AWS×VPN

253ab1300a7e9526141c2f15d3cb4ae7?s=47 Shinya Omori
September 13, 2020
Technology
0
110

 AWS×VPN

JAWS SONIC 2020

253ab1300a7e9526141c2f15d3cb4ae7?s=128

Shinya Omori

September 13, 2020
Tweet

More Decks by Shinya Omori

See All by Shinya Omori
253ab1300a7e9526141c2f15d3cb4ae7?s=48 shinpy
0
11
253ab1300a7e9526141c2f15d3cb4ae7?s=48 shinpy
0
20
253ab1300a7e9526141c2f15d3cb4ae7?s=48 shinpy
1
1.3k
253ab1300a7e9526141c2f15d3cb4ae7?s=48 shinpy
1
260

Other Decks in Technology

See All in Technology
8a9e3e40a5fed444715dc95ee1ca45aa?s=48 tosiooooooo
1
520
921515dc03f89bafe3d8f5d0b3ca0b74?s=48 mmarukaw
0
460
706ff501573a736401aa4de5adc88e05?s=48 nihonbuson
5
1.8k
Dafc4723e9a1c067796c0fec6f509774?s=48 lemiorhan
1
260
25325b405f9ca72c4c8024727c41cb98?s=48 hisayuki
1
270
Cd931bc05e7cee46b9a950a63e47ba4c?s=48 you
0
120
C744faee2ae82c1c4378e84d56daf5a8?s=48 yamamo
1
1.3k
2102a6b8760bd6f57f672805723dd83a?s=48 line_developers_tw
0
980
0ced4f52ccc9e9b2644b4dd7f475e545?s=48 kkojima
1
170
Ea29e2b19d11b48f867ae71d6a6de5df?s=48 opelab
18
6.6k
E2640ce3612d9e7848dc957b519d8ca0?s=48 polar3130
2
230
74948d1118cd84528f7861a3069dd8d9?s=48 qryuu
8
2.3k

Featured

See All Featured
9128d500301ae51524e887bb680f471d?s=48 caitiem20
304
16k
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
308
21k
7559f6cff1f5efc2d210965febd4d71c?s=48 bermonpainter
340
26k
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
11
230
25c7c18223fb42a4c6ae1c8db6f50f9b?s=48 mojombo
356
62k
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
165
6.8k
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
65
2.9k
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
144
19k
651dcfe41723207fbb0aa044a4f7c07f?s=48 dotmariusz
94
5k
7cbd3f5f922d798cc312eaf596de7ae6?s=48 iamctodd
10
1.4k
7edec06b5435e0dac07a353b2cc26253?s=48 geeforr
330
29k
A60068bce2e73de3a37ca9d2dbe36092?s=48 bryan
28
3.1k

Transcript

  1. “ AWS× VPN" JAWS-UG会津

  2. 2 ⼤森 信哉 @shinpy 株式会社アトミテック クラウド事業 を担当 福島県会津若松市 在住(フル・リモート) ※超運動不⾜中

    インフラエンジニア兼エバンジェリスト 好きなサービス:S3

  3. 3 @Cloudii_jp https://cloudii.jp/ ※近⽇リニューアル予定!! ハッシュタグ #Cloudii Cloudii Blog AWS案件も取り扱ってます!!

  4. 4 会津⽀部 JAWS-UG 会津 第1回 勉強会 • 2013年8⽉10⽇開催 https://peatix.com/event/15727?lang=ja 発⾜からなんだかんだで7年!!

  5. 5 会津⽀部 (吉田 真吾さんより)

  6. 6 “ AWS × VPN " • コロナ情勢もあり、リモートワークが増えた • ⾃宅からクラウド環境へセキュアに接続したい

    • 安価で⼿軽にクライアント・リモートVPN環境を構築したい ※UTMまではいらない、、、 • OpenVPNを採⽤ ※ (https://openvpn.net/ ) GPLライセンスで公開されているオープンソースのVPNソフトウェア

  7. 7 • スタートアップ企業からVPN環境構築依頼(初OpenVPN) • ⽇本とヨーローッパ諸国のエンジニアが利⽤する環境にVPNしたい • ⼈数は少ないので、EC2(Amazon Linux)にOpenVPNを設定しコストを抑える • フランクフルト・リージョンに1⽇で環境構築

    最初の案件 public subnet AWS Cloud VPC EC2 OpenVPNサーバー Internet Internet gateway private subnet SV等 【お客様】 K2 Vision 合同会社 様 モバイルサービス開発とビッグデータ 分析の基盤構築やコンサルの仕事をメ インに活動 https://k2-vision.jp/about.html

  8. 8 「公式サイトから抜粋」 AWS Client VPN は、オンプレミスネットワーク内の AWS リソースに安全にアクセス できるようにする、クライアントベースのマネージド VPN

    サービスです。クライア ント VPN を使⽤すると、OpenVPN ベースの VPN クライアントを使⽤して、どこか らでもリソースにアクセスできます。 https://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/what-is.html • ある程度の接続数がある。 • VPNサーバーをマネージドにしたい。 • 証明書もAWS内で管理したい。 • 少しでもGUIが欲しい。 AWS Client VPN AWS Client VPN

  9. 9 AWS Client VPNを⾒てみよう(´・Д・)」

  10. 10 subnet AWS Cloud VPC WEB01 WEB02 Internet Internet gateway

    Client VPN Endpoint AWS Certificate Manager サーバー証明書 クライアント証明書 10.11.0.0/16 10.11.0.0/24 172.18.0.0/16 10.11.0.100/24 10.11.0.110/24 subnet 10.11.1.0/24 WEB03 10.11.1.10/24 NAT Gateway Internet 今回準備した仮構成 • 2つのサブネットに接続許可 • WEB01への接続NG • WEB03のようにプライベート サブネット環境にも接続許可 • スプリットトンネル:有効 VPNユーザー

  11. 11 ⽐較ポイント OpenVPN サーバー AWS Client VPN vs 1.構築難易度 ※個⼈的主観

    • どちらかといえばAWS Client VPNのほうが敷居が低い • 初めての⽅はGUIあると優しいかも? ※画⾯が更新されると(ry その時はCLI対応しておく • 公式マニュアルが分かりやすい • AWS強者の⽅々がブログ等でUPされているので参考になる 2.構築速度 • ベースとなるサーバー構築が不要で、⼿軽に構築できる ※慣れですが、、、 OpenVPN サーバー AWS Client VPN vs

  12. 12 ⽐較ポイント OpenVPN サーバー AWS Client VPN vs 3.コスト ※個⼈的主観

    • AWS Client VPNはマネージドなだけあって、OpenVPNサーバー 単体よりは割⾼になる。 • マネージド・サービスにすることにより運⽤コストは下がる • パターンによりコストが変わってくる ※VPNクライアント接続数、接続先サブネット数、運⽤⼿間等 OpenVPN サーバー AWS Client VPN vs 4.詳細な要件対応 • AWS Client VPNでは提供していない利⽤⽅法が出てきた時の適 応性はOpenVPNサーバー単体のほうが勝っている。 • どんなパターン例があるかは⼀例を次のスライドで紹介

  13. 13 「接続ユーザ毎に接続サーバへのより詳細な接続制限をする」 ※接続ユーザー毎にログイン画⾯を変更したいという要望 • ユーザーAはWEBサーバーの「TCP/81」へのみ接続OK • ユーザーBはWEBサーバーの「TCP/82」へのみ接続OK 「設定⽅法」 • ユーザー毎にVPN接続時に配布するIPを予め予約

    • OpenVPNサーバーのiptablesで接続制限設定 ユーザーA ユーザーB WEBサーバー ( 10.11.1.10 ) OpenVPN サーバー OpenVPNでの詳細要件パターン例 ・ユーザーA専⽤画⾯を閲覧 ・VPN IP=172.18.0.10を配布 172.18.0.10のVPNクライアントは 「http://10.11.1.10:81」のみ接続可 ・ユーザーA専⽤画⾯を閲覧 ・VPN IP=172.18.0.10を配布 172.18.0.10のVPNクライアントは 「http://10.11.1.10:82」のみ接続可

  14. 14 まとめ • 要件やコストを考慮しながら「AWS Client VPN」or「OpenVPNサーバー」を決定 • 運⽤コスト削減したい!マネージド!=「AWS Client VPN」

    • より詳細な設定をしたい!他クラウドでも設定継承して利⽤したい!=「OpenVPNサーバー」 • ネット上に⽂献も沢⼭あるので検討の⼀つとして、「OpenVPN」を (´・Д・)」

  15. ご清聴ありがとうございました(´・Д・)」 JAWS-UG会津