Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for yamamototis1105 yamamototis1105
July 19, 2023
Technology
1.1k
0

Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ

JAWS-UG朝会#47(2023年7月19日)の資料です。

Avatar for yamamototis1105

yamamototis1105

July 19, 2023

More Decks by yamamototis1105

See All by yamamototis1105
AWS Interconnectによるマルチクラウド接続を検証して分かったことーマネージドによる設計簡素化ー
Avatar for yamamototis1105 yamamototis1105
2
330
AWS Well-Architected Frameworkに基づくハイブリッドネットワーキング要点ガイド
Avatar for yamamototis1105 yamamototis1105
3
370
AWS Networking RoadShow Gameday 2024 制覇に向けた学習のポイント
Avatar for yamamototis1105 yamamototis1105
0
220
AWS Cloud WAN 最新のアップデートと今後のグローバルネットワーク
Avatar for yamamototis1105 yamamototis1105
2
470
ハイブリッドクラウド接続検証環境をフル仮想化してみた
Avatar for yamamototis1105 yamamototis1105
0
150
NetworkMonitorによるDirectConnect異常検知および対処
Avatar for yamamototis1105 yamamototis1105
1
620
AWS DirectConnectパートナー選定時のチェックポイント
Avatar for yamamototis1105 yamamototis1105
0
700
DirectConnect上でSite to Site VPNでのプライベート接続に乗り換えてみた
Avatar for yamamototis1105 yamamototis1105
1
1.2k
AWSソリューションのCFnで学ぶNaC
Avatar for yamamototis1105 yamamototis1105
0
330

Other Decks in Technology

See All in Technology
情シスがMCP環境導入時に打ちのめされる認可の崖
Avatar for OpenID Foundation Japan oidfj
0
450
Javaで学ぶSOLID原則
Avatar for Negima negima
1
130
Amazon Bedrock 経由の Claude Cowork を試してみよう・MCP にも繋いでみよう
Avatar for Kazuya Sugimoto sugimomoto
0
190
AI時代から振り返るTerraform drift運用の歴史 / AI Age Reflections on the History of Terraform Drift Operations
Avatar for AEON aeonpeople
0
410
責任あるソフトウェアエンジニアリングの紹介4章・5章 / RSE_Ch4-5
Avatar for id ido_kara_deru
0
340
GitHub Copilot のこれまでとこれから: From Copilot to Collaborative Agents
Avatar for yuriemori yuriemori
1
190
実践 TanStack Start ― 新規プロダクトを開発して確立した、サーバーとクライアント境界の設計パターン / Practical TanStack Start Server-Client Boundary Patterns
Avatar for 株式会社カミナシ kaminashi
2
320
ルール・ロール・ツールを創る / Creating Rules, Roles and Tools
Avatar for Kenji Saito ks91
PRO
0
170
Gradle×GitHub_ActionsでCI時間を約50%短縮 ジョブ分割の設計と落とし穴 / Cutting CI Time by ~50% with Gradle and GitHub Actions: Job-Splitting Design and Pitfalls
Avatar for 冨澤宝斗 takatty
0
150
自称宇宙最速で不合格となったAIP-C01にリベンジを果たすべくAIで問題集アプリを作ってみた。
Avatar for Yuuki Yamashita yama3133
0
150
JavaScript実装の自作プログラミング言語をTypeScript実装に移行した話
Avatar for Keisuke Ikeda keisukeikeda
1
160
Typiaで配信JSONの安全性を構造的に担保する(TSKaigi2026)
Avatar for RightTouch righttouch
PRO
1
180

Featured

See All Featured
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.9k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
75
12k
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.3k
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
540
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3.1k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
10k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
76
5.2k
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
150k
A Soul's Torment
Avatar for Nat Ma seathinner
6
2.8k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
25k

Transcript

  1. © 2023 NTT DATA Corporation © 2023 NTT DATA Corporation

    JAWS-UG朝会 #47 「Site-to-Site VPNトンネルエンドポイントの ライフサイクル制御機能の使いどころ」 2023年7月19日 NTTデータ 山本 泰士

  2. © 2023 NTT DATA Corporation © 2023 NTT DATA Corporation

    2 自己紹介 山本 泰士 (やまもと たいし) 所属:NTTデータ ネットワークソリューション事業部 業務: • 金融機関向けの仮想アプライアンスを介したハイブリッドクラウド接続や AWS / GCPのマルチクラウド接続のネットワーク構築など • ServiceNow / AWS / Ansibleを連携したネットワーク自動化サービスの開発や運用 • クラウドネットワーク人財育成の社内研修 好きなAWSサービス: DirectConnect / Site to Site VPN / TransitGateway

  3. © 2023 NTT DATA Corporation 3 本日お話しする内容 AWSの最新情報[1]で検索可能なフィードのうち、Site to Site

    VPNに関わる最新アップデート(2023年4月1日時点)、 「AWS Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能」 についてご紹介します。 [1] https://aws.amazon.com/jp/new/ 本日お話しする内容

  4. © 2023 NTT DATA Corporation 4 機能概要 Site-to-Site VPNは、Amazon VPC~オンプレミス間をVPNで接続するサービスですが、

    今回の追加機能により、Site-to-Site VPNのメンテナンス情報が可視化されて制御できる ようになりました。 AWS On-premise VPC Instance VPN Gateway Customer Gateway Server User Site to Site VPN 保留中のメンテナンス有無、 自動適用日、最終適用日を表示 ユーザの好きなタイミングでメンテナンスを実行 (VPNトンネル置き換え) メンテナンスの対象VPN接続や 日時をユーザにメールで通知 1 3 2

  5. © 2023 NTT DATA Corporation 5 機能詳細(1) 2023年4月1日~7月18日の間に自環境でメンテナンスが計画されたため、 下記の通り、VPNトンネル置き換えを実施してみました(初期状態は右図通り) 1.

    ルーティングされていないVPNトンネルから置き換え VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:-] (メンテナンス中) 1-1. Tunnel2の置き換え時 Tunnel2はルーティングされていないため、通信断なし。 VGW CGW Tunnel1 [MED:200] (メンテナンス保留中) Tunnel2 [MED:100] (メンテナンス済) 1-2. Tunnel2の置き換え後 Tunnel2へルーティングされるが、通信断なし。 VGW CGW Tunnel1 [MED:-] (メンテナンス中) Tunnel2 [MED:100] (メンテナンス済) 1-3. Tunnel1の置き換え時 Tunnel1はルーティングされていないため、通信断なし。 VGW CGW Tunnel2 [MED:200] (メンテナンス済) Tunnel2 [MED:100] (メンテナンス済) 1-4. Tunnel1の置き換え後 Tunnel2へルーティングされたまま変化なし。 メンテナンス済を優先してくれる? 以降のメンテナンスで通信影響を与えない なんて優しい… VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:200] (メンテナンス保留中) 初期状態

  6. © 2023 NTT DATA Corporation 6 機能詳細(2) 2023年4月1日~7月18日の間に自環境でメンテナンスが計画されたため、 下記の通り、VPNトンネル置き換えを実施してみました(初期状態は右図通り) 2.

    ルーティングされているVPNトンネルから置き換え VGW CGW Tunnel1 [MED:-] (メンテナンス中) Tunnel2 [MED:100] (メンテナンス保留中) 2-1. Tunnel1の置き換え時 Tunnel2へルーティングのうえTunnel1を置き換え、通信断なし。 VGW CGW Tunnel1 [MED:100] (メンテナンス済) Tunnel2 [MED:200] (メンテナンス保留中) 2-2. Tunnel1の置き換え後 Tunnel1へルーティングされるが、通信断なし。 VGW CGW Tunnel1 [MED:100] (メンテナンス済) Tunnel2 [MED:-] (メンテナンス中) 2-3. Tunnel2の置き換え時 Tunnel2はルーティングされていないため、通信断なし。 VGW CGW Tunnel2 [MED:100] (メンテナンス済) Tunnel2 [MED:200] (メンテナンス済) 2-4. Tunnel2の置き換え後 Tunnel1へルーティングされたまま変化なし。 わざわざ別トンネルへ ルーティング変更のうえ置き換えてくれる なんて優しい… VGW CGW Tunnel1 [MED:100] (メンテナンス保留中) Tunnel2 [MED:200] (メンテナンス保留中) 初期状態

  7. © 2023 NTT DATA Corporation 7 使いどころ(1) 一つ目は、ユーザの好きなタイミングでメンテナンスしたいケース です(一見当たり前のように思われますが、意外と少ない)。 実はメンテナンスの自動適用日まで放ったらかしでも、P5~6同様の動作でメンテナンスが通信断なく実施されます[2]

    そのため、ユーザがメンテナンスのタイミングを敢えて制御したいケースは中々無いかと思います。 では敢えて制御したいケースは?と言うと、、、 1. VPNトンネルが単一構成で、メンテナンス時に通信断が発生するため、 通信断が許容できるタイミングでメンテナンスしたいケース(オフィシャルサイト記載のユースケース) 2. VPNトンネルの状態変化によって、監視アラームが鳴動するなどの影響を受けるため、 VPNトンネルの状態変化のタイミングを指定したいケース(オフィシャルサイト記載のユースケース) 3. VPNトンネルは冗⾧構成だが、万が一ルーティング自動変更が失敗する可能性を考慮し、 通信断が許容できるタイミングでメンテナンスしたいケース [2] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html

  8. © 2023 NTT DATA Corporation 8 使いどころ(2) 二つ目は、Site-to-Site VPNの疑似メンテナンステストを事前に実施したいケース です。

    メンテナンス時におけるルーティング自動変更は、Site-to-Site VPNを作成するだけで動作するわけでなく、 CGW(オンプレミスルータなど)のBGPパラメータによっては上手く動作しない可能性があります[3]。 いままでは疑似的にメンテナンスを発生させることができず、パラメータの妥当性を事前にテストできませんでしたが、 これからはVPNトンネル置き換え機能を用いてテストできるようになりました(本機能はメンテナンス有無問わず実行可能) 考え方としては、様々な障害に対するテスト機能がAWSより提供されていますが、同様に、運用中に起こりうる動作・状態を 事前に確認しておくという観点では、こうしたメンテナンス動作も考慮しテストしておくことは有効かと考えます。 VGW DXGW DirectConnect DirectConnect Router Router VIF VIF Router Router TGW TGW ConnectAttach VGW CGW Site-to-Site VPN DirectConnect 障害 VIFフェイルオーバーテスト 機能 EC2 障害 FIS (Fault Injection Simulator) 機能 Site-to-Site VPN メンテナンス VPNトンネル置き換え 機能 [3] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html

  9. © 2023 NTT DATA Corporation 9 まとめ 1. メンテナンス適用の動作としては、適用後にメンテナンス済のトンネルにルーティングを自動変更してくれたり、 適用前に適用対象でないトンネルにルーティングを自動変更してくれたりと優しいつくりになっている。

    2. 使いどころとしては、ユーザが好きなタイミングでメンテナンスしたいケース(意外と少ない)のほか、 疑似メンテナンステストを実施したいケースなども有効だと考えられる。

  10. © 2023 NTT DATA Corporation © 2023 NTT DATA Corporation

  11. © 2023 NTT DATA Corporation 11 (参考情報) マネジメントコンソール画面 ライフサイクル制御機能を有効化・無効化 トンネル切断が発生するため要注意!!!

    メンテナンスを実行(VPNトンネルを置き換え) トンネル切断が発生するため要注意!!! 保留中のメンテナンス有無、 自動適用日、最終適用日を表示 VPC ≫ Site to Site VPN接続 アクション ≫ VPNトンネルオプションを変更 アクション ≫ (もしくは、トンネル状態 ≫ 保留中のメンテナンス ≫ 利用可能 ≫) VPNトンネルの置き換え