Vyatta AWS適用事例 複数VPCとVPNの相互接続

Transcript

1. Vyatta  AWS適⽤用事例例 複数VPCとVPNの相互接続 VYATTA  USERS  MEETING Spring  2014 classmethod.jp 1

   2014/04/04 クラスメソッド株式会社 ⼤大瀧隆太

2. classmethod.jp 2 ⾃自⼰己紹介 •  ⽒氏名  :  ⼤大瀧隆太  @takipone •  ポジション

    :      エンジニア  /  研修講師 •  得意分野  :      ネットワーク  /      デプロイツール •  好きなAWSサービス      Amazon  Route  53 classmethod.jp 2

3. classmethod.jp 3 Vyattaとわたし •  前職のITトレーニング(某仮想化基盤)の環境で 使ってました。 •  ⽤用途 -‐‑‒  NATルーター

   -‐‑‒  DHCPサーバー -‐‑‒  DNSキャッシュサーバー •  受講⽣生1⼈人ずつ独⽴立立したセグメントを切切っていた 理理由は以下 -‐‑‒  VM⽴立立て放題にしたい -‐‑‒  vCenter  IDカブりによるMACアドレス重複    を避けたい •  チューニングなしでギガビットの帯域をほぼ出し きってくれたことに驚きました。

4. classmethod.jp 4 アジェンダ •  要件 •  検討案の変遷 •  今後の予定 • 

   まとめ

5. classmethod.jp 5 要件 •  お客様(EC2サイト運営)のAWS環境は、 システムごとにネットワーク(VPC)と AWSアカウントが別れている。 Ø  費⽤用をシステムごとに計上したい Ø 

   本番・開発環境を分けたい •  これらをオンプレミスとVPNで接続した い。

6. classmethod.jp 6 構成イメージ ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC

   A EC2インスタンス VPC A EC2インスタンス VPC A EC2インスタンス VPC B EC2インスタンス VPNで接続して、オンプレミス から社内サーバー感覚で アクセスしたい！

7. classmethod.jp 7 検討案1  AWS標準機能(VPC  VPN) ΦϯϓϨϛε VPC A EC2インスタンス IPsec

    VPN VPC C EC2インスタンス VPC B EC2インスタンス

8. classmethod.jp 8 検討案1  AWS標準機能(VPC  VPN) •  VPC  VPNでは、接続するルーターのグ ローバルIP  1つを複数のVPN接続でシェ

   アできない(VPC  VPNの仕様)ため、断念念。

9. classmethod.jp 9 検討案1  AWS標準機能(VPC  VPN) ΦϯϓϨϛε VPC A EC2インスタンス IPsec

    VPN VPC C EC2インスタンス VPC B EC2インスタンス

10. classmethod.jp 10 検討案2  Vyatta同⼠士でVPC間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

11. classmethod.jp 11 検討案2  Vyatta同⼠士でVPC間接続 •  Vyatta同⼠士のVPNセッションは、無事確 ⽴立立できた！ •  しかし、VPCとVPN間ではpingが通らな い。。

    ↓ •  VPC  VPN(仮想プライベートゲートウェ イ)は、接続するVPCのトラフィックのみ 転送するようになっており、Vyatta経由 の他のVPCとVPN間のTransitiveな通信は 転送しない。

12. classmethod.jp 12 検討案2  Vyatta同⼠士でVPC間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

13. classmethod.jp 13 検討案3  Vyatta-‐‑‒VGW間を接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

14. classmethod.jp 14 検討案3  Vyatta-‐‑‒VGW間を接続 •  検証環境ではVyatta-‐‑‒VGW間のVPNセッ ションを無事確⽴立立できた！ •  しかし、本番環境に持ってくるとVyatta のVPNセッションが必ず切切れてしまう。

    （Vyattaのセッションがハードウェア VPNのセッションに負けるような動き） ↓ •  原因不不明だが、ハードウェアVPNと Vyatta  Core  6.5R1の組み合わせで発⽣生 したため断念念。

15. classmethod.jp 15 検討案3  Vyatta-‐‑‒VGW間を接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス 既存ハードウェアVPN接続 があると、接続確⽴立立後数分 で切切れてしまう

16. classmethod.jp 16 検討案4  Vyatta-‐‑‒お客様ルータ間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

17. classmethod.jp 17 検討案4  Vyatta-‐‑‒お客様ルータ間接続 •  ワークアラウンドを複数検討してきたた め、そろそろ体⼒力力の限界。残りの⼒力力を振 り絞って、やったことのないVyatta-‐‑‒ルー タ間のコンフィグをひねり出す。 • 

    残りの⼒力力を振り絞って、ルータを設定す るNIerさんと調整、 「VyattaみたいなOSSプロダクトとの  　相性は保証できませんよ？」 と念念を押されて胃が痛む。 →無事、接続確⽴立立！

18. classmethod.jp 18 今後の予定  Amazon  Direct  Connect構成 ΦϯϓϨϛε VPC A EC2インスタンス

    閉域網 VPC C EC2インスタンス VPC B EC2インスタンス Amazon Direct   Connect

19. classmethod.jp 19 •  閉域網経由のよりセキュアな接続 •  暗号化なしのより⾼高速で安定した品質 •  Direct  Connect⾃自体の課⾦金金は物理理接続 (AWS-‐‑‒DC間)が対象なので、VPCおよび

    論論理理接続が増えても課⾦金金は増えない！ →閉域網/DC業者の契約プランによって  　異異なることに注意 今後の予定  Amazon  Direct  Connect構成

20. classmethod.jp 20 今後の予定  Amazon  VPC  Peering構成 ΦϯϓϨϛε VPC A EC2インスタンス

    閉域網 VPC C EC2インスタンス VPC B EC2インスタンス Amazon Direct   Connect Peering Peering

21. classmethod.jp 21 •  同⼀一リージョンのVPC同⼠士をつなぐ Amazon  VPCの新機能。(3/24リリース) •  異異なるアカウント間でもOKなので、 本ケースにぴったり。 • 

    Transitiveなトラフィックはやっぱりルー ティングしてくれないので、Direct   Connectと併⽤用する。 今後の予定  Amazon  VPC  Peering構成

22. classmethod.jp 22 まとめ •  個⼈人的に堪えたのは、検討案3(Vyattaの 接続負け)でした。いろんなアーキテク チャをストックしておくことが今回の教 訓。 •  AWSのアップデート/新機能には驚かさ

    れるが、素直に歓迎できる新機能は即検 討するべき！