Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for yamamototis1105 yamamototis1105
July 19, 2023
Technology
1.1k
0

Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ

JAWS-UG朝会#47(2023年7月19日)の資料です。

Avatar for yamamototis1105

yamamototis1105

July 19, 2023

More Decks by yamamototis1105

See All by yamamototis1105
AWS Interconnectによるマルチクラウド接続を検証して分かったことーマネージドによる設計簡素化ー
Avatar for yamamototis1105 yamamototis1105
2
330
AWS Well-Architected Frameworkに基づくハイブリッドネットワーキング要点ガイド
Avatar for yamamototis1105 yamamototis1105
3
370
AWS Networking RoadShow Gameday 2024 制覇に向けた学習のポイント
Avatar for yamamototis1105 yamamototis1105
0
220
AWS Cloud WAN 最新のアップデートと今後のグローバルネットワーク
Avatar for yamamototis1105 yamamototis1105
2
480
ハイブリッドクラウド接続検証環境をフル仮想化してみた
Avatar for yamamototis1105 yamamototis1105
0
160
NetworkMonitorによるDirectConnect異常検知および対処
Avatar for yamamototis1105 yamamototis1105
1
630
AWS DirectConnectパートナー選定時のチェックポイント
Avatar for yamamototis1105 yamamototis1105
0
710
DirectConnect上でSite to Site VPNでのプライベート接続に乗り換えてみた
Avatar for yamamototis1105 yamamototis1105
1
1.2k
AWSソリューションのCFnで学ぶNaC
Avatar for yamamototis1105 yamamototis1105
0
330

Other Decks in Technology

See All in Technology
Chainlitで作るお手軽チャットUI
Avatar for tomo ynt0485
0
280
ザ・データベース、MySQL ~ OSC 2026 Sendai ~
Avatar for sakaik sakaik
0
140
Android の公式 Skill / Android skills
Avatar for Yuki Anzai yanzm
0
160
GitHub Copilot 最新アップデート – 「一歩先」の実践活用術
Avatar for zhang.william moulongzhang
5
1.5k
アジャイルな経理と Claude Code と 経営の未来
Avatar for Yasunobu Kawaguchi kawaguti
PRO
3
160
Bucharest Tech Week 2026 - Reinventing testing practices in the AI era
Avatar for Eric Deandrea edeandrea
PRO
1
170
Oracle Cloud Infrastructure:2026年6月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
130
PostgreSQL 19 新機能概要 OSC Hokkaido 2026
Avatar for Noriyoshi Shinoda nori_shinoda
0
140
データレイクの「見えない問題」を可視化する
Avatar for SansanTech sansantech
PRO
1
100
SteampipeとExcel Power QueryでAWS構成定義書の作成を自動化する
Avatar for jhashimoto jhashimoto
0
160
不要なレビューをAIにまかせて AIコーディングの環境改善を加速した
Avatar for shoota shoota
1
230
気づかぬうちにセキュリティ負債を生むAPIキー運用
Avatar for Michitaka Sugawara sgwrmctk
0
180

Featured

See All Featured
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
1
350
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.8k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
10
1.2k
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
275
41k
The untapped power of vector embeddings
Avatar for Frank van Dijk frankvandijk
2
1.8k
End of SEO as We Know It (SMX Advanced Version)
Avatar for Michael King ipullrank
3
4.2k
Building a A Zero-Code AI SEO Workflow
Avatar for Ian Lurie portentint
PRO
0
600
Are puppies a ranking factor?
Avatar for Jono Alderson jonoalderson
1
3.6k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
2k
WENDY [Excerpt]
Avatar for Tessa Abrams tessaabrams
11
38k

Transcript

  1. © 2023 NTT DATA Corporation © 2023 NTT DATA Corporation

    JAWS-UG朝会 #47 「Site-to-Site VPNトンネルエンドポイントの ライフサイクル制御機能の使いどころ」 2023年7月19日 NTTデータ 山本 泰士

  2. © 2023 NTT DATA Corporation © 2023 NTT DATA Corporation

    2 自己紹介 山本 泰士 (やまもと たいし) 所属:NTTデータ ネットワークソリューション事業部 業務: • 金融機関向けの仮想アプライアンスを介したハイブリッドクラウド接続や AWS / GCPのマルチクラウド接続のネットワーク構築など • ServiceNow / AWS / Ansibleを連携したネットワーク自動化サービスの開発や運用 • クラウドネットワーク人財育成の社内研修 好きなAWSサービス: DirectConnect / Site to Site VPN / TransitGateway

  3. © 2023 NTT DATA Corporation 3 本日お話しする内容 AWSの最新情報[1]で検索可能なフィードのうち、Site to Site

    VPNに関わる最新アップデート(2023年4月1日時点)、 「AWS Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能」 についてご紹介します。 [1] https://aws.amazon.com/jp/new/ 本日お話しする内容

  4. © 2023 NTT DATA Corporation 4 機能概要 Site-to-Site VPNは、Amazon VPC~オンプレミス間をVPNで接続するサービスですが、

    今回の追加機能により、Site-to-Site VPNのメンテナンス情報が可視化されて制御できる ようになりました。 AWS On-premise VPC Instance VPN Gateway Customer Gateway Server User Site to Site VPN 保留中のメンテナンス有無、 自動適用日、最終適用日を表示 ユーザの好きなタイミングでメンテナンスを実行 (VPNトンネル置き換え) メンテナンスの対象VPN接続や 日時をユーザにメールで通知 1 3 2

  5. © 2023 NTT DATA Corporation 5 機能詳細(1) 2023年4月1日~7月18日の間に自環境でメンテナンスが計画されたため、 下記の通り、VPNトンネル置き換えを実施してみました(初期状態は右図通り) 1.

    ルーティングされていないVPNトンネルから置き換え VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:-] (メンテナンス中) 1-1. Tunnel2の置き換え時 Tunnel2はルーティングされていないため、通信断なし。 VGW CGW Tunnel1 [MED:200] (メンテナンス保留中) Tunnel2 [MED:100] (メンテナンス済) 1-2. Tunnel2の置き換え後 Tunnel2へルーティングされるが、通信断なし。 VGW CGW Tunnel1 [MED:-] (メンテナンス中) Tunnel2 [MED:100] (メンテナンス済) 1-3. Tunnel1の置き換え時 Tunnel1はルーティングされていないため、通信断なし。 VGW CGW Tunnel2 [MED:200] (メンテナンス済) Tunnel2 [MED:100] (メンテナンス済) 1-4. Tunnel1の置き換え後 Tunnel2へルーティングされたまま変化なし。 メンテナンス済を優先してくれる? 以降のメンテナンスで通信影響を与えない なんて優しい… VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:200] (メンテナンス保留中) 初期状態

  6. © 2023 NTT DATA Corporation 6 機能詳細(2) 2023年4月1日~7月18日の間に自環境でメンテナンスが計画されたため、 下記の通り、VPNトンネル置き換えを実施してみました(初期状態は右図通り) 2.

    ルーティングされているVPNトンネルから置き換え VGW CGW Tunnel1 [MED:-] (メンテナンス中) Tunnel2 [MED:100] (メンテナンス保留中) 2-1. Tunnel1の置き換え時 Tunnel2へルーティングのうえTunnel1を置き換え、通信断なし。 VGW CGW Tunnel1 [MED:100] (メンテナンス済) Tunnel2 [MED:200] (メンテナンス保留中) 2-2. Tunnel1の置き換え後 Tunnel1へルーティングされるが、通信断なし。 VGW CGW Tunnel1 [MED:100] (メンテナンス済) Tunnel2 [MED:-] (メンテナンス中) 2-3. Tunnel2の置き換え時 Tunnel2はルーティングされていないため、通信断なし。 VGW CGW Tunnel2 [MED:100] (メンテナンス済) Tunnel2 [MED:200] (メンテナンス済) 2-4. Tunnel2の置き換え後 Tunnel1へルーティングされたまま変化なし。 わざわざ別トンネルへ ルーティング変更のうえ置き換えてくれる なんて優しい… VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:200] (メンテナンス保留中) 初期状態

  7. © 2023 NTT DATA Corporation 7 使いどころ(1) 一つ目は、ユーザの好きなタイミングでメンテナンスしたいケース です(一見当たり前のように思われますが、意外と少ない)。 実はメンテナンスの自動適用日まで放ったらかしでも、P5~6同様の動作でメンテナンスが通信断なく実施されます[2]

    そのため、ユーザがメンテナンスのタイミングを敢えて制御したいケースは中々無いかと思います。 では敢えて制御したいケースは?と言うと、、、 1. VPNトンネルが単一構成で、メンテナンス時に通信断が発生するため、 通信断が許容できるタイミングでメンテナンスしたいケース(オフィシャルサイト記載のユースケース) 2. VPNトンネルの状態変化によって、監視アラームが鳴動するなどの影響を受けるため、 VPNトンネルの状態変化のタイミングを指定したいケース(オフィシャルサイト記載のユースケース) 3. VPNトンネルは冗⾧構成だが、万が一ルーティング自動変更が失敗する可能性を考慮し、 通信断が許容できるタイミングでメンテナンスしたいケース [2] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html

  8. © 2023 NTT DATA Corporation 8 使いどころ(2) 二つ目は、Site-to-Site VPNの疑似メンテナンステストを事前に実施したいケース です。

    メンテナンス時におけるルーティング自動変更は、Site-to-Site VPNを作成するだけで動作するわけでなく、 CGW(オンプレミスルータなど)のBGPパラメータによっては上手く動作しない可能性があります[3]。 いままでは疑似的にメンテナンスを発生させることができず、パラメータの妥当性を事前にテストできませんでしたが、 これからはVPNトンネル置き換え機能を用いてテストできるようになりました(本機能はメンテナンス有無問わず実行可能) 考え方としては、様々な障害に対するテスト機能がAWSより提供されていますが、同様に、運用中に起こりうる動作・状態を 事前に確認しておくという観点では、こうしたメンテナンス動作も考慮しテストしておくことは有効かと考えます。 VGW DXGW DirectConnect DirectConnect Router Router VIF VIF Router Router TGW TGW ConnectAttach VGW CGW Site-to-Site VPN DirectConnect 障害 VIFフェイルオーバーテスト 機能 EC2 障害 FIS (Fault Injection Simulator) 機能 Site-to-Site VPN メンテナンス VPNトンネル置き換え 機能 [3] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html

  9. © 2023 NTT DATA Corporation 9 まとめ 1. メンテナンス適用の動作としては、適用後にメンテナンス済のトンネルにルーティングを自動変更してくれたり、 適用前に適用対象でないトンネルにルーティングを自動変更してくれたりと優しいつくりになっている。

    2. 使いどころとしては、ユーザが好きなタイミングでメンテナンスしたいケース(意外と少ない)のほか、 疑似メンテナンステストを実施したいケースなども有効だと考えられる。

  10. © 2023 NTT DATA Corporation © 2023 NTT DATA Corporation

  11. © 2023 NTT DATA Corporation 11 (参考情報) マネジメントコンソール画面 ライフサイクル制御機能を有効化・無効化 トンネル切断が発生するため要注意!!!

    メンテナンスを実行(VPNトンネルを置き換え) トンネル切断が発生するため要注意!!! 保留中のメンテナンス有無、 自動適用日、最終適用日を表示 VPC ≫ Site to Site VPN接続 アクション ≫ VPNトンネルオプションを変更 アクション ≫ (もしくは、トンネル状態 ≫ 保留中のメンテナンス ≫ 利用可能 ≫) VPNトンネルの置き換え