Soumettre la recherche
Mettre en ligne
[HIGOBASHI.AWS] AWSでソフトウェアVPNを使う-キホンの「キ」-
•
2 j'aime
•
4,495 vues
Atsushi Marumo
Suivre
AWS環境でソフトウェアVPNを使う場合の基本構成、気をつけたいポイントについて。
Lire moins
Lire la suite
Technologie
Signaler
Partager
Signaler
Partager
1 sur 41
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Azure Search 大全
Azure Search 大全
Daiyu Hatakeyama
ガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツール
賢 秋穂
Ingress on Azure Kubernetes Service
Ingress on Azure Kubernetes Service
Toru Makabe
Secured API Acceleration with Engineers from Amazon CloudFront and Slack
Secured API Acceleration with Engineers from Amazon CloudFront and Slack
Amazon Web Services
vert.x - asynchronous event-driven web applications on the JVM
vert.x - asynchronous event-driven web applications on the JVM
jbandi
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方
Yoshiyasu SAEKI
NW-JAWS x Tech-on勉強会:AWS Transit Gateway で広がるネットワークアーキテクチャ
NW-JAWS x Tech-on勉強会:AWS Transit Gateway で広がるネットワークアーキテクチャ
Shuji Kikuchi
Dep005 azure ネットワーク設計
Dep005 azure ネットワーク設計
Tech Summit 2016
Recommandé
Azure Search 大全
Azure Search 大全
Daiyu Hatakeyama
ガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツール
賢 秋穂
Ingress on Azure Kubernetes Service
Ingress on Azure Kubernetes Service
Toru Makabe
Secured API Acceleration with Engineers from Amazon CloudFront and Slack
Secured API Acceleration with Engineers from Amazon CloudFront and Slack
Amazon Web Services
vert.x - asynchronous event-driven web applications on the JVM
vert.x - asynchronous event-driven web applications on the JVM
jbandi
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方
Yoshiyasu SAEKI
NW-JAWS x Tech-on勉強会:AWS Transit Gateway で広がるネットワークアーキテクチャ
NW-JAWS x Tech-on勉強会:AWS Transit Gateway で広がるネットワークアーキテクチャ
Shuji Kikuchi
Dep005 azure ネットワーク設計
Dep005 azure ネットワーク設計
Tech Summit 2016
LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版
LINE Corporation
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
Amazon Web Services Japan
NetflixにおけるPresto/Spark活用事例
NetflixにおけるPresto/Spark活用事例
Amazon Web Services Japan
NGINX Plus on AWS
NGINX Plus on AWS
Amazon Web Services
MHA for MySQLとDeNAのオープンソースの話
MHA for MySQLとDeNAのオープンソースの話
Yoshinori Matsunobu
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Yoichi Kawasaki
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
ShuheiUda
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
My sqlで2億件のシリアルデータと格闘した話
My sqlで2億件のシリアルデータと格闘した話
saiken3110
MySQL 5.7とレプリケーションにおける改良
MySQL 5.7とレプリケーションにおける改良
Shinya Sugiyama
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX, Inc.
Twitter의 snowflake 소개 및 활용
Twitter의 snowflake 소개 및 활용
흥배 최
そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?
takezoe
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
IaC事始め Infrastructure as Code やってみる?
IaC事始め Infrastructure as Code やってみる?
大使 梶原
AKS と ACI を組み合わせて使ってみた
AKS と ACI を組み合わせて使ってみた
Hideaki Aoyagi
Azure Web PubSub Serviceを触ってみた
Azure Web PubSub Serviceを触ってみた
DevTakas
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
Emma Haruka Iwao
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話
Noritaka Sekiyama
Serverless AWS構成でセキュアなSPAを目指す
Serverless AWS構成でセキュアなSPAを目指す
Masayuki Kato
Contenu connexe
Tendances
LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版
LINE Corporation
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
Amazon Web Services Japan
NetflixにおけるPresto/Spark活用事例
NetflixにおけるPresto/Spark活用事例
Amazon Web Services Japan
NGINX Plus on AWS
NGINX Plus on AWS
Amazon Web Services
MHA for MySQLとDeNAのオープンソースの話
MHA for MySQLとDeNAのオープンソースの話
Yoshinori Matsunobu
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Yoichi Kawasaki
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
ShuheiUda
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
My sqlで2億件のシリアルデータと格闘した話
My sqlで2億件のシリアルデータと格闘した話
saiken3110
MySQL 5.7とレプリケーションにおける改良
MySQL 5.7とレプリケーションにおける改良
Shinya Sugiyama
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX, Inc.
Twitter의 snowflake 소개 및 활용
Twitter의 snowflake 소개 및 활용
흥배 최
そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?
takezoe
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
IaC事始め Infrastructure as Code やってみる?
IaC事始め Infrastructure as Code やってみる?
大使 梶原
AKS と ACI を組み合わせて使ってみた
AKS と ACI を組み合わせて使ってみた
Hideaki Aoyagi
Azure Web PubSub Serviceを触ってみた
Azure Web PubSub Serviceを触ってみた
DevTakas
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
Emma Haruka Iwao
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
Tendances
(20)
LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
[AWS Summit 2012] クラウドデザインパターン#5 CDP バッチ処理編
NetflixにおけるPresto/Spark活用事例
NetflixにおけるPresto/Spark活用事例
NGINX Plus on AWS
NGINX Plus on AWS
MHA for MySQLとDeNAのオープンソースの話
MHA for MySQLとDeNAのオープンソースの話
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
My sqlで2億件のシリアルデータと格闘した話
My sqlで2億件のシリアルデータと格闘した話
MySQL 5.7とレプリケーションにおける改良
MySQL 5.7とレプリケーションにおける改良
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
Twitter의 snowflake 소개 및 활용
Twitter의 snowflake 소개 및 활용
そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
IaC事始め Infrastructure as Code やってみる?
IaC事始め Infrastructure as Code やってみる?
AKS と ACI を組み合わせて使ってみた
AKS と ACI を組み合わせて使ってみた
Azure Web PubSub Serviceを触ってみた
Azure Web PubSub Serviceを触ってみた
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
Similaire à [HIGOBASHI.AWS] AWSでソフトウェアVPNを使う-キホンの「キ」-
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話
Noritaka Sekiyama
Serverless AWS構成でセキュアなSPAを目指す
Serverless AWS構成でセキュアなSPAを目指す
Masayuki Kato
怒涛のAWS入門! クラウドプラクティショナー! 知ってました? あなた、クラウドプラクティショナーなんですよ。
怒涛のAWS入門! クラウドプラクティショナー! 知ってました? あなた、クラウドプラクティショナーなんですよ。
Mitsuhiro Yamashita
CDN and WAF
CDN and WAF
Shigeru Yokochi
AWS Black Belt Online Seminar 2018 ReInvent recap security other
AWS Black Belt Online Seminar 2018 ReInvent recap security other
Amazon Web Services Japan
エンジニア向け初めてのAWS (2015年1月6日)
エンジニア向け初めてのAWS (2015年1月6日)
Koichiro Nishijima
AWSの勉強は試して試して楽しんで (AWS認定DVA本書きました)
AWSの勉強は試して試して楽しんで (AWS認定DVA本書きました)
Mitsuhiro Yamashita
AWS Black Belt Online Seminar 2017 AWS re:Invent 2017速報
AWS Black Belt Online Seminar 2017 AWS re:Invent 2017速報
Amazon Web Services Japan
20181218 awsreinvent report
20181218 awsreinvent report
富士通クラウドテクノロジーズ株式会社
AWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
AWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャ
真吾 吉田
PHP開発とクラウド
PHP開発とクラウド
晋也 古渡
Security Operations and Automation on AWS
Security Operations and Automation on AWS
Noritaka Sekiyama
2018/9/11 SAP on AWS お客様事例セミナー@東京(BeeX資料2/2)
2018/9/11 SAP on AWS お客様事例セミナー@東京(BeeX資料2/2)
BeeX.inc
今年リリースされたAWSサービスどれぐらい知ってますか?年末振り返り会
今年リリースされたAWSサービスどれぐらい知ってますか?年末振り返り会
Aya Komuro
Serverless for VUI
Serverless for VUI
真吾 吉田
【HinemosWorld2014】B1-4_NTTデータ先端技術のOpenStack Hinemosソリューション
【HinemosWorld2014】B1-4_NTTデータ先端技術のOpenStack Hinemosソリューション
Hinemos
AWS認定クラウド プラクティショナー って何?
AWS認定クラウド プラクティショナー って何?
Mitsuhiro Yamashita
チラ見せ! マイソースファクトリーでのAws活用 修正
チラ見せ! マイソースファクトリーでのAws活用 修正
Yutaka Fujisaki
JAWS DAYS 2017 Mafia Talk
JAWS DAYS 2017 Mafia Talk
真吾 吉田
Similaire à [HIGOBASHI.AWS] AWSでソフトウェアVPNを使う-キホンの「キ」-
(20)
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話
Serverless AWS構成でセキュアなSPAを目指す
Serverless AWS構成でセキュアなSPAを目指す
怒涛のAWS入門! クラウドプラクティショナー! 知ってました? あなた、クラウドプラクティショナーなんですよ。
怒涛のAWS入門! クラウドプラクティショナー! 知ってました? あなた、クラウドプラクティショナーなんですよ。
CDN and WAF
CDN and WAF
AWS Black Belt Online Seminar 2018 ReInvent recap security other
AWS Black Belt Online Seminar 2018 ReInvent recap security other
エンジニア向け初めてのAWS (2015年1月6日)
エンジニア向け初めてのAWS (2015年1月6日)
AWSの勉強は試して試して楽しんで (AWS認定DVA本書きました)
AWSの勉強は試して試して楽しんで (AWS認定DVA本書きました)
AWS Black Belt Online Seminar 2017 AWS re:Invent 2017速報
AWS Black Belt Online Seminar 2017 AWS re:Invent 2017速報
20181218 awsreinvent report
20181218 awsreinvent report
AWS WAF Security Automation
AWS WAF Security Automation
AWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャ
PHP開発とクラウド
PHP開発とクラウド
Security Operations and Automation on AWS
Security Operations and Automation on AWS
2018/9/11 SAP on AWS お客様事例セミナー@東京(BeeX資料2/2)
2018/9/11 SAP on AWS お客様事例セミナー@東京(BeeX資料2/2)
今年リリースされたAWSサービスどれぐらい知ってますか?年末振り返り会
今年リリースされたAWSサービスどれぐらい知ってますか?年末振り返り会
Serverless for VUI
Serverless for VUI
【HinemosWorld2014】B1-4_NTTデータ先端技術のOpenStack Hinemosソリューション
【HinemosWorld2014】B1-4_NTTデータ先端技術のOpenStack Hinemosソリューション
AWS認定クラウド プラクティショナー って何?
AWS認定クラウド プラクティショナー って何?
チラ見せ! マイソースファクトリーでのAws活用 修正
チラ見せ! マイソースファクトリーでのAws活用 修正
JAWS DAYS 2017 Mafia Talk
JAWS DAYS 2017 Mafia Talk
Dernier
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
Dernier
(9)
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
[HIGOBASHI.AWS] AWSでソフトウェアVPNを使う-キホンの「キ」-
1.
2018.5.24 Atsushi Marumo AWSでソフトウェアVPNを使う -キホンの「キ」-
2.
2自己紹介 @marumo1981 丸毛 篤史 ・クラスメソッド AWS事業部 AWS
ソリューションアーキテクト ・SIer で 18年 インフラエンジニア 2018年1月 クラスメソッドに Join ・2018年5月 なんとかAWS認定 5冠
3.
3話すこと・話さないこと #higobashiaws #akibaaws ・話すこと ・おもにリモートアクセスVPN ・AWS環境でシンプルな構成 ・気を付けたいポイント ・話さないこと ・VPNの仕組み・概念とか ・細かい設定手順、VPNソフトの比較とか
4.
4 #higobashiaws #akibaaws ソフトウェアVPN
5.
5ソフトウェアVPN is 何? #higobashiaws
#akibaaws ・ そもそも VPN is 何? ・ Virtual Private Network ・ インターネット上の拠点間通信をカプセル化し 仮想的な専用線のようにつなぐ ・ VPNの種類 ・ IP-VPN ・ インターネットVPN
6.
6ソフトウェアVPN is 何? #higobashiaws
#akibaaws ・ そもそも VPN って? ・ Virtual Private Network ・ インターネット上の拠点間通信をカプセル化し 仮想的な専用線のようにつなぐ ・ VPNの種類 ・ IP-VPN →「AWS Direct Connect」 ・ インターネットVPN →「ハードウェアVPN」「ソフトウェアVPN」
7.
7ソフトウェアVPN is 何? #higobashiaws
#akibaaws ・ハードウェアVPN VPNルータ(IPsec)から接続するための コンポーネントがサービスとして提供 VPNトンネル VPNトンネル VGW CGW
8.
8ソフトウェアVPN is 何? #higobashiaws
#akibaaws ・ハードウェアVPN =AWSマネージドVPN VPNトンネル VPNトンネル VPNルータ(IPsec)から接続するための コンポーネントがサービスとして提供 VGW CGW
9.
9ソフトウェアVPN is 何? #higobashiaws
#akibaaws ・ソフトウェアVPN VPNトンネル VPN Server の構築・運用はユーザで行う。 (スケーリング、可用性 なども検討) VPN Server
10.
10ソフトウェアVPN is 何? #higobashiaws
#akibaaws ・ソフトウェアVPN =セルフマネージドVPN VPNトンネル VPN Server の構築・運用はユーザで行う。 (スケーリング、可用性 なども検討) VPN Server
11.
11ソフトウェアVPN ・VPN接続方式 - 拠点接続VPN ユーザ端末にクライアント ツールの導入不要 -リモートアクセスVPN ユーザ端末のクライアント ツールから接続 (PC,スマホ,タブレットなど) #higobashiaws #akibaaws
12.
12 #higobashiaws #akibaaws AWS環境でのソフトウェアVPN構成
13.
13ソフトウェアVPN ・ 導入方法 ・ パッケージをDLして、EC2にインストール ・
AWS マーケットプレイスからLaunch #higobashiaws #akibaaws
14.
14ソフトウェアVPN ・ どれ選んだらええねん・・ ・フリーソフト/有償ライセンス ・事例、記事の多さ(Developers.IOとか ・日本語ドキュメント/サポート ・オリジナルの機能 ・VPN接続プロトコル ・ SSL-VPN,
L2TP/IPsec, MS-SSTP …etc ・「VPN プロトコル 比較」で検索 #higobashiaws #akibaaws
15.
15今回はOpenVPNで検証しました #higobashiaws #akibaaws OpenVPN Access
Server - Version:2.5.0 - OpenVPN とは違い、2デ バイスまで無料だが、3以上 から有償。 AWSマーケットプレイス版 - OS は Ubuntu16
16.
16AWS環境でのソフトウェアVPN構成 #higobashiaws #akibaaws 172.27.224.0/20 10.0.0.0/16 10.0.0.0/24
17.
17AWS環境でのソフトウェアVPN構成 #higobashiaws #akibaaws 10.0.0.0/16 10.0.0.0/24 ここを流れるIPアドレスはどっち? ・172.27.224.0/20? ・10.0.0.0/24? 172.27.224.0/20
18.
18正解は・・・ どっちでも! #higobashiaws #akibaaws
19.
19AWS環境でのソフトウェアVPN構成 #higobashiaws #akibaaws 10.0.0.0/16 10.0.0.0/24 ・172.27.x.x ▶ポートフォワーディング ・10.0.0.x
▶IPマスカレード 172.27.224.0/20 用語の定義があいまいですが、本資料では OpenVPN-AS の 以下のモードを指しているものとします。 ・ポートフォワーディング → ルーティングモード ・IPマスカレード → NATモード
20.
20 #higobashiaws #akibaaws ポートフォワーディング時の考慮
21.
21ポートフォワーディング時の考慮(1/4) #higobashiaws #akibaaws 10.0.0.0/16 10.0.0.0/24 172.27.224.0/20 172.27.224.x ▶「送信元/送信先チェックを無効化」 フォワーディングは、送信元/送信先が自身の アドレスではないが、トラフィックを送受信す る必要がある。
22.
22ポートフォワーディング時の考慮(2/4) #higobashiaws #akibaaws 10.0.0.0/16 10.0.0.0/24 172.27.224.0/20 ▶「戻りのルートを定義」 172.27.224.0/20
宛ては VPNサーバーの ENIに返るように、戻りのルートを追加する 172.27.224.x
23.
23ポートフォワーディング時の考慮(2/4) #higobashiaws #akibaaws
24.
24ポートフォワーディング時の考慮(2/4) #higobashiaws #akibaaws 172.27.224.x ルートテーブルの違うサブネットとの通信の 場合、相手側のルートテーブルにも戻りの ルートを追加する 172.27.224.0/20 10.0.0.0/16 10.0.0.0/2410.0.2.0/24
25.
25ポートフォワーディング時の考慮(3/4) #higobashiaws #akibaaws 10.0.0.0/16 10.0.0.0/24 172.27.224.0/20 172.27.224.x ▶「通信元のアドレスでSGを設定」 セキュリティグループは、通信元のアドレスで 設定することが可能
26.
26ポートフォワーディング時の考慮(4/4) #higobashiaws #akibaaws 172.27.224.x 172.27.224.0/20 10.0.0.0/16 10.0.0.0/24 ▶「IGWを抜けることは出来ません」 VPCの外に出ることは出来ません (ドロップされます) IGWに限らず、DX、VPCピアリングも同じ
27.
27 #higobashiaws #akibaaws IPマスカレード時の考慮
28.
28IPマスカレード #higobashiaws #akibaaws 10.0.0.0/16 10.0.0.0/24 172.27.224.0/20 10.0.0.x ▶「IPマスカレード」 送信元のアドレスは、VPNサーバーのプライ ベートIPに変換される 172.27.224.x
29.
29IPマスカレード時の考慮(1/2) #higobashiaws #akibaaws 10.0.0.0/16 10.0.0.0/24 172.27.224.0/20 10.0.0.x ▶「送信元フィルタはSGで出来ない」 VPC内のアクセスはVPNサーバのアドレス。 フィルタリングしたい場合は、AWSの機能以 外で頑張るしかない。 172.27.224.x
30.
30IPマスカレード時の考慮(2/2) #higobashiaws #akibaaws 172.27.224.x 172.27.224.0/20 10.0.0.0/16 10.0.0.0/24 ▶「端末のDGW設定に注意!」 誤った設定により、端末のDGWがVPN側を向い ていないか注意!
31.
31VPN構成のまとめ ・ポートフォワーディング - VPC内通信に限定 - 送信元によりSGを設定できる -
送信元/送信先チェック、戻りのルートが必要 ・IPマスカレード - VPC外通信が必要なら一択 - 送信元がVPNサーバに集約されるので管理は楽 (その分、細かい制限は難しい) #higobashiaws #akibaaws
32.
32 #higobashiaws #akibaaws VPNサーバの高可用性構成
33.
33VPNサーバの高可用性構成 #higobashiaws #akibaaws 10.0.1.0/24 10.0.0.0/24 172.27.224.0/20 192.27.224.0/20 ▶「マルチAZ配置」 AZ障害を想定し、マルチAZに配置
34.
34VPNサーバの高可用性構成 #higobashiaws #akibaaws 10.0.1.0/24 10.0.0.0/24 172.27.224.0/20 192.27.224.0/20 ▶「クライアントのIP範囲は分離」 戻り先が指定できなくなるため重複は避ける (port-forward)
35.
35VPNサーバの高可用性構成 #higobashiaws #akibaaws 10.0.1.0/24 10.0.0.0/24 172.27.224.0/20 192.27.224.0/20 ▶「DNSラウンドロビン」 Route53のマルチバリュー応答を利用 し、ラウンドロビンにアクセス先を割 り振る。異常時は health-check
によ り、自動的に応答を返さなくなる。
36.
36DNSラウンドロビン #higobashiaws #akibaaws ヘルスチェックを作成
37.
37DNSラウンドロビン #higobashiaws #akibaaws $ aws
route53 get-checker-ip-ranges { "CheckerIpRanges": [ "54.183.255.128/26", "54.228.16.0/26", "54.232.40.64/26", "54.241.32.64/26", "54.243.31.192/26", "54.244.52.192/26", "54.245.168.0/26", "54.248.220.0/26", "54.250.253.192/26", "54.251.31.128/26", "54.252.79.128/26", "54.252.254.192/26", "54.255.254.192/26", "107.23.255.0/26", "176.34.159.192/26", "177.71.207.128/26" ] } Route53のヘルスチェック送信元から 対象ポートへのアクセス許可が必要 (もしくはパブリック許可)
38.
38DNSラウンドロビン #higobashiaws #akibaaws
39.
39VPNサーバの高可用性構成 #higobashiaws #akibaaws 10.0.1.0/24 10.0.0.0/24 172.27.224.0/20 192.27.224.0/20 [ec2-user@ip-10-0-2-133 ~]$
who ec2-user pts/0 2018-05-23 10:47 (192.27.232.2) [ec2-user@ip-10-0-2-133 ~]$ who ec2-user pts/0 2018-05-23 10:47 (172.27.232.2)
40.
40VPNサーバの高可用性構成 #higobashiaws #akibaaws 10.0.1.0/24 10.0.0.0/24 172.27.224.0/20 192.27.224.0/20 ▶「ユーザ認証を外部に」 ラウンドロビンのため、各サーバで認証 情報を同期するのは面倒。 LDAPなど外部に持たせたほうが良い 認証サーバ
41.
41
Télécharger maintenant