Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ

Transcript

1. © 2023 NTT DATA Corporation © 2023 NTT DATA Corporation

   JAWS-UG朝会 #47 「Site-to-Site VPNトンネルエンドポイントの ライフサイクル制御機能の使いどころ」 2023年7月19日 NTTデータ 山本 泰士

2. © 2023 NTT DATA Corporation © 2023 NTT DATA Corporation

   2 自己紹介 山本 泰士 (やまもと たいし) 所属:NTTデータ ネットワークソリューション事業部 業務: • 金融機関向けの仮想アプライアンスを介したハイブリッドクラウド接続や AWS / GCPのマルチクラウド接続のネットワーク構築など • ServiceNow / AWS / Ansibleを連携したネットワーク自動化サービスの開発や運用 • クラウドネットワーク人財育成の社内研修 好きなAWSサービス: DirectConnect / Site to Site VPN / TransitGateway

3. © 2023 NTT DATA Corporation 3 本日お話しする内容 AWSの最新情報[1]で検索可能なフィードのうち、Site to Site

   VPNに関わる最新アップデート(2023年4月1日時点)、 「AWS Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能」 についてご紹介します。 [1] https://aws.amazon.com/jp/new/ 本日お話しする内容

4. © 2023 NTT DATA Corporation 4 機能概要 Site-to-Site VPNは、Amazon VPC～オンプレミス間をVPNで接続するサービスですが、

   今回の追加機能により、Site-to-Site VPNのメンテナンス情報が可視化されて制御できる ようになりました。 AWS On-premise VPC Instance VPN Gateway Customer Gateway Server User Site to Site VPN 保留中のメンテナンス有無、 自動適用日、最終適用日を表示 ユーザの好きなタイミングでメンテナンスを実行 (VPNトンネル置き換え) メンテナンスの対象VPN接続や 日時をユーザにメールで通知 1 3 2

5. © 2023 NTT DATA Corporation 5 機能詳細（1） 2023年4月1日～7月18日の間に自環境でメンテナンスが計画されたため、 下記の通り、VPNトンネル置き換えを実施してみました（初期状態は右図通り） 1.

   ルーティングされていないVPNトンネルから置き換え VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:-] (メンテナンス中) 1-1. Tunnel2の置き換え時 Tunnel2はルーティングされていないため、通信断なし。 VGW CGW Tunnel1 [MED:200] (メンテナンス保留中) Tunnel2 [MED:100] (メンテナンス済) 1-2. Tunnel2の置き換え後 Tunnel2へルーティングされるが、通信断なし。 VGW CGW Tunnel1 [MED:-] (メンテナンス中) Tunnel2 [MED:100] (メンテナンス済) 1-3. Tunnel1の置き換え時 Tunnel1はルーティングされていないため、通信断なし。 VGW CGW Tunnel2 [MED:200] (メンテナンス済) Tunnel2 [MED:100] (メンテナンス済) 1-4. Tunnel1の置き換え後 Tunnel2へルーティングされたまま変化なし。 メンテナンス済を優先してくれる? 以降のメンテナンスで通信影響を与えない なんて優しい… VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:200] (メンテナンス保留中) 初期状態

6. © 2023 NTT DATA Corporation 6 機能詳細（2） 2023年4月1日～7月18日の間に自環境でメンテナンスが計画されたため、 下記の通り、VPNトンネル置き換えを実施してみました（初期状態は右図通り） 2.

   ルーティングされているVPNトンネルから置き換え VGW CGW Tunnel1 [MED:-] (メンテナンス中) Tunnel2 [MED:100] (メンテナンス保留中) 2-1. Tunnel1の置き換え時 Tunnel2へルーティングのうえTunnel1を置き換え、通信断なし。 VGW CGW Tunnel1 [MED:100] (メンテナンス済) Tunnel2 [MED:200] (メンテナンス保留中) 2-2. Tunnel1の置き換え後 Tunnel1へルーティングされるが、通信断なし。 VGW CGW Tunnel1 [MED:100] (メンテナンス済) Tunnel2 [MED:-] (メンテナンス中) 2-3. Tunnel2の置き換え時 Tunnel2はルーティングされていないため、通信断なし。 VGW CGW Tunnel2 [MED:100] (メンテナンス済) Tunnel2 [MED:200] (メンテナンス済) 2-4. Tunnel2の置き換え後 Tunnel1へルーティングされたまま変化なし。 わざわざ別トンネルへ ルーティング変更のうえ置き換えてくれる なんて優しい… VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:200] (メンテナンス保留中) 初期状態

7. © 2023 NTT DATA Corporation 7 使いどころ（1） 一つ目は、ユーザの好きなタイミングでメンテナンスしたいケース です（一見当たり前のように思われますが、意外と少ない）。 実はメンテナンスの自動適用日まで放ったらかしでも、P5～6同様の動作でメンテナンスが通信断なく実施されます[2]

   そのため、ユーザがメンテナンスのタイミングを敢えて制御したいケースは中々無いかと思います。 では敢えて制御したいケースは?と言うと、、、 1. VPNトンネルが単一構成で、メンテナンス時に通信断が発生するため、 通信断が許容できるタイミングでメンテナンスしたいケース（オフィシャルサイト記載のユースケース） 2. VPNトンネルの状態変化によって、監視アラームが鳴動するなどの影響を受けるため、 VPNトンネルの状態変化のタイミングを指定したいケース（オフィシャルサイト記載のユースケース） 3. VPNトンネルは冗⾧構成だが、万が一ルーティング自動変更が失敗する可能性を考慮し、 通信断が許容できるタイミングでメンテナンスしたいケース [2] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html

8. © 2023 NTT DATA Corporation 8 使いどころ（2） 二つ目は、Site-to-Site VPNの疑似メンテナンステストを事前に実施したいケース です。

   メンテナンス時におけるルーティング自動変更は、Site-to-Site VPNを作成するだけで動作するわけでなく、 CGW(オンプレミスルータなど)のBGPパラメータによっては上手く動作しない可能性があります[3]。 いままでは疑似的にメンテナンスを発生させることができず、パラメータの妥当性を事前にテストできませんでしたが、 これからはVPNトンネル置き換え機能を用いてテストできるようになりました（本機能はメンテナンス有無問わず実行可能） 考え方としては、様々な障害に対するテスト機能がAWSより提供されていますが、同様に、運用中に起こりうる動作・状態を 事前に確認しておくという観点では、こうしたメンテナンス動作も考慮しテストしておくことは有効かと考えます。 VGW DXGW DirectConnect DirectConnect Router Router VIF VIF Router Router TGW TGW ConnectAttach VGW CGW Site-to-Site VPN DirectConnect 障害 VIFフェイルオーバーテスト 機能 EC2 障害 FIS (Fault Injection Simulator) 機能 Site-to-Site VPN メンテナンス VPNトンネル置き換え 機能 [3] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html

9. © 2023 NTT DATA Corporation 9 まとめ 1. メンテナンス適用の動作としては、適用後にメンテナンス済のトンネルにルーティングを自動変更してくれたり、 適用前に適用対象でないトンネルにルーティングを自動変更してくれたりと優しいつくりになっている。

   2. 使いどころとしては、ユーザが好きなタイミングでメンテナンスしたいケース(意外と少ない)のほか、 疑似メンテナンステストを実施したいケースなども有効だと考えられる。

10. © 2023 NTT DATA Corporation © 2023 NTT DATA Corporation

11. © 2023 NTT DATA Corporation 11 (参考情報) マネジメントコンソール画面 ライフサイクル制御機能を有効化・無効化 トンネル切断が発生するため要注意!!!

    メンテナンスを実行(VPNトンネルを置き換え) トンネル切断が発生するため要注意!!! 保留中のメンテナンス有無、 自動適用日、最終適用日を表示 VPC ≫ Site to Site VPN接続 アクション ≫ VPNトンネルオプションを変更 アクション ≫ (もしくは、トンネル状態 ≫ 保留中のメンテナンス ≫ 利用可能 ≫) VPNトンネルの置き換え