Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Ch...
Search
inomaso
July 28, 2023
Technology
0
4.1k
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Check point for redundant configuration with Direct Connect and Site-to-Site VPN
Talked at "DevelopersIO 2023 #devio2023"
inomaso
July 28, 2023
Tweet
Share
More Decks by inomaso
See All by inomaso
CyberduckでMFAを利用してS3へ接続するための導入手順まとめ、を深掘りする / A summary of the implementation steps to connect to S3 using MFA with Cyberduck, in depth.
inomasosan
0
480
EC2のバックアップ運用について思いを馳せる / Thinking about EC2 backup operation
inomasosan
0
960
CloudWatchアラームによるサービス継続のための監視入門 / Introduction to Monitoring for Service Continuity with CloudWatch Alarms
inomasosan
1
1.9k
プライベートサブネットにあるEC2へのアクセス方法を整理してみた / Organized access to EC2 on a private subnet.
inomasosan
0
27k
Former2でコード生成してGUIポチポチ卒業の第一歩を / Generate code with Former2 and take the first step to graduate from GUI operation.
inomasosan
1
2.9k
Other Decks in Technology
See All in Technology
マイベストのデータ基盤の現在と未来 / mybest-data-infra-asis-tobe
mybestinc
2
2k
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
120
元旅行会社の情シス部員が教えるおすすめなre:Inventへの行き方 / What is the most efficient way to re:Invent
naospon
2
300
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
190
形式手法の 10 メートル手前 #kernelvm / Kernel VM Study Hokuriku Part 7
ytaka23
5
820
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
630
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
1
850
エンジニアが一生困らない ドキュメント作成の基本
naohiro_nakata
2
160
第23回Ques_タイミーにおけるQAチームの在り方 / QA Team in Timee
takeyaqa
0
260
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
130
ドメイン名の終活について - JPAAWG 7th -
mikit
32
19k
エンジニア候補者向け資料2024.11.07.pdf
macloud
0
4.6k
Featured
See All Featured
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.8k
Building Adaptive Systems
keathley
38
2.3k
Raft: Consensus for Rubyists
vanstee
136
6.6k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Transcript
Direct Connect と Site-to-Site VPN による冗長化構成の勘所 2023/7/21 AWS事業本部 inomaso 1
自己紹介 2 猪股 翔(inomaso) クラスメソッド株式会社 AWS事業本部 コンサルティング部 ソリューションアーキテクト • 2023
APN ALL AWS Certifications Engineer • ブログ ◦ https://dev.classmethod.jp/author/inomata-sho/ • 好きな AWS サービス ◦ AWS Certificate Manager ◦ AWS Transit Gateway
はじめに 3 ❏ 想定聴講者 ❏ オンプレとAWS間の接続にDirect Connectと Site-to-Site VPNを併用したいが、検討ポイントが わからず困っている
❏ 話すこと ❏ Direct ConnectとSite-to-Site VPNをTransit Gatewayに紐付けた構成の勘所
アジェンダ 4 1. Direct Connectで過去に発生した障害 2. 代表的な冗長化の接続例 • ターゲットゲートウェイ 3.
Direct Connect + Site-to-Site VPNのポイント • 接続方式の妥当性確認 • 経路制御 • ASNの決め方
Direct Connectで過去に発生した障害 5
Direct Connectで過去に発生した障害 6 2021 年 9 月 2 日に東京リージョンでトラブル発生 ❏
日本時間の午前 7 時 30 分からDirect Connect接続が失われた ❏ 約 6 時間の間、オンプレミスとAWS間の接続不可の状態 ❏ 数ヶ月前に導入した「頻度の低いネットワークコンバージェンスイベン トおよびファイバ切断に対するネットワークの反応時間を最適化する ために導入された新しいプロトコル」が原因
Direct Connectで過去に発生した障害 どうすれば影響を受けずに済んだのか?? 7
Direct Connectで過去に発生した障害 8 AWSの可用性の取り組み ❏ AWSは責任共有モデルに基づき、可用性を高める努力を常に実施 している https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 9 なぜ冗長化が必要か? https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 10 なぜ冗長化が必要か? https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf 冗長化のポイント
Direct Connectで過去に発生した障害 11 冗長化の選択肢 https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 12 冗長化の選択肢 https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf 本セッションの対象
代表的な冗長化の接続例 13
代表的な冗長化の接続例 14 ターゲットゲートウェイの選び方 ❏ Direct ConnectやSite-to-Site VPNでオンプレミスとAWSを接続する 場合、AWS側の接続先に以下のターゲットゲートウェイが必要になり ます。 ❏
Virtual Private Gateway(VGW) ❏ Transit Gateway(TGW)
代表的な冗長化の接続例 15 Virtual Private Gateway(VGW) ❏ 小規模なネットワーク構成 ❏ VPCが1~数個程度
代表的な冗長化の接続例 16 Virtual Private Gateway(VGW) ❏ メリット ❏ 関連リソースが少ないため設定が容易 ❏
VGW自体に料金は発生しない ❏ デメリット ❏ VPC毎にVPN接続の追加が必要 ❏ VPC間で相互接続が必要な場合、VPC Peeringの設定が1対1で 必要
代表的な冗長化の接続例 17 Transit Gateway(TGW) ❏ 中規模以上のネットワーク構成 ❏ オンプレミスと通信が必要なVPCや、相互接続が必要なVPC数が 多い(もしくは将来的に増える可能性がある)
代表的な冗長化の接続例 18 Transit Gateway(TGW) ❏ メリット ❏ オンプレミスから複数のVPCへ接続する場合でも、Transit Gateway経由であれば、1つのVPN接続で通信可能 ❏
複数のVPN接続を束ね、Equal Cost Multi Path(ECMP)を利用し 帯域を増やすことが可能
代表的な冗長化の接続例 19 Transit Gateway(TGW) ❏ メリット ❏ 複数のルーティングテーブルを、Transit Gatewayのルートテーブ ルで柔軟に設計可能
❏ VPCの相互接続はTransit Gateway経由で可能 ❏ VPCからインターネットへのアウトバウンド通信するためのNATゲートウェイを 一つのVPCに集約 ❏ Interface型のVPCエンドポイントをShared VPCに集約 ❏ Gateway Load Balancerと組み合わせて、セキュリティアプライアンスをクラウ ドに集約
代表的な冗長化の接続例 20 Transit Gateway(TGW)
代表的な冗長化の接続例 21 Transit Gateway(TGW) ❏ デメリット ❏ Transit Gatewayを利用する場合、Direct Connectの仮想インター
フェイス(VIF)はTransit VIFが必要 ❏ Transit Gatewayへ接続するDirect ConnectやSite-to-Site VPN、 VPCが増えるたびに毎月の固定費として約50USD(東京リージョン) の料金が発生
Direct Connect + Site-to-Site VPN のポイント 22
Direct Connect + Site-to-Site VPN のポイント 23 接続方式の妥当性確認 ❏ メイン回線をDirect
Connect、バックアップ回線をSite-to-Site VPN ❏ 予算の都合上、Direct Connect回線を複数用意できない ❏ 障害時等でフェールオーバした場合、パフォーマンスに影響が出る 可能性を許容可能 ❏ Site-to-Site VPNに動的経路制御(BGP)を利用可能 ❏ フェールオーバ時に自動でSite-to-Site VPNの経路へ切り替え可 能
Direct Connect + Site-to-Site VPN のポイント 24 経路制御 ❏ Transit
Gatewayのルート評価順 ❏ BGPパス属性 ❏ オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 25 経路制御 | Transit
Gatewayのルート評価順 1. 送信先アドレスの最も具体的なルート(ロンゲストマッチ) 2. 送信先 IP アドレスが同じでもターゲットが異なるルートの場合、ルー トの優先順位は次の通り 2-1. 静的ルート (例えば、Site-to-Site VPN 静的ルート) 2-2. プレフィックスリスト参照ルート 2-3. VPC が伝達したルート 2-4. Direct Connect Gatewayが伝達したルート 2-5. Transit Gateway Connect が伝達したルート 2-6. Site-to-Site VPN が伝達したルート
Direct Connect + Site-to-Site VPN のポイント 26 経路制御 | Transit
Gatewayのルート評価順 ❏ AWSからオンプレミスへ通信する際の経路選択 ❏ Transit Gatewayルートテーブルへ、Direct Connect Gatewayと Site-to-Site VPNが同じIPアドレスを伝達した場合、Direct Connect Gatewayから伝達した経路が優先される ❏ Direct Connectがダウンした場合、Site-to-Site VPNが伝達した ルートのみとなるため、自動的に経路が切り替わる
Direct Connect + Site-to-Site VPN のポイント 27 経路制御 | Transit
Gatewayのルート評価順 DXGWの経路が 優先される
Direct Connect + Site-to-Site VPN のポイント 28 経路制御 | Transit
Gatewayのルート評価順 Site-to-Site VPNの 経路に切り替わる
Direct Connect + Site-to-Site VPN のポイント 29 経路制御 | Transit
Gatewayのルート評価順
Direct Connect + Site-to-Site VPN のポイント 30 経路制御 | BGPパス属性
❏ BGPパス属性は同じ宛先をもつ複数のBGPルートからベストパスを 選択するためにルータによって評価される属性値 ❏ オンプレミスからAWSへ通信する際に、Direct Connectをメイン回線 にするようLP(Local Preference)やAS-Path Prepend等で設定する 必要あり
Direct Connect + Site-to-Site VPN のポイント 31 経路制御 | BGPパス属性
❏ BGPパス属性を用いた経路制御の例 LP=200、Prependなし Active Standby LP=100、Prependあり 平常時はDirect Connect をベストパスとして選択
Direct Connect + Site-to-Site VPN のポイント 32 経路制御 | BGPパス属性
Direct Connect + Site-to-Site VPN のポイント 33 経路制御 | オンプレミスへの経路伝達
❏ オンプレミスからAWSへ通信するために、AWS側のCIDRを伝達す る必要がある ❏ 今回の構成の場合、伝達方法は以下の通り ❏ Direct Connect Gatewayの「許可されたプレフィックス」でVPCの CIDRを指定 ❏ Site-to-Site VPNのTransit Gatewayアタッチメントに関連付けて いるTransit GatewayルートテーブルのCIDR
Direct Connect + Site-to-Site VPN のポイント 34 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ Direct Connect Gatewayの「許可されたプレフィックス」に設定可 能なCIDRの上限あり ❏ 2023/4のアップデートで、上限が20→200に増えている ❏ VPCのCIDRを集約できた方が、VPC追加等による変更箇所を少 なくできるため、要件定義フェーズで一度検討しておきたい
Direct Connect + Site-to-Site VPN のポイント 35 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ 一方で、Direct Connect Gatewayの「許可されたプレフィックス」で VPCのCIDRのみを集約した場合、Site-to-Site VPN側はVPC毎の CIDRを伝達することとなりロンゲストマッチが発生 ❏ ロンゲストマッチとなった場合、オンプレミス側は常にSite-to-Site VPN側の経路を優先してしまう
Direct Connect + Site-to-Site VPN のポイント 36 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ ロンゲストマッチを回避するために、Site-to-Site VPN側にダミー経 路を追加し、オンプレミスのルータで不要な経路をフィルタする必要 がある
Direct Connect + Site-to-Site VPN のポイント 37 経路制御 | オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 38 経路制御 | オンプレミスへの経路伝達
DXGWと同じCIDRを伝達する ためにダミー経路を追加
Direct Connect + Site-to-Site VPN のポイント 39 経路制御 | オンプレミスへの経路伝達
オンプレミスのルータで不要 な経路をフィルタ
Direct Connect + Site-to-Site VPN のポイント 40 経路制御 | オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 41 ASNの決め方 | AS(Autonomous
System) ❏ 自律システム(縄張り/管理が行き届く範囲) ❏ 複数のルータが集まって構成される ❏ ISP、企業、研究機関、拠点毎に存在するイメージ ❏ IGP(AS内のルーティングプロトコル)とEGP(AS間のルーティングプ ロトコル)を分ける概念
Direct Connect + Site-to-Site VPN のポイント 42 ASNの決め方 | ASN(AS番号)
❏ ASを識別する番号 ❏ BGPはAS間で経路情報を交換するEGPの一種 ❏ BGPによる接続が行われたBGPルータは経路情報を交換する ❏ 経路情報を伝え合うことで何番のASにどのようなネットワークが存 在するのかがわかる ❏ 受信した経路情報のAS_PATHに自分のASN(AS番号)が含まれ ている場合、その経路情報を破棄する
Direct Connect + Site-to-Site VPN のポイント 43 ASNの決め方 | 設計ポイント
❏ AWS側とオンプレミス側で分ける ❏ Transit GatewayとDirectConnect Gatewayで分ける ❏ 別のTransit Gatewayと接続する場合も分ける ❏ オンプレミスの拠点毎に分ける
Direct Connect + Site-to-Site VPN のポイント 44 ASNの決め方 | ASNの例
Direct Connect + Site-to-Site VPN のポイント 45 ASNの決め方
本セッションのまとめ 46
本セッションのまとめ 47 ❏ 冗長化の必要性や選択肢 ❏ ターゲットゲートウェイ毎の特性 ❏ Direct ConnectとSite-to-Site VPNを併用した
ルーティング周りの設計ポイント
48
inomasosan
mybestinc
kazushi_ohata
naospon
hiyanger
ytaka23
minorun365
hogelog
naohiro_nakata
takeyaqa
kakehashi
mikit
macloud
dougneiner
eileencodes
keathley
vanstee
thoeni
sstephenson
morganepeng
keithpitt
chrisshort
garrettdimon
aarron
afnizarnur
