Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ
Search
yamamototis1105
July 19, 2023
Technology
0
570
Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ
JAWS-UG朝会#47(2023年7月19日)の資料です。
yamamototis1105
July 19, 2023
Tweet
Share
More Decks by yamamototis1105
See All by yamamototis1105
AWS Cloud WAN 最新のアップデートと今後のグローバルネットワーク
yamamototis1105
0
320
ハイブリッドクラウド接続検証環境をフル仮想化してみた
yamamototis1105
0
81
NetworkMonitorによるDirectConnect異常検知および対処
yamamototis1105
0
400
AWS DirectConnectパートナー選定時のチェックポイント
yamamototis1105
0
490
DirectConnect上でSite to Site VPNでのプライベート接続に乗り換えてみた
yamamototis1105
1
900
AWSソリューションのCFnで学ぶNaC
yamamototis1105
0
240
Other Decks in Technology
See All in Technology
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
17k
Site Reliability Engineering on Kubernetes
nwiizo
6
3.9k
reinvent2024を起点に振り返るサーバーレスアップデート
mihonda
1
180
LambdaとSQLiteでシステム構築
ogadra
1
150
第27回クラウド女子会 ~re:Invent 振り返りLT会~ 私の周辺で反響のあった re:Invent 2024 アップデートつれづれ/reinvent-2024-update-reverberated-around-me
emiki
1
570
インシデントキーメトリクスによるインシデント対応の改善 / Improving Incident Response using Incident Key Metrics
nari_ex
0
3.3k
ObservabilityCON on the Road Tokyoの見どころ
hamadakoji
0
150
Plants vs thieves: Automated Tests in the World of Web Security
leichteckig
0
140
大学教員が押さえておくべき生成 AI の基礎と活用例〜より効率的な教育のために〜
soh9834
1
180
DevSecOps入門:Security Development Lifecycleによる開発プロセスのセキュリティ強化
yuriemori
0
220
Grafanaのvariables機能について
tiina
0
110
SIEMによるセキュリティログの可視化と分析を通じた信頼性向上プロセスと実践
coconala_engineer
1
2.5k
Featured
See All Featured
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.5k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Side Projects
sachag
452
42k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
A Modern Web Designer's Workflow
chriscoyier
693
190k
The Pragmatic Product Professional
lauravandoore
32
6.4k
Gamification - CAS2011
davidbonilla
80
5.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Transcript
© 2023 NTT DATA Corporation © 2023 NTT DATA Corporation
JAWS-UG朝会 #47 「Site-to-Site VPNトンネルエンドポイントの ライフサイクル制御機能の使いどころ」 2023年7月19日 NTTデータ 山本 泰士
© 2023 NTT DATA Corporation © 2023 NTT DATA Corporation
2 自己紹介 山本 泰士 (やまもと たいし) 所属:NTTデータ ネットワークソリューション事業部 業務: • 金融機関向けの仮想アプライアンスを介したハイブリッドクラウド接続や AWS / GCPのマルチクラウド接続のネットワーク構築など • ServiceNow / AWS / Ansibleを連携したネットワーク自動化サービスの開発や運用 • クラウドネットワーク人財育成の社内研修 好きなAWSサービス: DirectConnect / Site to Site VPN / TransitGateway
© 2023 NTT DATA Corporation 3 本日お話しする内容 AWSの最新情報[1]で検索可能なフィードのうち、Site to Site
VPNに関わる最新アップデート(2023年4月1日時点)、 「AWS Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能」 についてご紹介します。 [1] https://aws.amazon.com/jp/new/ 本日お話しする内容
© 2023 NTT DATA Corporation 4 機能概要 Site-to-Site VPNは、Amazon VPC~オンプレミス間をVPNで接続するサービスですが、
今回の追加機能により、Site-to-Site VPNのメンテナンス情報が可視化されて制御できる ようになりました。 AWS On-premise VPC Instance VPN Gateway Customer Gateway Server User Site to Site VPN 保留中のメンテナンス有無、 自動適用日、最終適用日を表示 ユーザの好きなタイミングでメンテナンスを実行 (VPNトンネル置き換え) メンテナンスの対象VPN接続や 日時をユーザにメールで通知 1 3 2
© 2023 NTT DATA Corporation 5 機能詳細(1) 2023年4月1日~7月18日の間に自環境でメンテナンスが計画されたため、 下記の通り、VPNトンネル置き換えを実施してみました(初期状態は右図通り) 1.
ルーティングされていないVPNトンネルから置き換え VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:-] (メンテナンス中) 1-1. Tunnel2の置き換え時 Tunnel2はルーティングされていないため、通信断なし。 VGW CGW Tunnel1 [MED:200] (メンテナンス保留中) Tunnel2 [MED:100] (メンテナンス済) 1-2. Tunnel2の置き換え後 Tunnel2へルーティングされるが、通信断なし。 VGW CGW Tunnel1 [MED:-] (メンテナンス中) Tunnel2 [MED:100] (メンテナンス済) 1-3. Tunnel1の置き換え時 Tunnel1はルーティングされていないため、通信断なし。 VGW CGW Tunnel2 [MED:200] (メンテナンス済) Tunnel2 [MED:100] (メンテナンス済) 1-4. Tunnel1の置き換え後 Tunnel2へルーティングされたまま変化なし。 メンテナンス済を優先してくれる? 以降のメンテナンスで通信影響を与えない なんて優しい… VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:200] (メンテナンス保留中) 初期状態
© 2023 NTT DATA Corporation 6 機能詳細(2) 2023年4月1日~7月18日の間に自環境でメンテナンスが計画されたため、 下記の通り、VPNトンネル置き換えを実施してみました(初期状態は右図通り) 2.
ルーティングされているVPNトンネルから置き換え VGW CGW Tunnel1 [MED:-] (メンテナンス中) Tunnel2 [MED:100] (メンテナンス保留中) 2-1. Tunnel1の置き換え時 Tunnel2へルーティングのうえTunnel1を置き換え、通信断なし。 VGW CGW Tunnel1 [MED:100] (メンテナンス済) Tunnel2 [MED:200] (メンテナンス保留中) 2-2. Tunnel1の置き換え後 Tunnel1へルーティングされるが、通信断なし。 VGW CGW Tunnel1 [MED:100] (メンテナンス済) Tunnel2 [MED:-] (メンテナンス中) 2-3. Tunnel2の置き換え時 Tunnel2はルーティングされていないため、通信断なし。 VGW CGW Tunnel2 [MED:100] (メンテナンス済) Tunnel2 [MED:200] (メンテナンス済) 2-4. Tunnel2の置き換え後 Tunnel1へルーティングされたまま変化なし。 わざわざ別トンネルへ ルーティング変更のうえ置き換えてくれる なんて優しい… VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:200] (メンテナンス保留中) 初期状態
© 2023 NTT DATA Corporation 7 使いどころ(1) 一つ目は、ユーザの好きなタイミングでメンテナンスしたいケース です(一見当たり前のように思われますが、意外と少ない)。 実はメンテナンスの自動適用日まで放ったらかしでも、P5~6同様の動作でメンテナンスが通信断なく実施されます[2]
そのため、ユーザがメンテナンスのタイミングを敢えて制御したいケースは中々無いかと思います。 では敢えて制御したいケースは?と言うと、、、 1. VPNトンネルが単一構成で、メンテナンス時に通信断が発生するため、 通信断が許容できるタイミングでメンテナンスしたいケース(オフィシャルサイト記載のユースケース) 2. VPNトンネルの状態変化によって、監視アラームが鳴動するなどの影響を受けるため、 VPNトンネルの状態変化のタイミングを指定したいケース(オフィシャルサイト記載のユースケース) 3. VPNトンネルは冗⾧構成だが、万が一ルーティング自動変更が失敗する可能性を考慮し、 通信断が許容できるタイミングでメンテナンスしたいケース [2] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html
© 2023 NTT DATA Corporation 8 使いどころ(2) 二つ目は、Site-to-Site VPNの疑似メンテナンステストを事前に実施したいケース です。
メンテナンス時におけるルーティング自動変更は、Site-to-Site VPNを作成するだけで動作するわけでなく、 CGW(オンプレミスルータなど)のBGPパラメータによっては上手く動作しない可能性があります[3]。 いままでは疑似的にメンテナンスを発生させることができず、パラメータの妥当性を事前にテストできませんでしたが、 これからはVPNトンネル置き換え機能を用いてテストできるようになりました(本機能はメンテナンス有無問わず実行可能) 考え方としては、様々な障害に対するテスト機能がAWSより提供されていますが、同様に、運用中に起こりうる動作・状態を 事前に確認しておくという観点では、こうしたメンテナンス動作も考慮しテストしておくことは有効かと考えます。 VGW DXGW DirectConnect DirectConnect Router Router VIF VIF Router Router TGW TGW ConnectAttach VGW CGW Site-to-Site VPN DirectConnect 障害 VIFフェイルオーバーテスト 機能 EC2 障害 FIS (Fault Injection Simulator) 機能 Site-to-Site VPN メンテナンス VPNトンネル置き換え 機能 [3] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html
© 2023 NTT DATA Corporation 9 まとめ 1. メンテナンス適用の動作としては、適用後にメンテナンス済のトンネルにルーティングを自動変更してくれたり、 適用前に適用対象でないトンネルにルーティングを自動変更してくれたりと優しいつくりになっている。
2. 使いどころとしては、ユーザが好きなタイミングでメンテナンスしたいケース(意外と少ない)のほか、 疑似メンテナンステストを実施したいケースなども有効だと考えられる。
© 2023 NTT DATA Corporation © 2023 NTT DATA Corporation
© 2023 NTT DATA Corporation 11 (参考情報) マネジメントコンソール画面 ライフサイクル制御機能を有効化・無効化 トンネル切断が発生するため要注意!!!
メンテナンスを実行(VPNトンネルを置き換え) トンネル切断が発生するため要注意!!! 保留中のメンテナンス有無、 自動適用日、最終適用日を表示 VPC ≫ Site to Site VPN接続 アクション ≫ VPNトンネルオプションを変更 アクション ≫ (もしくは、トンネル状態 ≫ 保留中のメンテナンス ≫ 利用可能 ≫) VPNトンネルの置き換え
yamamototis1105
safie_recruit
nwiizo
mihonda
.png){kind=avatar}
ogadra
emiki
nari_ex
hamadakoji
leichteckig
soh9834
yuriemori
tiina
coconala_engineer
bluesmoon
sugarenia
samlambert
sachag
stephaniewalter
denniskardys
chriscoyier
lauravandoore
davidbonilla
sstephenson
lemiorhan
erikaheidi
![© 2023 NTT DATA Corporation 3 本日お話しする内容 AWSの最新情報[1]で検索可能なフィードのうち、Site to Site](https://files.speakerdeck.com/presentations/b2e8f64f35a44400803dcc9462003c1a/slide_2.jpg){kind=link}
![© 2023 NTT DATA Corporation 7 使いどころ(1) 一つ目は、ユーザの好きなタイミングでメンテナンスしたいケース です(一見当たり前のように思われますが、意外と少ない)。 実はメンテナンスの自動適用日まで放ったらかしでも、P5~6同様の動作でメンテナンスが通信断なく実施されます[2]](https://files.speakerdeck.com/presentations/b2e8f64f35a44400803dcc9462003c1a/slide_6.jpg){kind=link}
