DirectConnect上でSite to Site VPNでのプライベート接続に乗り換えてみた

Transcript

1. © 2022 NTT DATA Corporation JAWS-UG朝会 #37 「DirectConnect上でSite to Site

   VPNでの プライベート接続に乗り換えてみた」 2022年9月7日 NTTデータ 山本 泰士

2. © 2022 NTT DATA Corporation 2 自己紹介 山本 泰士 (やまもと

   たいし) • 所属 • NTTデータ ネットワークソリューション事業部 • 主な業務 • 金融／法人系ネットワークの提案～構築 ‐仮想アプライアンスを介したハイブリッドクラウド接続や、 AWS／GCPのマルチクラウド構築など • その他、ネットワークに関わる自動化 ‐ServiceNow～Ansibleを連携したネットワーク自動化サービス開発・運営や、 クラウド人財育成の研修環境構築など

3. © 2022 NTT DATA Corporation 3 本日お話ししたいこと DirectConnect上でSite to Site

   VPNでのプライベート接続 [1] が 2022.06 に実装されました! 個人的には衝撃ニュースだったので、その理由も含めて以下の内容でご紹介します。 [1] https://aws.amazon.com/jp/about-aws/whats-new/2022/06/aws-site-vpn-introduces-private-ip-security- privacy/ そもそも何が嬉しいの? 導入が大変じゃないの? 気を付けることはないの?

4. © 2022 NTT DATA Corporation 4 ① そもそも何が嬉しいの? 金融等のお客様では、DirectConnectによる閉域接続でもWAN区間の暗号化要件が根強い。 色々なやり方がありますが、AWSサービスだけでは要件を満たすことを出来ず、、、

   On- premise AWS Public接続 + Site to Site VPN On- premise AWS MACsec On- premise AWS エンドツーエンド暗号化 Public IP?インターネット フェイシングな環境はNG 10Gbps～の専用接続は ハードルが高い 業務側に手を加えることは 影響が大きい VGW Connect Direct VGW Connect Direct VGW Connect Direct Router Router Router 暗号化区間 凡例:

5. © 2022 NTT DATA Corporation 5 ① そもそも何が嬉しいの? このような場合、従来はサードパーティの仮想アプライアンス導入により要件を満たすという手を取ってきた。 そんな中、今回のサービス実装でAWSサービスのみで要件を満たすことができるようになった

   (できないケースは後述します) 。 On- premise AWS 仮想アプライアンス 仮想アプライアンス製品と オンプレルータ間で暗号化 VGW Connect Direct Router Router On- premise AWS Private接続 + Site to Site VPN TGWとオンプレルータ間で 暗号化 (AWSサービスのみ!!) TGW Connect Direct Router Router 今回できるようになったこと 暗号化区間 凡例:

6. © 2022 NTT DATA Corporation 6 ② 導入が大変じゃないの? ほぼ従来通りのオペレーションで、サービス導入が可能! 導入の流れは、以下のSTEP

   1～3となる。 STEP 1. DirectConnect構築 STEP 2. Site to Site VPN接続 STEP 3. ルーティング設定変更 AWS Direct Connect Router DXGW TGW On-premise トンネルアドレス用CIDRを登録 （今までConnectアタッチメント 使わない限り登録しなかった?） 暗号化区間 BGP区間 凡例:

7. © 2022 NTT DATA Corporation 7 ② 導入が大変じゃないの? ほぼ従来通りのオペレーションで、サービス導入が可能! 導入の流れは、以下のSTEP

   1～3となる。 STEP 1. DirectConnect構築 STEP 2. Site to Site VPN接続 STEP 3. ルーティング設定変更 AWS Direct Connect Router (CGW) DXGW TGW On-premise Site to Site VPN CGWにPrivateIPを登録 (DirectConnectのBGPピア等で利用する リンクローカルアドレス(254.169.x.x)は指定不可。 それ以外のRFC1918 Private IPへ準拠した ループバックアドレス等を指定しましょう) 外部IPアドレスタイプとして 「Privateipv4」を指定 暗号化区間 BGP区間 凡例:

8. © 2022 NTT DATA Corporation 8 ② 導入が大変じゃないの? ほぼ従来通りのオペレーションで、サービス導入が可能! 導入の流れは、以下のSTEP

   1～3となる。 STEP 1. DirectConnect構築 STEP 2. Site to Site VPN接続 STEP 3. ルーティング設定変更 AWS Direct Connect Router (CGW) DXGW TGW On-premise Site to Site VPN DXGW向けにPrivateIPのみアドバタイズ (デフォルトでは、Site to Site VPN経由より DirectConnect経由ルートが優先されるケースあり。) Router向けにトンネルアドレス用 CIDRのみアドバタイズ 暗号化区間 BGP区間 凡例:

9. © 2022 NTT DATA Corporation 9 ③ 気を付けることはないの? どのようなケースでも乗り換えられるワケではないため注意が必要! DirectConnectパートナーによってTransitVIF対応の状況が異なる

   例えば、2022年9月時点で東京リージョン経由で接続可能なパートナーであっても、 「対応可能」、「1G以上であれば対応可能」(注)、「対応不可能」と対応状況はマチマチ。 帯域制御／優先制御などの通信要件がある NAT／暗号化／フィルタリングなどはAWSサービスで代替できるものの、 帯域制御／優先制御などは仮想アプライアンスが必要なケースがあると考えられる。 クオータの違いがある ルート数 (TGW+DirectConnect:100個、TGW+Site to Site VPN:1000個)や、 帯域幅 (TGW+DXGW:50G、TGW+Site to Site VPN:1.25G/Tunnel) の確認が必要。 (注) 元々、TransitGateway～DirectConnectの制約がありましたが、多用な接続速度がサポート[2]されるようになったため、見直されるかも・・? [2] https://aws.amazon.com/jp/about-aws/whats-new/2022/08/aws-direct-connect-expands-transit- gateway-support-connection-speeds/

10. © 2022 NTT DATA Corporation 10 まとめ • DirectConnect上でSite to

    Site VPNでのプライベート接続により、 AWSサービスのみでシンプルな暗号化が実現! • ほぼ従来通りのオペレーションの流れでサービス導入が可能! アドレシングやルーティングで一部ケアすべきポイントはご注意下さい。 • どのようなケースでも乗り換えられるワケではないため、 構成可否やその他通信要件、クオータの違いなどは要確認!

11. © 2022 NTT DATA Corporation