SlideShare une entreprise Scribd logo

オンプレとAWSをつなぐVPNとルーティング

Tomonori Takada
Tomonori Takada

2016/8/26 KIXS発表資料

Technologie
1  sur  15
Télécharger pour lire hors ligne
Kyusyu Infrastructure eXchange Study https://www.facebook.com/groups/228512457541776/ KIXS.Vol.000 オンプレとAWSをつなぐ VPNとルーティング 髙⽥ 知典
Kyusyu Infrastructure eXchange Study ⾃⼰紹介 たかだ とものり l @to_takada l 株式会社サーバーワークス 福岡オフィス所属 l 保有資格 l ポケモンGO トレーナーLv.22(⾮課⾦) 1
Kyusyu Infrastructure eXchange Study 2 オンプレミスとAWSをつなぎ隊 vpn MODEL firewall MODEL server MODEL DMZ 198.51.100.0/24 Trust 192.168.1.0/24 server MODEL Server-subnet 172.16.0.0/24 Elastic Load Balancing instances Amazon RDS Databese-subnet 172.16.1.0/24 独⽴した論理ネットワークの単位 プライベートIPアドレスで /28 および/16 の範囲でCIDR定義が可能
Kyusyu Infrastructure eXchange Study 3 オンプレミスとAWSの接続 l 3つの接続⽅法 l インターネットVPN接続(IPsec) l AWS Direct Connectを使った専⽤線接続 l EC2インスタンス(仮想マシン)上にVPNソ フトウェアを動作させる
Kyusyu Infrastructure eXchange Study 4 インターネットVPN接続の構成例(シングル構成) • トンネルモード • AES128bit • 2本のVPNコネクション • ルーティング • BGP or 静的 • 1つのVPCあたり1つ • 単⼀障害点や帯域のボトルネック は存在しない • データセンター側のルータ/FW • 暗号化処理前のフラグメントが必須 • IPsec Dead peer Detectionの利⽤ が推奨 出典: https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS- BlackBelt-VPC_public.pdf 38ページ
Kyusyu Infrastructure eXchange Study 5 CGWとして使⽤できるルーター 出典: https://aws.amazon.com/jp/vpc/faqs/#C9
Kyusyu Infrastructure eXchange Study 6 2本のVPNのコネクションの使われ⽅ customer gateway router VPN gateway router • オンプレミス側からAWS側への通信は正常時、⽚⽅のコネクションに寄る • VPN gateway側から、MED値により優先経路が通知されている模様(マニュア ル等に記載はないが。。。) • AWS側からオンプレミス側への通信の制御する場合は、後述の⽅法をとる。 • 同⼀物理回線上のコネクションなので、どちらが使われても問題ない BGP ASN:65000 BGP ASN:10124 VPN connection VPN connection
Kyusyu Infrastructure eXchange Study 7 出典: https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS- BlackBelt-VPC_public.pdf 39ページ インターネットVPN接続の構成例(冗⻑構成)
Kyusyu Infrastructure eXchange Study 8 Customer gatewayを冗⻑化した場合の経路選択 customer gateway router VPN gateway router BGP ASN:65000BGP ASN:10124 customer gateway VPN connection VPN connection VPN connection VPN connection ⾚と⻘の物理回線速度が異なる場合など、優先的に使⽤ する経路を選択したい 1000Mbps 100Mbps
Kyusyu Infrastructure eXchange Study 9 冗⻑化構成の場合の経路選択(オンプレ→AWS) customer gateway router VPN gateway router BGP ASN:65000BGP ASN:10124 customer gateway VPN connection VPN connection VPN connection VRRP Customer gatewayで採⽤している冗⻑化⽅式/ルーティング⽅式次第 (下図はVRRP) Active Passive MED値:100 MED値:200 ①到達ルータ ② MED値に よる経路 選択 1000Mbps 100Mbps
Kyusyu Infrastructure eXchange Study 10 冗⻑構成の場合の経路選択(AWS→オンプレ) 1. ロンゲストマッチ 2. スタティックルート 3. AS-PATH 4. PATHのORIGIN 5. ルーターID(最⼩) 6. BGPピアのIPアドレス(最⼩) 参考) http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/NetworkAdminGuid e/Introduction.html AS-PATH:65000,65000 1000Mbps 100Mbps
Kyusyu Infrastructure eXchange Study 11
Kyusyu Infrastructure eXchange Study 12 素朴な疑問 Customer Gatewayで設定した ねずっち MED値で制御できないのか? MED値:200 MED値:100
Kyusyu Infrastructure eXchange Study 13 答え できるっぽいが、サポート対象外っぽいです。
Kyusyu Infrastructure eXchange Study 14 まとめ • AWSとオンプレミスとは、インターネットVPN を使って⽐較的⼿軽に接続することができます。 • AWS側からオンプレミス側への通信経路選択に は、AS-PATHを使うとよいです。 • オンプレミス側からAWS側への通信経路選択は、 Customer Gatewayの構成内容にもよりますが、 AWS側から渡される経路属性をそのま使うとい です。

Recommandé

Amazon VPC説明資料
Amazon VPC説明資料Amazon VPC説明資料
Amazon VPC説明資料
Serverworks Co.,Ltd.
 
AWS NAT Gateway Test(Japanese)
AWS NAT Gateway Test(Japanese)AWS NAT Gateway Test(Japanese)
AWS NAT Gateway Test(Japanese)
laporz
 
[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)
[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)
[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)
Amazon Web Services Japan
 
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
SORACOM, INC
 
0から始めるVPC
0から始めるVPC0から始めるVPC
0から始めるVPC
クラスメソッド株式会社
 
[AWSマイスターシリーズ] Amazon VPC
[AWSマイスターシリーズ] Amazon VPC[AWSマイスターシリーズ] Amazon VPC
[AWSマイスターシリーズ] Amazon VPC
Amazon Web Services Japan
 
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
Amazon Web Services Japan
 
Amazon VPCトレーニング-NATインスタンスの作成方法
Amazon VPCトレーニング-NATインスタンスの作成方法 Amazon VPCトレーニング-NATインスタンスの作成方法
Amazon VPCトレーニング-NATインスタンスの作成方法
Amazon Web Services Japan
 

Recommandé

Amazon VPC説明資料
Amazon VPC説明資料Amazon VPC説明資料
Amazon VPC説明資料
Serverworks Co.,Ltd.
 
AWS NAT Gateway Test(Japanese)
AWS NAT Gateway Test(Japanese)AWS NAT Gateway Test(Japanese)
AWS NAT Gateway Test(Japanese)
laporz
 
[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)
[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)
[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)
Amazon Web Services Japan
 
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
SORACOM, INC
 
0から始めるVPC
0から始めるVPC0から始めるVPC
0から始めるVPC
クラスメソッド株式会社
 
[AWSマイスターシリーズ] Amazon VPC
[AWSマイスターシリーズ] Amazon VPC[AWSマイスターシリーズ] Amazon VPC
[AWSマイスターシリーズ] Amazon VPC
Amazon Web Services Japan
 
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
Amazon Web Services Japan
 
Amazon VPCトレーニング-NATインスタンスの作成方法
Amazon VPCトレーニング-NATインスタンスの作成方法 Amazon VPCトレーニング-NATインスタンスの作成方法
Amazon VPCトレーニング-NATインスタンスの作成方法
Amazon Web Services Japan
 
Classmethod aws-study-vpc-20160114
Classmethod aws-study-vpc-20160114Classmethod aws-study-vpc-20160114
Classmethod aws-study-vpc-20160114
Hiroyuki Kaji
 
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPCAWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
Amazon Web Services Japan
 
初心者向けWebinar AWS上でのネットワーク構築
初心者向けWebinar AWS上でのネットワーク構築初心者向けWebinar AWS上でのネットワーク構築
初心者向けWebinar AWS上でのネットワーク構築
Amazon Web Services Japan
 
AWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
AWS Direct Connect 詳細 - AWSマイスターシリーズ ReloadedAWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
AWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
SORACOM, INC
 
はじめての vSRX on AWS
はじめての vSRX on AWSはじめての vSRX on AWS
はじめての vSRX on AWS
Juniper Networks (日本)
 
AWSにおけるマイクロソフトプラットフォームセキュリティ
AWSにおけるマイクロソフトプラットフォームセキュリティAWSにおけるマイクロソフトプラットフォームセキュリティ
AWSにおけるマイクロソフトプラットフォームセキュリティ
Amazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPCAWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
Amazon Web Services Japan
 
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
shigeyuki azuchi
 
Amazon VPCトレーニング-VPCの説明
Amazon VPCトレーニング-VPCの説明Amazon VPCトレーニング-VPCの説明
Amazon VPCトレーニング-VPCの説明
Amazon Web Services Japan
 
JAWS-UG浜松 #1 Amazon VPCでVPN
JAWS-UG浜松 #1 Amazon VPCでVPNJAWS-UG浜松 #1 Amazon VPCでVPN
JAWS-UG浜松 #1 Amazon VPCでVPN
Kazuhiko ISOBE
 
Amazon VPC VPN接続設定 参考資料
Amazon VPC VPN接続設定 参考資料Amazon VPC VPN接続設定 参考資料
Amazon VPC VPN接続設定 参考資料
Amazon Web Services Japan
 
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS体験ハンズオン~Amazon S3 バックアップ~
AWS Black Belt Online Seminar 2017 AWS体験ハンズオン~Amazon S3 バックアップ~AWS Black Belt Online Seminar 2017 AWS体験ハンズオン~Amazon S3 バックアップ~
AWS Black Belt Online Seminar 2017 AWS体験ハンズオン~Amazon S3 バックアップ~
Amazon Web Services Japan
 
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
Amazon Web Services Japan
 
いまさら聞けない Amazon EC2
いまさら聞けない Amazon EC2いまさら聞けない Amazon EC2
いまさら聞けない Amazon EC2
Yasuhiro Matsuo
 
クラウド/Amazon EC2の特徴とメリット・デメリット
クラウド/Amazon EC2の特徴とメリット・デメリットクラウド/Amazon EC2の特徴とメリット・デメリット
クラウド/Amazon EC2の特徴とメリット・デメリット
Serverworks Co.,Ltd.
 
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
Amazon Web Services Japan
 
CloudFront マルチオリジンの利用事例と反省点
CloudFront マルチオリジンの利用事例と反省点CloudFront マルチオリジンの利用事例と反省点
CloudFront マルチオリジンの利用事例と反省点
Hirokazu Ouchi
 
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
Hirokazu Ouchi
 
20120303 jaws summit-meister-08_sg-dx
20120303 jaws summit-meister-08_sg-dx20120303 jaws summit-meister-08_sg-dx
20120303 jaws summit-meister-08_sg-dx
Amazon Web Services Japan
 
Introduction to Azure Service Fabric
Introduction to Azure Service FabricIntroduction to Azure Service Fabric
Introduction to Azure Service Fabric
Takekazu Omi
 
AWS Black Belt Online Seminar Amazon EC2
AWS Black Belt Online Seminar Amazon EC2AWS Black Belt Online Seminar Amazon EC2
AWS Black Belt Online Seminar Amazon EC2
Amazon Web Services Japan
 

Contenu connexe

Tendances

AWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
AWS Direct Connect 詳細 - AWSマイスターシリーズ ReloadedAWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
AWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
SORACOM, INC
 
AWSにおけるマイクロソフトプラットフォームセキュリティ
AWSにおけるマイクロソフトプラットフォームセキュリティAWSにおけるマイクロソフトプラットフォームセキュリティ
AWSにおけるマイクロソフトプラットフォームセキュリティ
Amazon Web Services Japan
 
クラウド/Amazon EC2の特徴とメリット・デメリット
クラウド/Amazon EC2の特徴とメリット・デメリットクラウド/Amazon EC2の特徴とメリット・デメリット
クラウド/Amazon EC2の特徴とメリット・デメリット
Serverworks Co.,Ltd.
 
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
Amazon Web Services Japan
 
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
Hirokazu Ouchi
 

Tendances (20)

Classmethod aws-study-vpc-20160114
Classmethod aws-study-vpc-20160114Classmethod aws-study-vpc-20160114
Classmethod aws-study-vpc-20160114
 
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPCAWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
 
初心者向けWebinar AWS上でのネットワーク構築
初心者向けWebinar AWS上でのネットワーク構築初心者向けWebinar AWS上でのネットワーク構築
初心者向けWebinar AWS上でのネットワーク構築
 
AWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
AWS Direct Connect 詳細 - AWSマイスターシリーズ ReloadedAWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
AWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
 
はじめての vSRX on AWS
はじめての vSRX on AWSはじめての vSRX on AWS
はじめての vSRX on AWS
 
AWSにおけるマイクロソフトプラットフォームセキュリティ
AWSにおけるマイクロソフトプラットフォームセキュリティAWSにおけるマイクロソフトプラットフォームセキュリティ
AWSにおけるマイクロソフトプラットフォームセキュリティ
 
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPCAWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
 
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
 
Amazon VPCトレーニング-VPCの説明
Amazon VPCトレーニング-VPCの説明Amazon VPCトレーニング-VPCの説明
Amazon VPCトレーニング-VPCの説明
 
JAWS-UG浜松 #1 Amazon VPCでVPN
JAWS-UG浜松 #1 Amazon VPCでVPNJAWS-UG浜松 #1 Amazon VPCでVPN
JAWS-UG浜松 #1 Amazon VPCでVPN
 
Amazon VPC VPN接続設定 参考資料
Amazon VPC VPN接続設定 参考資料Amazon VPC VPN接続設定 参考資料
Amazon VPC VPN接続設定 参考資料
 
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
 
AWS Black Belt Online Seminar 2017 AWS体験ハンズオン~Amazon S3 バックアップ~
AWS Black Belt Online Seminar 2017 AWS体験ハンズオン~Amazon S3 バックアップ~AWS Black Belt Online Seminar 2017 AWS体験ハンズオン~Amazon S3 バックアップ~
AWS Black Belt Online Seminar 2017 AWS体験ハンズオン~Amazon S3 バックアップ~
 
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
 
いまさら聞けない Amazon EC2
いまさら聞けない Amazon EC2いまさら聞けない Amazon EC2
いまさら聞けない Amazon EC2
 
クラウド/Amazon EC2の特徴とメリット・デメリット
クラウド/Amazon EC2の特徴とメリット・デメリットクラウド/Amazon EC2の特徴とメリット・デメリット
クラウド/Amazon EC2の特徴とメリット・デメリット
 
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
 
CloudFront マルチオリジンの利用事例と反省点
CloudFront マルチオリジンの利用事例と反省点CloudFront マルチオリジンの利用事例と反省点
CloudFront マルチオリジンの利用事例と反省点
 
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
 
20120303 jaws summit-meister-08_sg-dx
20120303 jaws summit-meister-08_sg-dx20120303 jaws summit-meister-08_sg-dx
20120303 jaws summit-meister-08_sg-dx
 

Similaire à オンプレとAWSをつなぐVPNとルーティング

New IP へのステップ その2) NFV – ソフトウェアで実装するネットワークの世界
New IP へのステップ その2) NFV – ソフトウェアで実装するネットワークの世界New IP へのステップ その2) NFV – ソフトウェアで実装するネットワークの世界
New IP へのステップ その2) NFV – ソフトウェアで実装するネットワークの世界
Brocade
 
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Boss4434
 

Similaire à オンプレとAWSをつなぐVPNとルーティング (20)

Introduction to Azure Service Fabric
Introduction to Azure Service FabricIntroduction to Azure Service Fabric
Introduction to Azure Service Fabric
 
AWS Black Belt Online Seminar Amazon EC2
AWS Black Belt Online Seminar Amazon EC2AWS Black Belt Online Seminar Amazon EC2
AWS Black Belt Online Seminar Amazon EC2
 
[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
 
AWS運用における最適パターンの徹底活用
AWS運用における最適パターンの徹底活用AWS運用における最適パターンの徹底活用
AWS運用における最適パターンの徹底活用
 
自宅k8s/vSphere入門
自宅k8s/vSphere入門自宅k8s/vSphere入門
自宅k8s/vSphere入門
 
New IP へのステップ その2) NFV – ソフトウェアで実装するネットワークの世界
New IP へのステップ その2) NFV – ソフトウェアで実装するネットワークの世界New IP へのステップ その2) NFV – ソフトウェアで実装するネットワークの世界
New IP へのステップ その2) NFV – ソフトウェアで実装するネットワークの世界
 
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編
 
ディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指してディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指して
 
祝GA、 Service Fabric 概要
祝GA、 Service Fabric 概要祝GA、 Service Fabric 概要
祝GA、 Service Fabric 概要
 
T2micro
T2microT2micro
T2micro
 
Introduction of Windows Azure and PDC09 update (Japanese)
Introduction of Windows Azure and PDC09 update (Japanese)Introduction of Windows Azure and PDC09 update (Japanese)
Introduction of Windows Azure and PDC09 update (Japanese)
 
20141110 tf azure_iaas
20141110 tf azure_iaas20141110 tf azure_iaas
20141110 tf azure_iaas
 
Azure Service Fabric 紹介
Azure Service Fabric 紹介Azure Service Fabric 紹介
Azure Service Fabric 紹介
 
Netapp private storage for aws
Netapp private storage for awsNetapp private storage for aws
Netapp private storage for aws
 
それでもボクはMicrosoft Azure を使う
それでもボクはMicrosoft Azure を使うそれでもボクはMicrosoft Azure を使う
それでもボクはMicrosoft Azure を使う
 
20220624 私の検証環境のいま
20220624 私の検証環境のいま20220624 私の検証環境のいま
20220624 私の検証環境のいま
 
PCCC23:日本オラクル株式会社 テーマ1「OCIのHPC基盤技術と生成AI」
PCCC23:日本オラクル株式会社 テーマ1「OCIのHPC基盤技術と生成AI」PCCC23:日本オラクル株式会社 テーマ1「OCIのHPC基盤技術と生成AI」
PCCC23:日本オラクル株式会社 テーマ1「OCIのHPC基盤技術と生成AI」
 
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
 
Microsoft conference 2014_Cisco_session_非公式配布版
Microsoft conference 2014_Cisco_session_非公式配布版Microsoft conference 2014_Cisco_session_非公式配布版
Microsoft conference 2014_Cisco_session_非公式配布版
 
データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~
データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~ データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~
データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~
 

Plus de Tomonori Takada

Plus de Tomonori Takada (7)

従量制課金のLBいかがすかー(仮)
従量制課金のLBいかがすかー(仮)従量制課金のLBいかがすかー(仮)
従量制課金のLBいかがすかー(仮)
 
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
Kixs.vol003 LBの夜 AWSにおけるロードバランサーKixs.vol003 LBの夜 AWSにおけるロードバランサー
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
 
AWS IAM入門
AWS IAM入門AWS IAM入門
AWS IAM入門
 
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
 
Centos7 systemd
Centos7 systemdCentos7 systemd
Centos7 systemd
 
Bind 9.8 feature overview
Bind 9.8 feature overviewBind 9.8 feature overview
Bind 9.8 feature overview
 
Dnssec key management part1
Dnssec key management part1Dnssec key management part1
Dnssec key management part1
 

オンプレとAWSをつなぐVPNとルーティング

  • 1. Kyusyu Infrastructure eXchange Study https://www.facebook.com/groups/228512457541776/ KIXS.Vol.000 オンプレとAWSをつなぐ VPNとルーティング 髙⽥ 知典
  • 2. Kyusyu Infrastructure eXchange Study ⾃⼰紹介 たかだ とものり l @to_takada l 株式会社サーバーワークス 福岡オフィス所属 l 保有資格 l ポケモンGO トレーナーLv.22(⾮課⾦) 1
  • 3. Kyusyu Infrastructure eXchange Study 2 オンプレミスとAWSをつなぎ隊 vpn MODEL firewall MODEL server MODEL DMZ 198.51.100.0/24 Trust 192.168.1.0/24 server MODEL Server-subnet 172.16.0.0/24 Elastic Load Balancing instances Amazon RDS Databese-subnet 172.16.1.0/24 独⽴した論理ネットワークの単位 プライベートIPアドレスで /28 および/16 の範囲でCIDR定義が可能
  • 4. Kyusyu Infrastructure eXchange Study 3 オンプレミスとAWSの接続 l 3つの接続⽅法 l インターネットVPN接続(IPsec) l AWS Direct Connectを使った専⽤線接続 l EC2インスタンス(仮想マシン)上にVPNソ フトウェアを動作させる
  • 5. Kyusyu Infrastructure eXchange Study 4 インターネットVPN接続の構成例(シングル構成) • トンネルモード • AES128bit • 2本のVPNコネクション • ルーティング • BGP or 静的 • 1つのVPCあたり1つ • 単⼀障害点や帯域のボトルネック は存在しない • データセンター側のルータ/FW • 暗号化処理前のフラグメントが必須 • IPsec Dead peer Detectionの利⽤ が推奨 出典: https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS- BlackBelt-VPC_public.pdf 38ページ
  • 6. Kyusyu Infrastructure eXchange Study 5 CGWとして使⽤できるルーター 出典: https://aws.amazon.com/jp/vpc/faqs/#C9
  • 7. Kyusyu Infrastructure eXchange Study 6 2本のVPNのコネクションの使われ⽅ customer gateway router VPN gateway router • オンプレミス側からAWS側への通信は正常時、⽚⽅のコネクションに寄る • VPN gateway側から、MED値により優先経路が通知されている模様(マニュア ル等に記載はないが。。。) • AWS側からオンプレミス側への通信の制御する場合は、後述の⽅法をとる。 • 同⼀物理回線上のコネクションなので、どちらが使われても問題ない BGP ASN:65000 BGP ASN:10124 VPN connection VPN connection
  • 8. Kyusyu Infrastructure eXchange Study 7 出典: https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS- BlackBelt-VPC_public.pdf 39ページ インターネットVPN接続の構成例(冗⻑構成)
  • 9. Kyusyu Infrastructure eXchange Study 8 Customer gatewayを冗⻑化した場合の経路選択 customer gateway router VPN gateway router BGP ASN:65000BGP ASN:10124 customer gateway VPN connection VPN connection VPN connection VPN connection ⾚と⻘の物理回線速度が異なる場合など、優先的に使⽤ する経路を選択したい 1000Mbps 100Mbps
  • 10. Kyusyu Infrastructure eXchange Study 9 冗⻑化構成の場合の経路選択(オンプレ→AWS) customer gateway router VPN gateway router BGP ASN:65000BGP ASN:10124 customer gateway VPN connection VPN connection VPN connection VRRP Customer gatewayで採⽤している冗⻑化⽅式/ルーティング⽅式次第 (下図はVRRP) Active Passive MED値:100 MED値:200 ①到達ルータ ② MED値に よる経路 選択 1000Mbps 100Mbps
  • 11. Kyusyu Infrastructure eXchange Study 10 冗⻑構成の場合の経路選択(AWS→オンプレ) 1. ロンゲストマッチ 2. スタティックルート 3. AS-PATH 4. PATHのORIGIN 5. ルーターID(最⼩) 6. BGPピアのIPアドレス(最⼩) 参考) http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/NetworkAdminGuid e/Introduction.html AS-PATH:65000,65000 1000Mbps 100Mbps
  • 13. Kyusyu Infrastructure eXchange Study 12 素朴な疑問 Customer Gatewayで設定した ねずっち MED値で制御できないのか? MED値:200 MED値:100
  • 14. Kyusyu Infrastructure eXchange Study 13 答え できるっぽいが、サポート対象外っぽいです。
  • 15. Kyusyu Infrastructure eXchange Study 14 まとめ • AWSとオンプレミスとは、インターネットVPN を使って⽐較的⼿軽に接続することができます。 • AWS側からオンプレミス側への通信経路選択に は、AS-PATHを使うとよいです。 • オンプレミス側からAWS側への通信経路選択は、 Customer Gatewayの構成内容にもよりますが、 AWS側から渡される経路属性をそのま使うとい です。