Vyatta  AWS適⽤用事例例 複数VPCとVPNの相互接続 VYATTA  USERS  MEETING Spring  2014 classmethod.jp 1 2014/04/04 クラスメソッド株式会社 ⼤大瀧隆太

classmethod.jp 2 ⾃自⼰己紹介 •  ⽒氏名  :  ⼤大瀧隆太  @takipone •  ポジション  :      エンジニア  /  研修講師 •  得意分野  :      ネットワーク  /      デプロイツール •  好きなAWSサービス      Amazon  Route  53 classmethod.jp 2

classmethod.jp 3 Vyattaとわたし •  前職のITトレーニング(某仮想化基盤)の環境で 使ってました。 •  ⽤用途 -‐‑‒  NATルーター -‐‑‒  DHCPサーバー -‐‑‒  DNSキャッシュサーバー •  受講⽣生1⼈人ずつ独⽴立立したセグメントを切切っていた 理理由は以下 -‐‑‒  VM⽴立立て放題にしたい -‐‑‒  vCenter  IDカブりによるMACアドレス重複    を避けたい •  チューニングなしでギガビットの帯域をほぼ出し きってくれたことに驚きました。

classmethod.jp 4 アジェンダ •  要件 •  検討案の変遷 •  今後の予定 •  まとめ

classmethod.jp 5 要件 •  お客様(EC2サイト運営)のAWS環境は、 システムごとにネットワーク(VPC)と AWSアカウントが別れている。 Ø  費⽤用をシステムごとに計上したい Ø  本番・開発環境を分けたい •  これらをオンプレミスとVPNで接続した い。

classmethod.jp 6 構成イメージ ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC A EC2インスタンス VPC A EC2インスタンス VPC A EC2インスタンス VPC B EC2インスタンス VPNで接続して、オンプレミス から社内サーバー感覚で アクセスしたい！

classmethod.jp 7 検討案1  AWS標準機能(VPC  VPN) ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC C EC2インスタンス VPC B EC2インスタンス

classmethod.jp 8 検討案1  AWS標準機能(VPC  VPN) •  VPC  VPNでは、接続するルーターのグ ローバルIP  1つを複数のVPN接続でシェ アできない(VPC  VPNの仕様)ため、断念念。

classmethod.jp 9 検討案1  AWS標準機能(VPC  VPN) ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC C EC2インスタンス VPC B EC2インスタンス

classmethod.jp 10 検討案2  Vyatta同⼠士でVPC間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC C EC2インスタンス VPC B EC2インスタンス

classmethod.jp 11 検討案2  Vyatta同⼠士でVPC間接続 •  Vyatta同⼠士のVPNセッションは、無事確 ⽴立立できた！ •  しかし、VPCとVPN間ではpingが通らな い。。 ↓ •  VPC  VPN(仮想プライベートゲートウェ イ)は、接続するVPCのトラフィックのみ 転送するようになっており、Vyatta経由 の他のVPCとVPN間のTransitiveな通信は 転送しない。

classmethod.jp 12 検討案2  Vyatta同⼠士でVPC間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC C EC2インスタンス VPC B EC2インスタンス

classmethod.jp 13 検討案3  Vyatta-‐‑‒VGW間を接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC C EC2インスタンス VPC B EC2インスタンス

classmethod.jp 14 検討案3  Vyatta-‐‑‒VGW間を接続 •  検証環境ではVyatta-‐‑‒VGW間のVPNセッ ションを無事確⽴立立できた！ •  しかし、本番環境に持ってくるとVyatta のVPNセッションが必ず切切れてしまう。 （Vyattaのセッションがハードウェア VPNのセッションに負けるような動き） ↓ •  原因不不明だが、ハードウェアVPNと Vyatta  Core  6.5R1の組み合わせで発⽣生 したため断念念。

classmethod.jp 15 検討案3  Vyatta-‐‑‒VGW間を接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC C EC2インスタンス VPC B EC2インスタンス 既存ハードウェアVPN接続 があると、接続確⽴立立後数分 で切切れてしまう

classmethod.jp 16 検討案4  Vyatta-‐‑‒お客様ルータ間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC C EC2インスタンス VPC B EC2インスタンス

classmethod.jp 17 検討案4  Vyatta-‐‑‒お客様ルータ間接続 •  ワークアラウンドを複数検討してきたた め、そろそろ体⼒力力の限界。残りの⼒力力を振 り絞って、やったことのないVyatta-‐‑‒ルー タ間のコンフィグをひねり出す。 •  残りの⼒力力を振り絞って、ルータを設定す るNIerさんと調整、 「VyattaみたいなOSSプロダクトとの  　相性は保証できませんよ？」 と念念を押されて胃が痛む。 →無事、接続確⽴立立！

classmethod.jp 18 今後の予定  Amazon  Direct  Connect構成 ΦϯϓϨϛε VPC A EC2インスタンス 閉域網 VPC C EC2インスタンス VPC B EC2インスタンス Amazon Direct   Connect

classmethod.jp 19 •  閉域網経由のよりセキュアな接続 •  暗号化なしのより⾼高速で安定した品質 •  Direct  Connect⾃自体の課⾦金金は物理理接続 (AWS-‐‑‒DC間)が対象なので、VPCおよび 論論理理接続が増えても課⾦金金は増えない！ →閉域網/DC業者の契約プランによって  　異異なることに注意 今後の予定  Amazon  Direct  Connect構成

classmethod.jp 20 今後の予定  Amazon  VPC  Peering構成 ΦϯϓϨϛε VPC A EC2インスタンス 閉域網 VPC C EC2インスタンス VPC B EC2インスタンス Amazon Direct   Connect Peering Peering

classmethod.jp 21 •  同⼀一リージョンのVPC同⼠士をつなぐ Amazon  VPCの新機能。(3/24リリース) •  異異なるアカウント間でもOKなので、 本ケースにぴったり。 •  Transitiveなトラフィックはやっぱりルー ティングしてくれないので、Direct   Connectと併⽤用する。 今後の予定  Amazon  VPC  Peering構成

classmethod.jp 22 まとめ •  個⼈人的に堪えたのは、検討案3(Vyattaの 接続負け)でした。いろんなアーキテク チャをストックしておくことが今回の教 訓。 •  AWSのアップデート/新機能には驚かさ れるが、素直に歓迎できる新機能は即検 討するべき！