Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

「さくらのクラウド」におけるVyattaの活用事例

13,455 views

Published on

「さくらのクラウド」におけるVyattaの活用事例

  1. 1. 「さくらのクラウド」における Vyattaの活用事例 さくらインターネット(株) 研究所 大久保 修一 ohkubo@sakura.ad.jp
  2. 2. さくらのクラウドとは?IaaSの基本的なリソースを提供 ネットワーク サーバ ストレージ ロードバランサ NEW
  3. 3. ウェブサイト http://cloud.sakura.ad.jp/
  4. 4. さくらのクラウド最近のアップデート• 新規ユーザ募集再開(2012/11/1~)• SSDストレージ提供開始(2012/11/1~)• ネットワーク広帯域プラン(2012/11/7~) – 100Mbpsに加え、500Mbps、1Gbpsに対応• API追加(2013/1/23~)• コンパネリニューアル(2013/2/4~)• パケットフィルタ機能提供開始(2013/2/4~)• ロードバランサ機能提供開始(2013/03/12~)
  5. 5. Vyatta Coreを標準提供させていただいてます。
  6. 6. Vyatta Core 6.5R1 32bit (6rd対応)
  7. 7. お題その1Amazon VPC的な環境を作りたい! Vyattaならできます。
  8. 8. 3つのネットワークタイプ共有セグメント ルータ+スイッチ (専用セグメント) インターネット インターネット /28 or /27/32 /32 プライベートL2スイッチ
  9. 9. プライベートアドレス+NAT環境 インターネット ルータ+スイッチ 133.242.78.160/27 eth0: 133.242.78.164 133.242.78.165 1:1NAT eth2 eth110.103.XX.0/24 10.103.1.0/24 10.103.1.2
  10. 10. 材料• ルータ+スイッチ – IPアドレスが1つでもよければ共有回線でもOK• Vyattaを動かすVM × 1• スイッチ(ローカル側)• ローカル側に設置するサーバ × N
  11. 11. 基本設定set interfaces ethernet eth0 address 133.242.78.164/27set interfaces ethernet eth0 address 133.242.78.165/32 1:1NAT用set interfaces ethernet eth1 address 10.103.1.1/24set protocols static route 0.0.0.0/0 next-hop 133.242.78.161set nat destination rule 10 destination address 133.242.78.165set nat destination rule 10 inbound-interface eth0set nat destination rule 10 translation address 10.103.1.2 1:1NATset nat source rule 10 outbound-interface eth0set nat source rule 10 source address 10.103.1.2set nat source rule 10 translation address 133.242.78.165set nat source rule 999 outbound-interface eth0 Forwardset nat source rule 999 translation address masquerade NATset system conntrack expect-table-size 2048 セッションset system conntrack hash-size 16384 数を増加set system conntrack table-size 1048576
  12. 12. DHCPでプライベートアドレス配布edit service dhcp-server shared-network-name michonet-privateset subnet 10.103.1.0/24 default-router 10.103.1.1set subnet 10.103.1.0/24 dns-server 133.242.0.3set subnet 10.103.1.0/24 dns-server 133.242.0.4set subnet 10.103.1.0/24 start 10.103.1.100 stop 10.103.1.199 動的IPアドレスの設定set subnet 10.103.1.0/24 static-mapping host1 ip-address 10.103.1.2set subnet 10.103.1.0/24 static-mapping host1 mac-address 9C:A3:BA:25:19:C7 固定IPアドレスの設定
  13. 13. お題その2 IPv6アドレスも設定したい!残念ながらネイティブ対応できて いませんが、6rdを使えます。
  14. 14. 6rdとは? IPv6に対応していない サービスでも自動トンネル によるIPv6の疎通が可能• さくらの6rd(トライアル)• http://research.sakura.ad.jp/6rd-trial/
  15. 15. 6rd対応Vyattaを用いた構成例 IPv6インターネット 61.211.224.125 6rd Border Relay 2001:e41:3dd3:e07d::1 IPv4インターネットeth0 133.242.78.164 eth1 2001:e41:85f2:4ea4::/64
  16. 16. 6rd設定例set interfaces tunnel tun0 6rd-prefix 2001:e41::/32set 85f2:4ea4::1/32 interfaces tunnel tun0 address 2001:e41:85f2:4ea4 85f2:4ea4set interfaces tunnel tun0 encapsulation sit トンネルset interfaces tunnel tun0 local-ip 133.242.78.164 の設定set interfaces tunnel tun0 mtu 1280set protocols static route6 ::/0 next-hop 2001:e41:3dd3:e07d::1edit interfaces ethernet eth1set address 2001:e41:85f2:4ea4 85f2:4ea4::1/64 85f2:4ea4set ipv6 router-advert managed-flag true managed- LAN側set ipv6 router-advert other-config-flag true IFの設定set ipv6 router-advert prefix 2001:e41:85f2:4ea4::/64edit service dhcpv6-server shared-network-name michonet-private ¥ subnet 2001:e41:85f2:4ea4::/64set address-range start 2001:e41:85f2:4ea4:ffff:0:0:0 ¥ DHCPに stop 2001:e41:85f2:4ea4:ffff:ffff:ffff:ffff よるアドset name-server 2403:3a00::1 レス配布set name-server 2403:3a00::2
  17. 17. お題その3 リモートアクセスVPNしたい! VyattaはPPTP、L2TP/IPsec、OpenVPNに対応していますが、 L2TP/IPsecがオススメです。
  18. 18. リモートアクセスVPN構成例 IPv4インターネット L2TP用eth0 133.242.78.164 10.103.1.200~209 eth1 10.103.1.0/24
  19. 19. L2TP/IPsec設定例set vpn ipsec ipsec-interfaces interface eth0set vpn ipsec nat-networks allowed-network 0.0.0.0/0set vpn ipsec nat-traversal enableedit vpn l2tp remote-accessset authentication local-users username micho password aaabbbset authentication mode localset client-ip-pool start 10.103.1.200set client-ip-pool stop 10.103.1.209set dns-servers server-1 133.242.0.3set dns-servers server-2 133.242.0.4set ipsec-settings authentication mode pre-shared-secretset ipsec-settings authentication pre-shared-secret cccdddset mtu 1280set outside-address 133.242.78.164set outside-nexthop 133.242.78.161 4つのパラメータ
  20. 20. iPhone、iPadからも接続可能
  21. 21. お題その4プライベートクラウドとつなぎたい! IPsecもありますが、 site-to-siteモードOpenVPN がオススメです。
  22. 22. インタークラウド構成例サイトA(西新宿、プライベートクラウド) 10.103.4.0/24 eth1 eth0 59.106.69.117 vtun1 10.103.3.1/24 インターネット vtun1 10.103.3.2/24 eth0 133.242.78.164 eth1 10.103.1.0/24サイトB(石狩、パブリッククラウド)
  23. 23. サイトA設定例鍵の生成$ generate openvpn key /config/auth/secret$ sudo scp /config/auth/secret vyatta@133.242.78.164:/config/auth/OpenVPNの設定set interfaces openvpn vtun1 local-address 10.103.3.1 ¥ subnet-mask 255.255.255.0set interfaces openvpn vtun1 mode site-to-siteset interfaces openvpn vtun1 remote-address 10.103.3.2set interfaces openvpn vtun1 remote-host 133.242.78.164set interfaces openvpn vtun1 shared-secret-key-file /config/auth/secret経路の設定set protocols static interface-route 10.103.1.0/24 ¥ next-hop-interface vtun1
  24. 24. サイトB設定例OpenVPNの設定set interfaces openvpn vtun1 local-address 10.103.3.2 ¥ subnet-mask 255.255.255.0set interfaces openvpn vtun1 mode site-to-siteset interfaces openvpn vtun1 remote-address 10.103.3.1set interfaces openvpn vtun1 remote-host 59.106.69.117set interfaces openvpn vtun1 shared-secret-key-file /config/auth/secret経路の設定set protocols static interface-route 10.103.4.0/24 ¥ next-hop-interface vtun1
  25. 25. おまけ:経路設定をOSPFでやるOSPFの設定set point-to- interfaces openvpn vtun1 ip ospf network point-to-pointset protocols ospf area 0 network 10.103.3.0/24set protocols ospf area 0 network 10.103.4.0/24set protocols ospf passive-interface eth1※対向も同様にvyatta@vc65-6rd-2# run show ip ospf route============ OSPF network routing table ============N 10.103.1.0/24 [20] area: 0.0.0.0 via 10.103.3.2, vtun1N 10.103.3.2/32 [10] area: 0.0.0.0 directly attached to vtun1N 10.103.4.0/24 [10] area: 0.0.0.0 directly attached to eth1
  26. 26. まとめ• Vyattaを使って以下の環境を作る設定を紹介 しました。 – Virtual Private Cloud – IPv6 – リモートアクセス – インタークラウド

×