、ap-northeast-3a のデータセンターが 1DC なのか 2DC なのか、よくわかりませんね。私は、実は 3DC くらいあるから 1AZ でもサービスレベルを保持できているのかなーと思っていました。

😎リーク情報を見ていく

 ここからはリークされた情報を元に、想像力豊かに進めていきます。
WikiLeaks - Map of Amazon's Data Centers

 文字化けしまくってるんですが、紙をOCRにでもかけたのでしょうか。 ap-notheast-1 = 成田 = NRT など空港コードが名前に利用されており、ほとんど表に出ていない(けど稀に出る)パターンなので、ガチ情報な雰囲気があります。既に閉鎖したデータセンターの記載もあり、地図にプロットされているものはすべて稼働中の情報のようです。

 Atte:ADSJAWS Japan ではなく Amazon Data Services Japan の資産というフラグでしょう。電話番号とメールアドレスも書いてありました。

🗼東京

所感

 千葉市印西、江東区枝川、横浜市磯子区 に合計 6つのデータセンターが記載されていました。エッジロケーションである Equinix も含まれており、TY2品川区東品川、TY3多摩市唐木田です。TY3 は現在、DXのロケーションとして挙がっていませんが、現状は枠がなく募集していないということか、もしくは 8のCloudFrontエッジロケーション に含まれるため TY2/TY3 が挙がっている、すなわち Equinix にも CDNサーバ を配置しているということかもしれません。
 横浜のデータセンターには COLO site という記載があり、一棟借りのビルではなく相乗りのコロケーションのようです。

 ところで、 千葉印西市のデータセンター近すぎませんか? 拡大するまで3つあるのわからなかった…。過去に Hamioton先生が データセンター間の距離は multiple kilometers と発言していたけどこれは…

 元のマップに縮尺がなかったので、適当に再計測したところ、multiple kilometers は無いですね。飛行機が墜落したら共倒れしそうな距離ではあります。なお、住所が正確に WikiLeaks の地図にプロットされているわけでもなさそうなのでもし来訪される方がいればご注意ください。

Data

  • NRT8 (SCSK)

    • Address: SCSK DC, 2-6-1 Otsuka, Inzai City, Chiba, Japan 270-1352
    • Atte: ADSJ
  • NRT11 (KVH NRT11 Colt)

    • Address: Inzai Building, 2-3 Otsuka, Inzai City, Chiba, Japan 270-1352
    • Atte: ADSJ
  • NRT20 (Amazon)

    • Address: Inzai Technology Building, 2-101-14 Izumino, Inzai, Chiba 270-1360, JAPAN
  • NRT53 (Equinix TY3)

    • Address: Equinix TY3-IBX Data Center,1-9-20 Edagawa, Koto-ku, Tokyo, Japan 135-0051
  • NRT4 (Equinix TY2)

    • Address: Equinix Systems KK, TY2 IBX Center, 3-8-21 Higashi Shinagawa, Shinagawa-ku, Tokyo, Japan 104-002
    • Atte: ADSJ
  • NRT12 (KDDI)

    • Address: KDDI 4th Tama Network Center Bldg,3-2 Karakida, Tama, Tokyo, 206-0035
    • Atte: ADSJ
  • NRT7 (Hitachi/Verizon)

    • Address: Systems Plaza Yokohama, 1-2-10 Isogo, Isogo-ku, Yokohama, Kanagawa-ken, Japan 235-0016
    • Notes: As this is a COLO site to avoid mistakes, every RMA delivery should be notified to DCO on arrival time via site phone, and part handed off to DCO staff.
  • NRT55 (Canon/Colt)

    • Address: Canon IT Nishi Tokyo Data Center, 3-5-33 Mukodai-cho, Nishi Tokyo-city, Tokyo, Japan 188-0013

NRT9 FujiSoft
This site is closed

🐙大阪

所感

 大阪リージョンはに大阪市中央区に1つのデータセンターと、大阪市西区のOS1 DXロケーションが記載されています。公式の情報と一致しました。データセンターは1つだけのようで、被災で全面AZ障害になりそうです。
また、既にクローズしたデータセンターとして大阪府北区堂島が上がっていました、大阪リージョンは2018/02に出来たばかりなのですが既に閉鎖とは、不思議な気がしますね…。
 1つのエッジロケーション がデータセンターなのか、Equinix なのかは読み解けません。

Data

  • NRT51 (Equinix OS1)

    • Address: Nishi-Shinsaibashi Bldg. 8F 1-26-1, Shin-machi, Nishi-ku Osaka-city, Osaka, Japan 550-0013
  • NRT52 (KDDI Osaka)

    • Address: Telehouse Osaka Chuo Data Center KDDI Osaka Bldg 2-2-72 Shiromi, Chuo-ku, Osaka-city, Osaka, Japan 540-0001

NRT10 Dojima Osaka
This site is closed

🤔 おまけ そのほかのAWSの特殊なリージョン

🇺🇸AWS GovCloud (US)

Amazon Web Services ブログ: 【AWS発表】 新しいAWS GovCloud (US) リージョンの発表。国際武器取引規制(ITAR)に準拠したクラウドの登場。

AWS GovCloud (US) リージョンは、国際武器取引規則(International Traffic in Arms - ITAR)で規制されるデータの保存や処理、規制されるアプリケーションのホスティングをサポートしています。ITARにおいては、全ての規制データは、米国市民(米国の国民、もしくは永住者)にのみ論理的/物理的にアクセスが許された環境に保存されねばならないことが明記されています。

 米武器取引規制法では米国民のみでデータセンターの運用をする必要があり、そのための認証を取得した特殊なリージョンです。こちらも限られた利用者のみに開放しています。
今回のリークからこのリージョンのロケーションがわかるかも!とちょっと期待したのですが、記載はありませんでした。

㊙️AWS Secret Region

Announcing the New AWS Secret Region | AWS Government, Education, & Nonprofits Blog
 もともと米CIA向けに Top Secret Region として構成したリージョンを、その他の機密情報を扱う政府機関向けに開放したリージョンです。こちらもペンタゴンにお勤めの方は使えるかもしれません。
今回のリークからこのリージョンのロケーションがわかるかも!とちょっと期待したのですが、記載はありませんでした。

🇨🇳AWS 中国リージョン

AWS in China
 中国ではクラウドサービスの提供は中華企業に限られており、AWSはサービス提供していません。そのため北京リージョンはSinnet、寧夏リージョンはNWCD(Ningxia Western Cloud Data Technology) が運用しており、契約もAWSとではなく、アカウントも(グローバル)AWSとは別物になります。提供されるサービスも制限があるようです。アカウントは中国企業ではなくとも、リクエストすれば作れるようです。
 リーク情報からは、寧夏のほうは1DCで、連絡先がAWSになってないな、くらいの情報しか取れませんでした。

📝感想

 Azure ではデータセンターの見学ツアーなどやっているのに対して、AWS ではロケーションを秘匿しています。データセンターに対する各社のポリシーの違いが見られますが、個人的にはデータセンターの場所はわざわざ公にする必要のない情報 であり、秘匿されていたほうがビジネスメリットが高いと思っています。AWS としては、今後も場所は秘密だよーというスタンスは変わらないでしょう。
 今回のリークは公式情報と付き合わせるとなかなか確度の高い情報のように感じました。データセンター同士が近い距離にあったり、1つのデータセンターで構成されるAZがあったりしたのが意外でした。というのも、S3 のサービスページには次のような記載があります、

Amazon S3 は、ミッションクリティカルで重要なデータストレージのために設計された、極めて堅牢なストレージインフラストラクチャです。オブジェクトは冗長化のため、同一の Amazon S3 リージョン内の複数施設に分散した複数のデバイスに保存されます。

 S3等のイレブンナインの耐久性要件のために、そもそも複数データセンターでAZが構成されるような書き方ですが、大阪や寧夏のリージョンを見る限りでは必ずしもそうではない、ということがわかりました。

 なお、マップで示された場所に実際に訪問しても玄関すら入れないと思いますので、妄想で侵入する程度に留めておきましょう。
AWS のデータセンターに侵入する(妄想で) - Qiita

参考

AWS グローバルインフラストラクチャ | AWS
リージョンとアベイラビリティーゾーン - Amazon Elastic Compute Cloud
Amazon CloudFront 日本で9番目のエッジロケーションがリリースされました。 | Amazon Web Services ブログ
製品の詳細 - Amazon CloudFront | AWS
[AWS White Belt Online Seminar] AWS のよくある都市伝説とその真実 資料及び QA 公開 | Amazon Web Services ブログ
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014
AWS re:Invent 2014: AWS Innovation at Scale with James Hamilton (SPOT301) - YouTube
AWSのデータセンターの中身を、設計総責任者が話した (1/2):「ここまで話していいの?」 - @IT
A look at Amazon's world-class data-center ecosystem - TechRepublic
Amazon S3 でのデータの保護 - Amazon Simple Storage Service