Build Fullmesh VPN by VyOS with Serf! VyOS Users Meeting Japan #1 LT

「ドキッ！トンネルだらけの VPN大会(メッシュ編)」 VyOSとSerfでフルメッシュVPN！ @Yaggytter + 某SIer古城戸さん VyOS Users Meeting Japan
#1 LT

さっそくですがこんな状況ハッシュタグ #vyosjp にてつぶやいた URLをみていただくと？！すでに、４つのVyOSが！フルメッシュってる？！ここにさらにひとつ追加！

さっそく追加してみます！

まえがき LTはじめてです！ひとつよろしくお願いいたします！緊張しております！あせあせしてやります。 LTということで、、、

ベース Serfとはなに？オーケストレーションツール的なやつです。詳しくは、@zembutsuさんのスライドを見てみてください AWSとは？ AmazonWebServicesです。クラウドコンピューティングです。詳しい使い方は、オフシャルサイトおよび classmethodさん、suz-labさんのサイトを見てみてください。 VyOSとは？ご存知の通りです！

自己紹介 @Yaggytter 現在・某SIerグループ会社で管理職もどき・弱冠39歳(来年40歳) 得意な仕事・承認ボタンをひたすらクリック承認ボタンクリックの合間に技術的な仕事をしています（最近はAWSが多い・・・）自称プログラマ
・C++が好きです。最近は、Cocos2d-xに挑戦！いにしえのプログラマなので、ちょっと調べて気に入ったのが無いと作っちゃおうとする悪い癖が・・・なので、今回はSerfに挑戦！

Vyatta こんな感じでやってますなう中 Region Vyatta Vyatta Vyatta Region Vyatta Vyatta Vyatta
Vyatta Region Vyatta Vyatta Vyatta Region Vyatta Vyatta Vyatta Vyatta Operators Intranet (Enterprise systems) Developers virtual private gateway

経緯 AWS上で、複数Regionを一つの固まりと見せるようにするためスター型風トポロジでVyattaにてVPNを構築し運用していてとっても便利でした。しかし！あたりまえですが、接続が集中しているVyattaが落ちると、そこから先の経路が全滅します。あたりまえですが！あたりまえですが！ Failoverするようにしても、やっぱり全滅は痛い・・・そこで！やっぱ、フルメッシュでつないだ方がよくね？でも、、、トンネルの数！拠点増えた時めんどい？！あれ？こういう時にSerfって使うんじゃないの？ということで！今回は、
「ドキッ！トンネルだらけのVPN大会(メッシュ編)」をお送りさせていただきます。

こんな感じで作りました Region VyOS Region VyOS Region VyOS Region VyOS Region
VyOS Web Server Serf Cluster どっかにJOINしたら、みんなの情報集めてつないじゃう！ LEAVEとかFAILしたら、そいつへの接続情報は抹消！ QUERYでみんなの状況を集めてきて可視化するのも簡単！

いいことづくし？なにが利点か・どれか１つのGlobalIPを知っていればそれでOK！万事休す！なぜJOINするのか？そこにNODEがあるから。・あとはほとんど気にしなくてよい・全VPNルータを設定しなくてもよい・逆に、いつ切断してもOK ※悪いことにはマスクがかかっています

必要な情報今回のフルメッシュVPNをつなぐのにあたってVPN 接続時に最低限必要だった情報は以下。・PREKEY 自分へのIPSec接続用のPreSharedKey ・SERFKEY SerfのEncription用のKey ・JOINIP Serfのメンバのどれか一つのIP

完成図うだうだ言っている間に出来ているか見てみましょう！出来ていなかったらご愛嬌・・・

今後今後の予定・同一セグメント内に２台以上いた場合は勝手に冗長構成にする⇒AWSのIAM Roleと RouteTableを使えばたぶんすぐできる・ROLEによる複数フルメッシュ VPN群の作成⇒フルメッシュVPN
群同士をつなぐのも！・同一セグメントも気にしないでつなぎたい⇒L2TPv3も組み合わせる？課題・セキュリティ Serfのencryptionのみなので・・・ VyOSのFirewallで対応？最初のjoin先は手動で開ける他はjoinメッセージを受けたら対象 GlobalIPを開ける？？？う～ん。。。・品質本番環境への適用に向けて、もう少し安定するようにしたい雰囲気！

あとがき最近聞く、Infrastructure as Code って、いまいちピンとこない。 Chef(しかもsolo)だ〜なんだ〜っていう事例を見ても、 Infrastructure as Code というか、OS設定、ミドルウェア設定、アプリケーションのデプロイを自
動化しているイメージの例が多くて、あんまり「Infrastructure」 as Code な気がしない・・・もっと、低レイヤーを含めてコード化すればピンとくる気がする。。。・仮想マシン構成のコード化 ⇒ まあ、よくあるよね・コンテナ構成のコード化 ⇒ まあ、コンテナだからよくあるよね・ネットワーク構成のコード化⇒SDN/NFVをベースとして！逆にこのへんがピンとくる！

vyos@vyos:~$ sync vyos@vyos:~$ sync vyos@vyos:~$ sync vyos@vyos:~$ poweroffnow なんやかんやいいましたが VyOSっていいよね！
つづきはWebで http://momiage.com/vyosserf 逆にありがとうございました以上

Build Fullmesh VPN by VyOS with Serf! VyOS Users Meeting Japan #1 LT

Build Fullmesh VPN by VyOS with Serf! VyOS Users Meeting Japan #1 LT

YAGASAKI Akihiro

More Decks by YAGASAKI Akihiro

Other Decks in Technology

Featured

Transcript

「ドキッ！トンネルだらけの VPN大会(メッシュ編)」 VyOSとSerfでフルメッシュVPN！ @Yaggytter + 某SIer古城戸さん VyOS Users Meeting Japan

さっそくですがこんな状況ハッシュタグ #vyosjp にてつぶやいた URLをみていただくと？！すでに、４つのVyOSが！フルメッシュってる？！ここにさらにひとつ追加！

さっそく追加してみます！

まえがき LTはじめてです！ひとつよろしくお願いいたします！緊張しております！あせあせしてやります。 LTということで、、、

自己紹介 @Yaggytter 現在・某SIerグループ会社で管理職もどき・弱冠39歳(来年40歳) 得意な仕事・承認ボタンをひたすらクリック承認ボタンクリックの合間に技術的な仕事をしています（最近はAWSが多い・・・）自称プログラマ

Vyatta こんな感じでやってますなう中 Region Vyatta Vyatta Vyatta Region Vyatta Vyatta Vyatta

こんな感じで作りました Region VyOS Region VyOS Region VyOS Region VyOS Region

必要な情報今回のフルメッシュVPNをつなぐのにあたってVPN 接続時に最低限必要だった情報は以下。・PREKEY 自分へのIPSec接続用のPreSharedKey ・SERFKEY SerfのEncription用のKey ・JOINIP Serfのメンバのどれか一つのIP

完成図うだうだ言っている間に出来ているか見てみましょう！出来ていなかったらご愛嬌・・・

今後今後の予定・同一セグメント内に２台以上いた場合は勝手に冗長構成にする⇒AWSのIAM Roleと RouteTableを使えばたぶんすぐできる・ROLEによる複数フルメッシュ VPN群の作成⇒フルメッシュVPN

あとがき最近聞く、Infrastructure as Code って、いまいちピンとこない。 Chef(しかもsolo)だ〜なんだ〜っていう事例を見ても、 Infrastructure as Code というか、OS設定、ミドルウェア設定、アプリケーションのデプロイを自

vyos@vyos:~$ sync vyos@vyos:~$ sync vyos@vyos:~$ sync vyos@vyos:~$ poweroffnow なんやかんやいいましたが VyOSっていいよね！