Tomonori Takada, profile picture
Uploaded byTomonori Takada
PDF, PPTX8,257 views

オンプレとAWSをつなぐVPNとルーティング

2016/8/26 KIXS発表資料

Embed presentation

Download as PDF, PPTX
Kyusyu Infrastructure eXchange Study https://www.facebook.com/groups/228512457541776/ KIXS.Vol.000 オンプレとAWSをつなぐ VPNとルーティング 髙⽥ 知典
Kyusyu Infrastructure eXchange Study ⾃⼰紹介 たかだ とものり l @to_takada l 株式会社サーバーワークス 福岡オフィス所属 l 保有資格 l ポケモンGO トレーナーLv.22(⾮課⾦) 1
Kyusyu Infrastructure eXchange Study 2 オンプレミスとAWSをつなぎ隊 vpn MODEL firewall MODEL server MODEL DMZ 198.51.100.0/24 Trust 192.168.1.0/24 server MODEL Server-subnet 172.16.0.0/24 Elastic Load Balancing instances Amazon RDS Databese-subnet 172.16.1.0/24 独⽴した論理ネットワークの単位 プライベートIPアドレスで /28 および/16 の範囲でCIDR定義が可能
Kyusyu Infrastructure eXchange Study 3 オンプレミスとAWSの接続 l 3つの接続⽅法 l インターネットVPN接続(IPsec) l AWS Direct Connectを使った専⽤線接続 l EC2インスタンス(仮想マシン)上にVPNソ フトウェアを動作させる
Kyusyu Infrastructure eXchange Study 4 インターネットVPN接続の構成例(シングル構成) • トンネルモード • AES128bit • 2本のVPNコネクション • ルーティング • BGP or 静的 • 1つのVPCあたり1つ • 単⼀障害点や帯域のボトルネック は存在しない • データセンター側のルータ/FW • 暗号化処理前のフラグメントが必須 • IPsec Dead peer Detectionの利⽤ が推奨 出典: https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS- BlackBelt-VPC_public.pdf 38ページ
Kyusyu Infrastructure eXchange Study 5 CGWとして使⽤できるルーター 出典: https://aws.amazon.com/jp/vpc/faqs/#C9
Kyusyu Infrastructure eXchange Study 6 2本のVPNのコネクションの使われ⽅ customer gateway router VPN gateway router • オンプレミス側からAWS側への通信は正常時、⽚⽅のコネクションに寄る • VPN gateway側から、MED値により優先経路が通知されている模様(マニュア ル等に記載はないが。。。) • AWS側からオンプレミス側への通信の制御する場合は、後述の⽅法をとる。 • 同⼀物理回線上のコネクションなので、どちらが使われても問題ない BGP ASN:65000 BGP ASN:10124 VPN connection VPN connection
Kyusyu Infrastructure eXchange Study 7 出典: https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS- BlackBelt-VPC_public.pdf 39ページ インターネットVPN接続の構成例(冗⻑構成)
Kyusyu Infrastructure eXchange Study 8 Customer gatewayを冗⻑化した場合の経路選択 customer gateway router VPN gateway router BGP ASN:65000BGP ASN:10124 customer gateway VPN connection VPN connection VPN connection VPN connection ⾚と⻘の物理回線速度が異なる場合など、優先的に使⽤ する経路を選択したい 1000Mbps 100Mbps
Kyusyu Infrastructure eXchange Study 9 冗⻑化構成の場合の経路選択(オンプレ→AWS) customer gateway router VPN gateway router BGP ASN:65000BGP ASN:10124 customer gateway VPN connection VPN connection VPN connection VRRP Customer gatewayで採⽤している冗⻑化⽅式/ルーティング⽅式次第 (下図はVRRP) Active Passive MED値:100 MED値:200 ①到達ルータ ② MED値に よる経路 選択 1000Mbps 100Mbps
Kyusyu Infrastructure eXchange Study 10 冗⻑構成の場合の経路選択(AWS→オンプレ) 1. ロンゲストマッチ 2. スタティックルート 3. AS-PATH 4. PATHのORIGIN 5. ルーターID(最⼩) 6. BGPピアのIPアドレス(最⼩) 参考) http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/NetworkAdminGuid e/Introduction.html AS-PATH:65000,65000 1000Mbps 100Mbps
Kyusyu Infrastructure eXchange Study 11
Kyusyu Infrastructure eXchange Study 12 素朴な疑問 Customer Gatewayで設定した ねずっち MED値で制御できないのか? MED値:200 MED値:100
Kyusyu Infrastructure eXchange Study 13 答え できるっぽいが、サポート対象外っぽいです。
Kyusyu Infrastructure eXchange Study 14 まとめ • AWSとオンプレミスとは、インターネットVPN を使って⽐較的⼿軽に接続することができます。 • AWS側からオンプレミス側への通信経路選択に は、AS-PATHを使うとよいです。 • オンプレミス側からAWS側への通信経路選択は、 Customer Gatewayの構成内容にもよりますが、 AWS側から渡される経路属性をそのま使うとい です。

More Related Content

PDF
Amazon VPC説明資料
byServerworks Co.,Ltd.
 
PPTX
AWS NAT Gateway Test(Japanese)
bylaporz
 
PDF
[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)
byAmazon Web Services Japan
 
PDF
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
bySORACOM, INC
 
PPT
0から始めるVPC
byクラスメソッド株式会社
 
PDF
[AWSマイスターシリーズ] Amazon VPC
byAmazon Web Services Japan
 
PDF
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
byAmazon Web Services Japan
 
PDF
Amazon VPCトレーニング-NATインスタンスの作成方法
byAmazon Web Services Japan
 
Amazon VPC説明資料
byServerworks Co.,Ltd.
 
AWS NAT Gateway Test(Japanese)
bylaporz
 
[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)
byAmazon Web Services Japan
 
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
bySORACOM, INC
 
0から始めるVPC
byクラスメソッド株式会社
 
[AWSマイスターシリーズ] Amazon VPC
byAmazon Web Services Japan
 
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
byAmazon Web Services Japan
 
Amazon VPCトレーニング-NATインスタンスの作成方法
byAmazon Web Services Japan
 

What's hot

PDF
Classmethod aws-study-vpc-20160114
byHiroyuki Kaji
 
PDF
AWS Black Belt Techシリーズ Amazon VPC
byAmazon Web Services Japan
 
PDF
初心者向けWebinar AWS上でのネットワーク構築
byAmazon Web Services Japan
 
PDF
AWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
bySORACOM, INC
 
PDF
AWSにおけるマイクロソフトプラットフォームセキュリティ
byAmazon Web Services Japan
 
PDF
AWS Black Belt Techシリーズ Amazon VPC
byAmazon Web Services Japan
 
PDF
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
byshigeyuki azuchi
 
PDF
Amazon VPCトレーニング-VPCの説明
byAmazon Web Services Japan
 
PDF
JAWS-UG浜松 #1 Amazon VPCでVPN
byKazuhiko ISOBE
 
PDF
Amazon VPC VPN接続設定 参考資料
byAmazon Web Services Japan
 
PDF
AWS BlackBelt AWS上でのDDoS対策
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 AWS体験ハンズオン~Amazon S3 バックアップ~
byAmazon Web Services Japan
 
PDF
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
byAmazon Web Services Japan
 
PPTX
いまさら聞けない Amazon EC2
byYasuhiro Matsuo
 
PDF
クラウド/Amazon EC2の特徴とメリット・デメリット
byServerworks Co.,Ltd.
 
PDF
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
byAmazon Web Services Japan
 
PDF
CloudFront マルチオリジンの利用事例と反省点
byHirokazu Ouchi
 
PPTX
CloudFront最近の事例と間違った使い方
byHirokazu Ouchi
 
PDF
20120303 jaws summit-meister-08_sg-dx
byAmazon Web Services Japan
 
PPTX
VPCとVPC Peeringのおはなし
bymasaomoc1015
 
Classmethod aws-study-vpc-20160114
byHiroyuki Kaji
 
AWS Black Belt Techシリーズ Amazon VPC
byAmazon Web Services Japan
 
初心者向けWebinar AWS上でのネットワーク構築
byAmazon Web Services Japan
 
AWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded
bySORACOM, INC
 
AWSにおけるマイクロソフトプラットフォームセキュリティ
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon VPC
byAmazon Web Services Japan
 
オンプレ環境と連携するハイブリッドクラウド活用事例 (2014.8.8 AWS Japan Tour 2014 福岡)
byshigeyuki azuchi
 
Amazon VPCトレーニング-VPCの説明
byAmazon Web Services Japan
 
JAWS-UG浜松 #1 Amazon VPCでVPN
byKazuhiko ISOBE
 
Amazon VPC VPN接続設定 参考資料
byAmazon Web Services Japan
 
AWS BlackBelt AWS上でのDDoS対策
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS体験ハンズオン~Amazon S3 バックアップ~
byAmazon Web Services Japan
 
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
byAmazon Web Services Japan
 
いまさら聞けない Amazon EC2
byYasuhiro Matsuo
 
クラウド/Amazon EC2の特徴とメリット・デメリット
byServerworks Co.,Ltd.
 
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
byAmazon Web Services Japan
 
CloudFront マルチオリジンの利用事例と反省点
byHirokazu Ouchi
 
CloudFront最近の事例と間違った使い方
byHirokazu Ouchi
 
20120303 jaws summit-meister-08_sg-dx
byAmazon Web Services Japan
 
VPCとVPC Peeringのおはなし
bymasaomoc1015
 

Similar to オンプレとAWSをつなぐVPNとルーティング

PDF
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
byAmazon Web Services Japan
 
PPTX
AWS Site-to-Site VPN with IKEv2 from CGW under NAT and served with PrivateLink.
byNamba Kazuo
 
PDF
VMware Cloud on AWSネットワーク詳細解説
byNoritaka Kuroiwa
 
PDF
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
byTrainocate Japan, Ltd.
 
PDF
VMware Cloud on AWS POC L3VPN 接続ガイド (IPsec、ルートベースVPN)
byNoritaka Kuroiwa
 
PDF
[JAWS-UG Tokyo 32] AWS Client VPNの特徴
byShuji Kikuchi
 
PDF
Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
byShuji Kikuchi
 
PPTX
週末趣味のAWS Transit Gatewayでの経路制御
byNamba Kazuo
 
PDF
[HIGOBASHI.AWS] AWSでソフトウェアVPNを使う-キホンの「キ」-
byAtsushi Marumo
 
PPTX
AWS はじめの一歩
byEiji Sato
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
byAmazon Web Services Japan
 
AWS Site-to-Site VPN with IKEv2 from CGW under NAT and served with PrivateLink.
byNamba Kazuo
 
VMware Cloud on AWSネットワーク詳細解説
byNoritaka Kuroiwa
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
byTrainocate Japan, Ltd.
 
VMware Cloud on AWS POC L3VPN 接続ガイド (IPsec、ルートベースVPN)
byNoritaka Kuroiwa
 
[JAWS-UG Tokyo 32] AWS Client VPNの特徴
byShuji Kikuchi
 
Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
byShuji Kikuchi
 
週末趣味のAWS Transit Gatewayでの経路制御
byNamba Kazuo
 
[HIGOBASHI.AWS] AWSでソフトウェアVPNを使う-キホンの「キ」-
byAtsushi Marumo
 
AWS はじめの一歩
byEiji Sato
 

More from Tomonori Takada

PDF
従量制課金のLBいかがすかー(仮)
byTomonori Takada
 
PDF
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
byTomonori Takada
 
PDF
AWS IAM入門
byTomonori Takada
 
PDF
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
byTomonori Takada
 
PDF
Centos7 systemd
byTomonori Takada
 
PDF
Bind 9.8 feature overview
byTomonori Takada
 
PDF
Dnssec key management part1
byTomonori Takada
 
従量制課金のLBいかがすかー(仮)
byTomonori Takada
 
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
byTomonori Takada
 
AWS IAM入門
byTomonori Takada
 
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
byTomonori Takada
 
Centos7 systemd
byTomonori Takada
 
Bind 9.8 feature overview
byTomonori Takada
 
Dnssec key management part1
byTomonori Takada
 

オンプレとAWSをつなぐVPNとルーティング

  • 1.
    Kyusyu Infrastructure eXchangeStudy https://www.facebook.com/groups/228512457541776/ KIXS.Vol.000 オンプレとAWSをつなぐ VPNとルーティング 髙⽥ 知典
  • 2.
    Kyusyu Infrastructure eXchangeStudy ⾃⼰紹介 たかだ とものり l @to_takada l 株式会社サーバーワークス 福岡オフィス所属 l 保有資格 l ポケモンGO トレーナーLv.22(⾮課⾦) 1
  • 3.
    Kyusyu Infrastructure eXchangeStudy 2 オンプレミスとAWSをつなぎ隊 vpn MODEL firewall MODEL server MODEL DMZ 198.51.100.0/24 Trust 192.168.1.0/24 server MODEL Server-subnet 172.16.0.0/24 Elastic Load Balancing instances Amazon RDS Databese-subnet 172.16.1.0/24 独⽴した論理ネットワークの単位 プライベートIPアドレスで /28 および/16 の範囲でCIDR定義が可能
  • 4.
    Kyusyu Infrastructure eXchangeStudy 3 オンプレミスとAWSの接続 l 3つの接続⽅法 l インターネットVPN接続(IPsec) l AWS Direct Connectを使った専⽤線接続 l EC2インスタンス(仮想マシン)上にVPNソ フトウェアを動作させる
  • 5.
    Kyusyu Infrastructure eXchangeStudy 4 インターネットVPN接続の構成例(シングル構成) • トンネルモード • AES128bit • 2本のVPNコネクション • ルーティング • BGP or 静的 • 1つのVPCあたり1つ • 単⼀障害点や帯域のボトルネック は存在しない • データセンター側のルータ/FW • 暗号化処理前のフラグメントが必須 • IPsec Dead peer Detectionの利⽤ が推奨 出典: https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS- BlackBelt-VPC_public.pdf 38ページ
  • 6.
    Kyusyu Infrastructure eXchangeStudy 5 CGWとして使⽤できるルーター 出典: https://aws.amazon.com/jp/vpc/faqs/#C9
  • 7.
    Kyusyu Infrastructure eXchangeStudy 6 2本のVPNのコネクションの使われ⽅ customer gateway router VPN gateway router • オンプレミス側からAWS側への通信は正常時、⽚⽅のコネクションに寄る • VPN gateway側から、MED値により優先経路が通知されている模様(マニュア ル等に記載はないが。。。) • AWS側からオンプレミス側への通信の制御する場合は、後述の⽅法をとる。 • 同⼀物理回線上のコネクションなので、どちらが使われても問題ない BGP ASN:65000 BGP ASN:10124 VPN connection VPN connection
  • 8.
    Kyusyu Infrastructure eXchangeStudy 7 出典: https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS- BlackBelt-VPC_public.pdf 39ページ インターネットVPN接続の構成例(冗⻑構成)
  • 9.
    Kyusyu Infrastructure eXchangeStudy 8 Customer gatewayを冗⻑化した場合の経路選択 customer gateway router VPN gateway router BGP ASN:65000BGP ASN:10124 customer gateway VPN connection VPN connection VPN connection VPN connection ⾚と⻘の物理回線速度が異なる場合など、優先的に使⽤ する経路を選択したい 1000Mbps 100Mbps
  • 10.
    Kyusyu Infrastructure eXchangeStudy 9 冗⻑化構成の場合の経路選択(オンプレ→AWS) customer gateway router VPN gateway router BGP ASN:65000BGP ASN:10124 customer gateway VPN connection VPN connection VPN connection VRRP Customer gatewayで採⽤している冗⻑化⽅式/ルーティング⽅式次第 (下図はVRRP) Active Passive MED値:100 MED値:200 ①到達ルータ ② MED値に よる経路 選択 1000Mbps 100Mbps
  • 11.
    Kyusyu Infrastructure eXchangeStudy 10 冗⻑構成の場合の経路選択(AWS→オンプレ) 1. ロンゲストマッチ 2. スタティックルート 3. AS-PATH 4. PATHのORIGIN 5. ルーターID(最⼩) 6. BGPピアのIPアドレス(最⼩) 参考) http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/NetworkAdminGuid e/Introduction.html AS-PATH:65000,65000 1000Mbps 100Mbps
  • 12.
  • 13.
    Kyusyu Infrastructure eXchangeStudy 12 素朴な疑問 Customer Gatewayで設定した ねずっち MED値で制御できないのか? MED値:200 MED値:100
  • 14.
    Kyusyu Infrastructure eXchangeStudy 13 答え できるっぽいが、サポート対象外っぽいです。
  • 15.
    Kyusyu Infrastructure eXchangeStudy 14 まとめ • AWSとオンプレミスとは、インターネットVPN を使って⽐較的⼿軽に接続することができます。 • AWS側からオンプレミス側への通信経路選択に は、AS-PATHを使うとよいです。 • オンプレミス側からAWS側への通信経路選択は、 Customer Gatewayの構成内容にもよりますが、 AWS側から渡される経路属性をそのま使うとい です。