Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vyatta AWS適用事例 複数VPCとVPNの相互接続

Ecd0c945f6911dbf75358a8addee15f7?s=47 takipone
April 02, 2014
Technology
4
3k

Vyatta AWS適用事例 複数VPCとVPNの相互接続

VYATTA USERS MEETING Spring 2014
クラスメソッド 大瀧隆太

Ecd0c945f6911dbf75358a8addee15f7?s=128

takipone

April 02, 2014
Tweet

More Decks by takipone

See All by takipone
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
0
1.4k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
7
2.1k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
0
1.8k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
2
16k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
0
510
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
3
2.9k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
1
1.8k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
1
1.2k
Ecd0c945f6911dbf75358a8addee15f7?s=48 takipone
0
1k

Other Decks in Technology

See All in Technology
B0cd2f94d292187c9baaf34b3979154d?s=48 quandohr
1
1.6k
8e308462954f8c38cc60dabb8b7bc6a3?s=48 widstkyi
0
130
7e20183342a040a32924a41343603286?s=48 konabuta
0
320
47e8318347fb8cd6a2c39bc6cf6e333e?s=48 hfm
0
110
2c51cbf972b0de2e0696c8a26c7d1f4b?s=48 matsuihidetoshi
3
990
5c772b62f1974e9da3a88fbb4ef02696?s=48 hariby
0
110
00851927294532e0742c2c174730dff0?s=48 ido_kara_deru
2
240
90c8484f9a934529d21fc1db59b0e4be?s=48 ychan
0
150
F507086e15832a4344df6b10cdc5b179?s=48 localyouser
0
240
Eec11c7d221770d15a4b16104f3cf07e?s=48 eagletmt
0
110
65f840d22d4507284fc10332fdde00fe?s=48 lulak21
0
150
60187fe0ab07ea5a46572a3ab05f61dd?s=48 mattstauffer
0
1.4k

Featured

See All Featured
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
PRO
322
54k
245cee81a9c424266e5e401d844ea881?s=48 lara
591
61k
245cee81a9c424266e5e401d844ea881?s=48 lara
172
10k
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
495
110k
C157b16234f1e75e8eac3698c1d4414a?s=48 ddemaree
273
32k
1b75d89772b7eea1f6c89fbf362607d9?s=48 moore
125
21k
D36d2c1821af9249b69ff7f5ed60529b?s=48 tammielis
238
23k
79acae287842acf29084005533a7fb3b?s=48 hursman
108
9.4k
7559f6cff1f5efc2d210965febd4d71c?s=48 bermonpainter
344
27k
D09fad3e36ae6841f54820be0e907f7a?s=48 rocio
154
11k
B83d5b590577969ee79a5ad845411a7d?s=48 ammeep
657
54k
Aebc2d07a50011e2a30d38435fde564a?s=48 jrom
116
7.3k

Transcript

  1. Vyatta  AWS適⽤用事例例 複数VPCとVPNの相互接続 VYATTA  USERS  MEETING Spring  2014 classmethod.jp 1

    2014/04/04 クラスメソッド株式会社 ⼤大瀧隆太

  2. classmethod.jp 2 ⾃自⼰己紹介 •  ⽒氏名  :  ⼤大瀧隆太  @takipone •  ポジション

     :      エンジニア  /  研修講師 •  得意分野  :      ネットワーク  /      デプロイツール •  好きなAWSサービス      Amazon  Route  53 classmethod.jp 2

  3. classmethod.jp 3 Vyattaとわたし •  前職のITトレーニング(某仮想化基盤)の環境で 使ってました。 •  ⽤用途 -‐‑‒  NATルーター

    -‐‑‒  DHCPサーバー -‐‑‒  DNSキャッシュサーバー •  受講⽣生1⼈人ずつ独⽴立立したセグメントを切切っていた 理理由は以下 -‐‑‒  VM⽴立立て放題にしたい -‐‑‒  vCenter  IDカブりによるMACアドレス重複    を避けたい •  チューニングなしでギガビットの帯域をほぼ出し きってくれたことに驚きました。

  4. classmethod.jp 4 アジェンダ •  要件 •  検討案の変遷 •  今後の予定 • 

    まとめ

  5. classmethod.jp 5 要件 •  お客様(EC2サイト運営)のAWS環境は、 システムごとにネットワーク(VPC)と AWSアカウントが別れている。 Ø  費⽤用をシステムごとに計上したい Ø 

    本番・開発環境を分けたい •  これらをオンプレミスとVPNで接続した い。

  6. classmethod.jp 6 構成イメージ ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN VPC

    A EC2インスタンス VPC A EC2インスタンス VPC A EC2インスタンス VPC B EC2インスタンス VPNで接続して、オンプレミス から社内サーバー感覚で アクセスしたい!

  7. classmethod.jp 7 検討案1  AWS標準機能(VPC  VPN) ΦϯϓϨϛε VPC A EC2インスタンス IPsec

     VPN VPC C EC2インスタンス VPC B EC2インスタンス

  8. classmethod.jp 8 検討案1  AWS標準機能(VPC  VPN) •  VPC  VPNでは、接続するルーターのグ ローバルIP  1つを複数のVPN接続でシェ

    アできない(VPC  VPNの仕様)ため、断念念。

  9. classmethod.jp 9 検討案1  AWS標準機能(VPC  VPN) ΦϯϓϨϛε VPC A EC2インスタンス IPsec

     VPN VPC C EC2インスタンス VPC B EC2インスタンス

  10. classmethod.jp 10 検討案2  Vyatta同⼠士でVPC間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

  11. classmethod.jp 11 検討案2  Vyatta同⼠士でVPC間接続 •  Vyatta同⼠士のVPNセッションは、無事確 ⽴立立できた! •  しかし、VPCとVPN間ではpingが通らな い。。

    ↓ •  VPC  VPN(仮想プライベートゲートウェ イ)は、接続するVPCのトラフィックのみ 転送するようになっており、Vyatta経由 の他のVPCとVPN間のTransitiveな通信は 転送しない。

  12. classmethod.jp 12 検討案2  Vyatta同⼠士でVPC間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

  13. classmethod.jp 13 検討案3  Vyatta-‐‑‒VGW間を接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

  14. classmethod.jp 14 検討案3  Vyatta-‐‑‒VGW間を接続 •  検証環境ではVyatta-‐‑‒VGW間のVPNセッ ションを無事確⽴立立できた! •  しかし、本番環境に持ってくるとVyatta のVPNセッションが必ず切切れてしまう。

    (Vyattaのセッションがハードウェア VPNのセッションに負けるような動き) ↓ •  原因不不明だが、ハードウェアVPNと Vyatta  Core  6.5R1の組み合わせで発⽣生 したため断念念。

  15. classmethod.jp 15 検討案3  Vyatta-‐‑‒VGW間を接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス 既存ハードウェアVPN接続 があると、接続確⽴立立後数分 で切切れてしまう

  16. classmethod.jp 16 検討案4  Vyatta-‐‑‒お客様ルータ間接続 ΦϯϓϨϛε VPC A EC2インスタンス IPsec  VPN

    VPC C EC2インスタンス VPC B EC2インスタンス

  17. classmethod.jp 17 検討案4  Vyatta-‐‑‒お客様ルータ間接続 •  ワークアラウンドを複数検討してきたた め、そろそろ体⼒力力の限界。残りの⼒力力を振 り絞って、やったことのないVyatta-‐‑‒ルー タ間のコンフィグをひねり出す。 • 

    残りの⼒力力を振り絞って、ルータを設定す るNIerさんと調整、 「VyattaみたいなOSSプロダクトとの   相性は保証できませんよ?」 と念念を押されて胃が痛む。 →無事、接続確⽴立立!

  18. classmethod.jp 18 今後の予定  Amazon  Direct  Connect構成 ΦϯϓϨϛε VPC A EC2インスタンス

    閉域網 VPC C EC2インスタンス VPC B EC2インスタンス Amazon Direct   Connect

  19. classmethod.jp 19 •  閉域網経由のよりセキュアな接続 •  暗号化なしのより⾼高速で安定した品質 •  Direct  Connect⾃自体の課⾦金金は物理理接続 (AWS-‐‑‒DC間)が対象なので、VPCおよび

    論論理理接続が増えても課⾦金金は増えない! →閉域網/DC業者の契約プランによって   異異なることに注意 今後の予定  Amazon  Direct  Connect構成

  20. classmethod.jp 20 今後の予定  Amazon  VPC  Peering構成 ΦϯϓϨϛε VPC A EC2インスタンス

    閉域網 VPC C EC2インスタンス VPC B EC2インスタンス Amazon Direct   Connect Peering Peering

  21. classmethod.jp 21 •  同⼀一リージョンのVPC同⼠士をつなぐ Amazon  VPCの新機能。(3/24リリース) •  異異なるアカウント間でもOKなので、 本ケースにぴったり。 • 

    Transitiveなトラフィックはやっぱりルー ティングしてくれないので、Direct   Connectと併⽤用する。 今後の予定  Amazon  VPC  Peering構成

  22. classmethod.jp 22 まとめ •  個⼈人的に堪えたのは、検討案3(Vyattaの 接続負け)でした。いろんなアーキテク チャをストックしておくことが今回の教 訓。 •  AWSのアップデート/新機能には驚かさ

    れるが、素直に歓迎できる新機能は即検 討するべき!