Vyatta AWS適用事例 複数VPCとVPNの相互接続

Ecd0c945f6911dbf75358a8addee15f7?s=47 takipone
April 02, 2014
Technology
4
2.9k

Vyatta AWS適用事例 複数VPCとVPNの相互接続

VYATTA USERS MEETING Spring 2014
クラスメソッド 大瀧隆太

Ecd0c945f6911dbf75358a8addee15f7?s=128

takipone

April 02, 2014
Tweet

More Decks by takipone

See All by takipone
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
0
1.3k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
7
2k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
0
1.6k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
1
14k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
0
490
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
3
2.7k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
1
1.7k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
1
1.1k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
0
950

Other Decks in Technology

See All in Technology
5d715b858124e0dd59af1a92e4397acd?s=48 y_temp4
0
110
79dcb04101764d7bf66f898dd446838e?s=48 tsukubachallenge
0
260
951ca4f70b5884e18cf3f7e88c441d6a?s=48 issdu
1
360
Af61fe2beec7f195d7418e0a474a4dfc?s=48 kfujieda
3
1.2k
783718ebd2faaa896d4cb347835c07fb?s=48 tarotaro0
0
240
Ba617809127d7a39e59aeb3124974165?s=48 hi1280
5
1.1k
46fdd2ebc85d68659b83d5eb5c6a49aa?s=48 keisukeyamashita
3
360
A64ac825509279a770c13c6fc517f11a?s=48 kawaguti
0
130
703c34db2db0e609fddec6a5585ceccc?s=48 kenta_sato3
1
210
3dc29e8cfc6ef333e2b41a1b0e826b57?s=48 cortinico
5
260
C9237e9aa6c8fe028a484c9621991423?s=48 arahabica
0
210
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
0
970

Featured

See All Featured
56c4053438af8e8b90d6f53cbb7573be?s=48 jakevdp
766
190k
64827b31aef81498662e8af4bd6d5157?s=48 jonrohan
1020
350k
9375a9529679f1b42b567a640d775e7d?s=48 schacon
144
6.4k
651dcfe41723207fbb0aa044a4f7c07f?s=48 dotmariusz
93
5k
C86443373fbfe92996aa882d0d7a59f8?s=48 imathis
477
150k
25c7c18223fb42a4c6ae1c8db6f50f9b?s=48 mojombo
353
62k
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
775
240k
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
266
16k
5ce91fa49a613cbc3e20d5f96856473f?s=48 edds
55
9.2k
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
84
8.3k
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
91
2.8k
282d599b414022eba5096510f675b6e2?s=48 chrislema
169
14k

Transcript

  1. Vyatta  AWS適⽤用事例例 複数VPCとVPNの相互接続 VYATTA  USERS  MEETING Spring  2014 classmethod.jp 1

    2014/04/04 クラスメソッド株式会社 ⼤大瀧隆太

  2. classmethod.jp 2 ⾃自⼰己紹介 •  ⽒氏名  :  ⼤大瀧隆太  @takipone •  ポジション

     :      エンジニア  /  研修講師 •  得意分野  :      ネットワーク  /      デプロイツール •  好きなAWSサービス      Amazon  Route  53 classmethod.jp 2

  3. classmethod.jp 3 Vyattaとわたし •  前職のITトレーニング(某仮想化基盤)の環境で 使ってました。 •  ⽤用途 -‐‑‒  NATルーター

    -‐‑‒  DHCPサーバー -‐‑‒  DNSキャッシュサーバー •  受講⽣生1⼈人ずつ独⽴立立したセグメントを切切っていた 理理由は以下 -‐‑‒  VM⽴立立て放題にしたい -‐‑‒  vCenter  IDカブりによるMACアドレス重複    を避けたい •  チューニングなしでギガビットの帯域をほぼ出し きってくれたことに驚きました。

  4. classmethod.jp 4 アジェンダ •  要件 •  検討案の変遷 •  今後の予定 • 

    まとめ

  5. classmethod.jp 5 要件 •  お客様(EC2サイト運営)のAWS環境は、 システムごとにネットワーク(VPC)と AWSアカウントが別れている。 Ø  費⽤用をシステムごとに計上したい Ø 

    本番・開発環境を分けたい •  これらをオンプレミスとVPNで接続した い。

  6. classmethod.jp 6 構成イメージ ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC

    A EC2インスタンス VPC A EC2インスタンス VPC A EC2インスタンス VPC B EC2インスタンス VPNで接続して、オンプレミス から社内サーバー感覚で アクセスしたい!

  7. classmethod.jp 7 検討案1  AWS標準機能(VPC  VPN) ΦϯϓϨϛε VPC A EC2インスタンス IPsec

     VPN VPC C EC2インスタンス VPC B EC2インスタンス

  8. classmethod.jp 8 検討案1  AWS標準機能(VPC  VPN) •  VPC  VPNでは、接続するルーターのグ ローバルIP  1つを複数のVPN接続でシェ

    アできない(VPC  VPNの仕様)ため、断念念。

  9. classmethod.jp 9 検討案1  AWS標準機能(VPC  VPN) ΦϯϓϨϛε VPC A EC2インスタンス IPsec

     VPN VPC C EC2インスタンス VPC B EC2インスタンス

  10. classmethod.jp 10 検討案2  Vyatta同⼠士でVPC間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

  11. classmethod.jp 11 検討案2  Vyatta同⼠士でVPC間接続 •  Vyatta同⼠士のVPNセッションは、無事確 ⽴立立できた! •  しかし、VPCとVPN間ではpingが通らな い。。

    ↓ •  VPC  VPN(仮想プライベートゲートウェ イ)は、接続するVPCのトラフィックのみ 転送するようになっており、Vyatta経由 の他のVPCとVPN間のTransitiveな通信は 転送しない。

  12. classmethod.jp 12 検討案2  Vyatta同⼠士でVPC間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

  13. classmethod.jp 13 検討案3  Vyatta-‐‑‒VGW間を接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

  14. classmethod.jp 14 検討案3  Vyatta-‐‑‒VGW間を接続 •  検証環境ではVyatta-‐‑‒VGW間のVPNセッ ションを無事確⽴立立できた! •  しかし、本番環境に持ってくるとVyatta のVPNセッションが必ず切切れてしまう。

    (Vyattaのセッションがハードウェア VPNのセッションに負けるような動き) ↓ •  原因不不明だが、ハードウェアVPNと Vyatta  Core  6.5R1の組み合わせで発⽣生 したため断念念。

  15. classmethod.jp 15 検討案3  Vyatta-‐‑‒VGW間を接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス 既存ハードウェアVPN接続 があると、接続確⽴立立後数分 で切切れてしまう

  16. classmethod.jp 16 検討案4  Vyatta-‐‑‒お客様ルータ間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

  17. classmethod.jp 17 検討案4  Vyatta-‐‑‒お客様ルータ間接続 •  ワークアラウンドを複数検討してきたた め、そろそろ体⼒力力の限界。残りの⼒力力を振 り絞って、やったことのないVyatta-‐‑‒ルー タ間のコンフィグをひねり出す。 • 

    残りの⼒力力を振り絞って、ルータを設定す るNIerさんと調整、 「VyattaみたいなOSSプロダクトとの   相性は保証できませんよ?」 と念念を押されて胃が痛む。 →無事、接続確⽴立立!

  18. classmethod.jp 18 今後の予定  Amazon  Direct  Connect構成 ΦϯϓϨϛε VPC A EC2インスタンス

    閉域網 VPC C EC2インスタンス VPC B EC2インスタンス Amazon Direct   Connect

  19. classmethod.jp 19 •  閉域網経由のよりセキュアな接続 •  暗号化なしのより⾼高速で安定した品質 •  Direct  Connect⾃自体の課⾦金金は物理理接続 (AWS-‐‑‒DC間)が対象なので、VPCおよび

    論論理理接続が増えても課⾦金金は増えない! →閉域網/DC業者の契約プランによって   異異なることに注意 今後の予定  Amazon  Direct  Connect構成

  20. classmethod.jp 20 今後の予定  Amazon  VPC  Peering構成 ΦϯϓϨϛε VPC A EC2インスタンス

    閉域網 VPC C EC2インスタンス VPC B EC2インスタンス Amazon Direct   Connect Peering Peering

  21. classmethod.jp 21 •  同⼀一リージョンのVPC同⼠士をつなぐ Amazon  VPCの新機能。(3/24リリース) •  異異なるアカウント間でもOKなので、 本ケースにぴったり。 • 

    Transitiveなトラフィックはやっぱりルー ティングしてくれないので、Direct   Connectと併⽤用する。 今後の予定  Amazon  VPC  Peering構成

  22. classmethod.jp 22 まとめ •  個⼈人的に堪えたのは、検討案3(Vyattaの 接続負け)でした。いろんなアーキテク チャをストックしておくことが今回の教 訓。 •  AWSのアップデート/新機能には驚かさ

    れるが、素直に歓迎できる新機能は即検 討するべき!