Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ
Search
yamamototis1105
July 19, 2023
Technology
0
1k
Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ
JAWS-UG朝会#47(2023年7月19日)の資料です。
yamamototis1105
July 19, 2023
Tweet
Share
More Decks by yamamototis1105
See All by yamamototis1105
AWS Interconnectによるマルチクラウド接続を検証して分かったことーマネージドによる設計簡素化ー
yamamototis1105
2
280
AWS Well-Architected Frameworkに基づくハイブリッドネットワーキング要点ガイド
yamamototis1105
3
340
AWS Networking RoadShow Gameday 2024 制覇に向けた学習のポイント
yamamototis1105
0
200
AWS Cloud WAN 最新のアップデートと今後のグローバルネットワーク
yamamototis1105
1
440
ハイブリッドクラウド接続検証環境をフル仮想化してみた
yamamototis1105
0
140
NetworkMonitorによるDirectConnect異常検知および対処
yamamototis1105
0
590
AWS DirectConnectパートナー選定時のチェックポイント
yamamototis1105
0
670
DirectConnect上でSite to Site VPNでのプライベート接続に乗り換えてみた
yamamototis1105
1
1.1k
AWSソリューションのCFnで学ぶNaC
yamamototis1105
0
320
Other Decks in Technology
See All in Technology
実践 Datadog MCP Server
nulabinc
PRO
2
190
IBM Bobを使って、PostgreSQLのToDoアプリをDb2へ変換してみよう/202603_Dojo_Bob
mayumihirano
1
340
会社紹介資料 / Sansan Company Profile
sansan33
PRO
16
410k
Claude Code Skills 勉強会 (DevelersIO向けに調整済み) / claude code skills for devio
masahirokawahara
1
20k
楽しく学ぼう!コミュニティ入門 AWSと人が つむいできたストーリー
hiroramos4
PRO
1
200
S3はフラットである –AWS公式SDKにも存在した、 署名付きURLにおけるパストラバーサル脆弱性– / JAWS DAYS 2026
flatt_security
0
1.8k
AIエージェント、 社内展開の前に知っておきたいこと
oracle4engineer
PRO
2
120
20260311 ビジネスSWG活動報告(デジタルアイデンティティ人材育成推進WG Ph2 活動報告会)
oidfj
0
310
[E2]CCoEはAI指揮官へ。Bedrock×MCPで構築するコスト・セキュリティ自律運用基盤
taku1418
0
160
DevOpsエージェントで実現する!! AWS Well-Architected(W-A) を実現するシステム設計 / 20260307 Masaki Okuda
shift_evolve
PRO
3
750
Sansanでの認証基盤内製化と移行
sansantech
PRO
0
400
マルチアカウント環境でSecurity Hubの運用!導入の苦労とポイント / JAWS DAYS 2026
genda
0
650
Featured
See All Featured
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.1k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
24k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.3k
4 Signs Your Business is Dying
shpigford
187
22k
RailsConf 2023
tenderlove
30
1.4k
First, design no harm
axbom
PRO
2
1.1k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.2k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
231
22k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
118
110k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Navigating Team Friction
lara
192
16k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
190
Transcript
© 2023 NTT DATA Corporation © 2023 NTT DATA Corporation
JAWS-UG朝会 #47 「Site-to-Site VPNトンネルエンドポイントの ライフサイクル制御機能の使いどころ」 2023年7月19日 NTTデータ 山本 泰士
© 2023 NTT DATA Corporation © 2023 NTT DATA Corporation
2 自己紹介 山本 泰士 (やまもと たいし) 所属:NTTデータ ネットワークソリューション事業部 業務: • 金融機関向けの仮想アプライアンスを介したハイブリッドクラウド接続や AWS / GCPのマルチクラウド接続のネットワーク構築など • ServiceNow / AWS / Ansibleを連携したネットワーク自動化サービスの開発や運用 • クラウドネットワーク人財育成の社内研修 好きなAWSサービス: DirectConnect / Site to Site VPN / TransitGateway
© 2023 NTT DATA Corporation 3 本日お話しする内容 AWSの最新情報[1]で検索可能なフィードのうち、Site to Site
VPNに関わる最新アップデート(2023年4月1日時点)、 「AWS Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能」 についてご紹介します。 [1] https://aws.amazon.com/jp/new/ 本日お話しする内容
© 2023 NTT DATA Corporation 4 機能概要 Site-to-Site VPNは、Amazon VPC~オンプレミス間をVPNで接続するサービスですが、
今回の追加機能により、Site-to-Site VPNのメンテナンス情報が可視化されて制御できる ようになりました。 AWS On-premise VPC Instance VPN Gateway Customer Gateway Server User Site to Site VPN 保留中のメンテナンス有無、 自動適用日、最終適用日を表示 ユーザの好きなタイミングでメンテナンスを実行 (VPNトンネル置き換え) メンテナンスの対象VPN接続や 日時をユーザにメールで通知 1 3 2
© 2023 NTT DATA Corporation 5 機能詳細(1) 2023年4月1日~7月18日の間に自環境でメンテナンスが計画されたため、 下記の通り、VPNトンネル置き換えを実施してみました(初期状態は右図通り) 1.
ルーティングされていないVPNトンネルから置き換え VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:-] (メンテナンス中) 1-1. Tunnel2の置き換え時 Tunnel2はルーティングされていないため、通信断なし。 VGW CGW Tunnel1 [MED:200] (メンテナンス保留中) Tunnel2 [MED:100] (メンテナンス済) 1-2. Tunnel2の置き換え後 Tunnel2へルーティングされるが、通信断なし。 VGW CGW Tunnel1 [MED:-] (メンテナンス中) Tunnel2 [MED:100] (メンテナンス済) 1-3. Tunnel1の置き換え時 Tunnel1はルーティングされていないため、通信断なし。 VGW CGW Tunnel2 [MED:200] (メンテナンス済) Tunnel2 [MED:100] (メンテナンス済) 1-4. Tunnel1の置き換え後 Tunnel2へルーティングされたまま変化なし。 メンテナンス済を優先してくれる? 以降のメンテナンスで通信影響を与えない なんて優しい… VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:200] (メンテナンス保留中) 初期状態
© 2023 NTT DATA Corporation 6 機能詳細(2) 2023年4月1日~7月18日の間に自環境でメンテナンスが計画されたため、 下記の通り、VPNトンネル置き換えを実施してみました(初期状態は右図通り) 2.
ルーティングされているVPNトンネルから置き換え VGW CGW Tunnel1 [MED:-] (メンテナンス中) Tunnel2 [MED:100] (メンテナンス保留中) 2-1. Tunnel1の置き換え時 Tunnel2へルーティングのうえTunnel1を置き換え、通信断なし。 VGW CGW Tunnel1 [MED:100] (メンテナンス済) Tunnel2 [MED:200] (メンテナンス保留中) 2-2. Tunnel1の置き換え後 Tunnel1へルーティングされるが、通信断なし。 VGW CGW Tunnel1 [MED:100] (メンテナンス済) Tunnel2 [MED:-] (メンテナンス中) 2-3. Tunnel2の置き換え時 Tunnel2はルーティングされていないため、通信断なし。 VGW CGW Tunnel2 [MED:100] (メンテナンス済) Tunnel2 [MED:200] (メンテナンス済) 2-4. Tunnel2の置き換え後 Tunnel1へルーティングされたまま変化なし。 わざわざ別トンネルへ ルーティング変更のうえ置き換えてくれる なんて優しい… VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:200] (メンテナンス保留中) 初期状態
© 2023 NTT DATA Corporation 7 使いどころ(1) 一つ目は、ユーザの好きなタイミングでメンテナンスしたいケース です(一見当たり前のように思われますが、意外と少ない)。 実はメンテナンスの自動適用日まで放ったらかしでも、P5~6同様の動作でメンテナンスが通信断なく実施されます[2]
そのため、ユーザがメンテナンスのタイミングを敢えて制御したいケースは中々無いかと思います。 では敢えて制御したいケースは?と言うと、、、 1. VPNトンネルが単一構成で、メンテナンス時に通信断が発生するため、 通信断が許容できるタイミングでメンテナンスしたいケース(オフィシャルサイト記載のユースケース) 2. VPNトンネルの状態変化によって、監視アラームが鳴動するなどの影響を受けるため、 VPNトンネルの状態変化のタイミングを指定したいケース(オフィシャルサイト記載のユースケース) 3. VPNトンネルは冗⾧構成だが、万が一ルーティング自動変更が失敗する可能性を考慮し、 通信断が許容できるタイミングでメンテナンスしたいケース [2] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html
© 2023 NTT DATA Corporation 8 使いどころ(2) 二つ目は、Site-to-Site VPNの疑似メンテナンステストを事前に実施したいケース です。
メンテナンス時におけるルーティング自動変更は、Site-to-Site VPNを作成するだけで動作するわけでなく、 CGW(オンプレミスルータなど)のBGPパラメータによっては上手く動作しない可能性があります[3]。 いままでは疑似的にメンテナンスを発生させることができず、パラメータの妥当性を事前にテストできませんでしたが、 これからはVPNトンネル置き換え機能を用いてテストできるようになりました(本機能はメンテナンス有無問わず実行可能) 考え方としては、様々な障害に対するテスト機能がAWSより提供されていますが、同様に、運用中に起こりうる動作・状態を 事前に確認しておくという観点では、こうしたメンテナンス動作も考慮しテストしておくことは有効かと考えます。 VGW DXGW DirectConnect DirectConnect Router Router VIF VIF Router Router TGW TGW ConnectAttach VGW CGW Site-to-Site VPN DirectConnect 障害 VIFフェイルオーバーテスト 機能 EC2 障害 FIS (Fault Injection Simulator) 機能 Site-to-Site VPN メンテナンス VPNトンネル置き換え 機能 [3] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html
© 2023 NTT DATA Corporation 9 まとめ 1. メンテナンス適用の動作としては、適用後にメンテナンス済のトンネルにルーティングを自動変更してくれたり、 適用前に適用対象でないトンネルにルーティングを自動変更してくれたりと優しいつくりになっている。
2. 使いどころとしては、ユーザが好きなタイミングでメンテナンスしたいケース(意外と少ない)のほか、 疑似メンテナンステストを実施したいケースなども有効だと考えられる。
© 2023 NTT DATA Corporation © 2023 NTT DATA Corporation
© 2023 NTT DATA Corporation 11 (参考情報) マネジメントコンソール画面 ライフサイクル制御機能を有効化・無効化 トンネル切断が発生するため要注意!!!
メンテナンスを実行(VPNトンネルを置き換え) トンネル切断が発生するため要注意!!! 保留中のメンテナンス有無、 自動適用日、最終適用日を表示 VPC ≫ Site to Site VPN接続 アクション ≫ VPNトンネルオプションを変更 アクション ≫ (もしくは、トンネル状態 ≫ 保留中のメンテナンス ≫ 利用可能 ≫) VPNトンネルの置き換え
yamamototis1105
nulabinc
mayumihirano
sansan33
masahirokawahara
hiroramos4
flatt_security
oracle4engineer
.png){kind=avatar}
oidfj
taku1418
shift_evolve
sansantech
genda
addyosmani
kevinliebholz
shpigford
tenderlove
axbom
mraible
danielanewman
twada
aarron
lara
techseoconnect
![© 2023 NTT DATA Corporation 3 本日お話しする内容 AWSの最新情報[1]で検索可能なフィードのうち、Site to Site](https://files.speakerdeck.com/presentations/b2e8f64f35a44400803dcc9462003c1a/slide_2.jpg){kind=link}
![© 2023 NTT DATA Corporation 7 使いどころ(1) 一つ目は、ユーザの好きなタイミングでメンテナンスしたいケース です(一見当たり前のように思われますが、意外と少ない)。 実はメンテナンスの自動適用日まで放ったらかしでも、P5~6同様の動作でメンテナンスが通信断なく実施されます[2]](https://files.speakerdeck.com/presentations/b2e8f64f35a44400803dcc9462003c1a/slide_6.jpg){kind=link}
