Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Ch...
Search
inomaso
July 28, 2023
Technology
0
4.3k
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Check point for redundant configuration with Direct Connect and Site-to-Site VPN
Talked at "DevelopersIO 2023 #devio2023"
inomaso
July 28, 2023
Tweet
Share
More Decks by inomaso
See All by inomaso
CyberduckでMFAを利用してS3へ接続するための導入手順まとめ、を深掘りする / A summary of the implementation steps to connect to S3 using MFA with Cyberduck, in depth.
inomasosan
0
530
EC2のバックアップ運用について思いを馳せる / Thinking about EC2 backup operation
inomasosan
0
1k
CloudWatchアラームによるサービス継続のための監視入門 / Introduction to Monitoring for Service Continuity with CloudWatch Alarms
inomasosan
1
1.9k
プライベートサブネットにあるEC2へのアクセス方法を整理してみた / Organized access to EC2 on a private subnet.
inomasosan
0
27k
Former2でコード生成してGUIポチポチ卒業の第一歩を / Generate code with Former2 and take the first step to graduate from GUI operation.
inomasosan
1
2.9k
Other Decks in Technology
See All in Technology
PR TIMESにおけるNext.jsとcacheの付き合い方
apple_yagi
3
360
Jetpack Composeで始めるServer Cache State
ogaclejapan
2
150
新機能VPCリソースエンドポイント機能検証から得られた考察
duelist2020jp
0
120
WernerVogelsのKeynoteで語られた6つの教訓とOps
hatahata021
2
280
AWS re:Invent 2024 ふりかえり
kongmingstrap
0
110
ジャンプTOONにおける サイトマップの自動生成手法
assa1605
0
110
Turing × atmaCup #18 - 1st Place Solution
hakubishin3
0
410
職能を超えたモブプログラミングが品質に与えた良い影響
tonionagauzzi
2
340
Kubeshark で Kubernetes の Traffic を眺めてみよう/Let's Look at k8s Traffic with Kubeshark
kota2and3kan
3
350
あの日俺達が夢見たサーバレスアーキテクチャ/the-serverless-architecture-we-dreamed-of
tomoki10
0
200
MLOps の現場から
asei
5
590
Amazon VPC Lattice 最新アップデート紹介 - PrivateLink も似たようなアップデートあったけど違いとは
bigmuramura
0
160
Featured
See All Featured
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
How STYLIGHT went responsive
nonsquared
95
5.2k
Side Projects
sachag
452
42k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
111
49k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
5
430
The Cost Of JavaScript in 2023
addyosmani
45
6.9k
Docker and Python
trallard
41
3.1k
Practical Orchestrator
shlominoach
186
10k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
28
2.1k
Building Applications with DynamoDB
mza
91
6.1k
The Cult of Friendly URLs
andyhume
78
6.1k
Transcript
Direct Connect と Site-to-Site VPN による冗長化構成の勘所 2023/7/21 AWS事業本部 inomaso 1
自己紹介 2 猪股 翔(inomaso) クラスメソッド株式会社 AWS事業本部 コンサルティング部 ソリューションアーキテクト • 2023
APN ALL AWS Certifications Engineer • ブログ ◦ https://dev.classmethod.jp/author/inomata-sho/ • 好きな AWS サービス ◦ AWS Certificate Manager ◦ AWS Transit Gateway
はじめに 3 ❏ 想定聴講者 ❏ オンプレとAWS間の接続にDirect Connectと Site-to-Site VPNを併用したいが、検討ポイントが わからず困っている
❏ 話すこと ❏ Direct ConnectとSite-to-Site VPNをTransit Gatewayに紐付けた構成の勘所
アジェンダ 4 1. Direct Connectで過去に発生した障害 2. 代表的な冗長化の接続例 • ターゲットゲートウェイ 3.
Direct Connect + Site-to-Site VPNのポイント • 接続方式の妥当性確認 • 経路制御 • ASNの決め方
Direct Connectで過去に発生した障害 5
Direct Connectで過去に発生した障害 6 2021 年 9 月 2 日に東京リージョンでトラブル発生 ❏
日本時間の午前 7 時 30 分からDirect Connect接続が失われた ❏ 約 6 時間の間、オンプレミスとAWS間の接続不可の状態 ❏ 数ヶ月前に導入した「頻度の低いネットワークコンバージェンスイベン トおよびファイバ切断に対するネットワークの反応時間を最適化する ために導入された新しいプロトコル」が原因
Direct Connectで過去に発生した障害 どうすれば影響を受けずに済んだのか?? 7
Direct Connectで過去に発生した障害 8 AWSの可用性の取り組み ❏ AWSは責任共有モデルに基づき、可用性を高める努力を常に実施 している https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 9 なぜ冗長化が必要か? https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 10 なぜ冗長化が必要か? https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf 冗長化のポイント
Direct Connectで過去に発生した障害 11 冗長化の選択肢 https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 12 冗長化の選択肢 https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf 本セッションの対象
代表的な冗長化の接続例 13
代表的な冗長化の接続例 14 ターゲットゲートウェイの選び方 ❏ Direct ConnectやSite-to-Site VPNでオンプレミスとAWSを接続する 場合、AWS側の接続先に以下のターゲットゲートウェイが必要になり ます。 ❏
Virtual Private Gateway(VGW) ❏ Transit Gateway(TGW)
代表的な冗長化の接続例 15 Virtual Private Gateway(VGW) ❏ 小規模なネットワーク構成 ❏ VPCが1~数個程度
代表的な冗長化の接続例 16 Virtual Private Gateway(VGW) ❏ メリット ❏ 関連リソースが少ないため設定が容易 ❏
VGW自体に料金は発生しない ❏ デメリット ❏ VPC毎にVPN接続の追加が必要 ❏ VPC間で相互接続が必要な場合、VPC Peeringの設定が1対1で 必要
代表的な冗長化の接続例 17 Transit Gateway(TGW) ❏ 中規模以上のネットワーク構成 ❏ オンプレミスと通信が必要なVPCや、相互接続が必要なVPC数が 多い(もしくは将来的に増える可能性がある)
代表的な冗長化の接続例 18 Transit Gateway(TGW) ❏ メリット ❏ オンプレミスから複数のVPCへ接続する場合でも、Transit Gateway経由であれば、1つのVPN接続で通信可能 ❏
複数のVPN接続を束ね、Equal Cost Multi Path(ECMP)を利用し 帯域を増やすことが可能
代表的な冗長化の接続例 19 Transit Gateway(TGW) ❏ メリット ❏ 複数のルーティングテーブルを、Transit Gatewayのルートテーブ ルで柔軟に設計可能
❏ VPCの相互接続はTransit Gateway経由で可能 ❏ VPCからインターネットへのアウトバウンド通信するためのNATゲートウェイを 一つのVPCに集約 ❏ Interface型のVPCエンドポイントをShared VPCに集約 ❏ Gateway Load Balancerと組み合わせて、セキュリティアプライアンスをクラウ ドに集約
代表的な冗長化の接続例 20 Transit Gateway(TGW)
代表的な冗長化の接続例 21 Transit Gateway(TGW) ❏ デメリット ❏ Transit Gatewayを利用する場合、Direct Connectの仮想インター
フェイス(VIF)はTransit VIFが必要 ❏ Transit Gatewayへ接続するDirect ConnectやSite-to-Site VPN、 VPCが増えるたびに毎月の固定費として約50USD(東京リージョン) の料金が発生
Direct Connect + Site-to-Site VPN のポイント 22
Direct Connect + Site-to-Site VPN のポイント 23 接続方式の妥当性確認 ❏ メイン回線をDirect
Connect、バックアップ回線をSite-to-Site VPN ❏ 予算の都合上、Direct Connect回線を複数用意できない ❏ 障害時等でフェールオーバした場合、パフォーマンスに影響が出る 可能性を許容可能 ❏ Site-to-Site VPNに動的経路制御(BGP)を利用可能 ❏ フェールオーバ時に自動でSite-to-Site VPNの経路へ切り替え可 能
Direct Connect + Site-to-Site VPN のポイント 24 経路制御 ❏ Transit
Gatewayのルート評価順 ❏ BGPパス属性 ❏ オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 25 経路制御 | Transit
Gatewayのルート評価順 1. 送信先アドレスの最も具体的なルート(ロンゲストマッチ) 2. 送信先 IP アドレスが同じでもターゲットが異なるルートの場合、ルー トの優先順位は次の通り 2-1. 静的ルート (例えば、Site-to-Site VPN 静的ルート) 2-2. プレフィックスリスト参照ルート 2-3. VPC が伝達したルート 2-4. Direct Connect Gatewayが伝達したルート 2-5. Transit Gateway Connect が伝達したルート 2-6. Site-to-Site VPN が伝達したルート
Direct Connect + Site-to-Site VPN のポイント 26 経路制御 | Transit
Gatewayのルート評価順 ❏ AWSからオンプレミスへ通信する際の経路選択 ❏ Transit Gatewayルートテーブルへ、Direct Connect Gatewayと Site-to-Site VPNが同じIPアドレスを伝達した場合、Direct Connect Gatewayから伝達した経路が優先される ❏ Direct Connectがダウンした場合、Site-to-Site VPNが伝達した ルートのみとなるため、自動的に経路が切り替わる
Direct Connect + Site-to-Site VPN のポイント 27 経路制御 | Transit
Gatewayのルート評価順 DXGWの経路が 優先される
Direct Connect + Site-to-Site VPN のポイント 28 経路制御 | Transit
Gatewayのルート評価順 Site-to-Site VPNの 経路に切り替わる
Direct Connect + Site-to-Site VPN のポイント 29 経路制御 | Transit
Gatewayのルート評価順
Direct Connect + Site-to-Site VPN のポイント 30 経路制御 | BGPパス属性
❏ BGPパス属性は同じ宛先をもつ複数のBGPルートからベストパスを 選択するためにルータによって評価される属性値 ❏ オンプレミスからAWSへ通信する際に、Direct Connectをメイン回線 にするようLP(Local Preference)やAS-Path Prepend等で設定する 必要あり
Direct Connect + Site-to-Site VPN のポイント 31 経路制御 | BGPパス属性
❏ BGPパス属性を用いた経路制御の例 LP=200、Prependなし Active Standby LP=100、Prependあり 平常時はDirect Connect をベストパスとして選択
Direct Connect + Site-to-Site VPN のポイント 32 経路制御 | BGPパス属性
Direct Connect + Site-to-Site VPN のポイント 33 経路制御 | オンプレミスへの経路伝達
❏ オンプレミスからAWSへ通信するために、AWS側のCIDRを伝達す る必要がある ❏ 今回の構成の場合、伝達方法は以下の通り ❏ Direct Connect Gatewayの「許可されたプレフィックス」でVPCの CIDRを指定 ❏ Site-to-Site VPNのTransit Gatewayアタッチメントに関連付けて いるTransit GatewayルートテーブルのCIDR
Direct Connect + Site-to-Site VPN のポイント 34 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ Direct Connect Gatewayの「許可されたプレフィックス」に設定可 能なCIDRの上限あり ❏ 2023/4のアップデートで、上限が20→200に増えている ❏ VPCのCIDRを集約できた方が、VPC追加等による変更箇所を少 なくできるため、要件定義フェーズで一度検討しておきたい
Direct Connect + Site-to-Site VPN のポイント 35 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ 一方で、Direct Connect Gatewayの「許可されたプレフィックス」で VPCのCIDRのみを集約した場合、Site-to-Site VPN側はVPC毎の CIDRを伝達することとなりロンゲストマッチが発生 ❏ ロンゲストマッチとなった場合、オンプレミス側は常にSite-to-Site VPN側の経路を優先してしまう
Direct Connect + Site-to-Site VPN のポイント 36 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ ロンゲストマッチを回避するために、Site-to-Site VPN側にダミー経 路を追加し、オンプレミスのルータで不要な経路をフィルタする必要 がある
Direct Connect + Site-to-Site VPN のポイント 37 経路制御 | オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 38 経路制御 | オンプレミスへの経路伝達
DXGWと同じCIDRを伝達する ためにダミー経路を追加
Direct Connect + Site-to-Site VPN のポイント 39 経路制御 | オンプレミスへの経路伝達
オンプレミスのルータで不要 な経路をフィルタ
Direct Connect + Site-to-Site VPN のポイント 40 経路制御 | オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 41 ASNの決め方 | AS(Autonomous
System) ❏ 自律システム(縄張り/管理が行き届く範囲) ❏ 複数のルータが集まって構成される ❏ ISP、企業、研究機関、拠点毎に存在するイメージ ❏ IGP(AS内のルーティングプロトコル)とEGP(AS間のルーティングプ ロトコル)を分ける概念
Direct Connect + Site-to-Site VPN のポイント 42 ASNの決め方 | ASN(AS番号)
❏ ASを識別する番号 ❏ BGPはAS間で経路情報を交換するEGPの一種 ❏ BGPによる接続が行われたBGPルータは経路情報を交換する ❏ 経路情報を伝え合うことで何番のASにどのようなネットワークが存 在するのかがわかる ❏ 受信した経路情報のAS_PATHに自分のASN(AS番号)が含まれ ている場合、その経路情報を破棄する
Direct Connect + Site-to-Site VPN のポイント 43 ASNの決め方 | 設計ポイント
❏ AWS側とオンプレミス側で分ける ❏ Transit GatewayとDirectConnect Gatewayで分ける ❏ 別のTransit Gatewayと接続する場合も分ける ❏ オンプレミスの拠点毎に分ける
Direct Connect + Site-to-Site VPN のポイント 44 ASNの決め方 | ASNの例
Direct Connect + Site-to-Site VPN のポイント 45 ASNの決め方
本セッションのまとめ 46
本セッションのまとめ 47 ❏ 冗長化の必要性や選択肢 ❏ ターゲットゲートウェイ毎の特性 ❏ Direct ConnectとSite-to-Site VPNを併用した
ルーティング周りの設計ポイント
48
inomasosan
apple_yagi
ogaclejapan
duelist2020jp
hatahata021
kongmingstrap
assa1605
hakubishin3
tonionagauzzi
kota2and3kan
tomoki10
asei
bigmuramura
jeffersonlam
nonsquared
sachag
aki_iinuma
danielanewman
irinanazarova
addyosmani
trallard
shlominoach
marktimemedia
mza
andyhume
