Weitere ähnliche Inhalte Ähnlich wie オンプレとAWSをつなぐVPNとルーティング (20) Mehr von Tomonori Takada (7) オンプレとAWSをつなぐVPNとルーティング3. Kyusyu Infrastructure eXchange Study 2
オンプレミスとAWSをつなぎ隊
vpn
MODEL
firewall
MODEL
server
MODEL
DMZ
198.51.100.0/24
Trust
192.168.1.0/24
server
MODEL
Server-subnet
172.16.0.0/24
Elastic Load
Balancing
instances
Amazon
RDS
Databese-subnet
172.16.1.0/24
独⽴した論理ネットワークの単位
プライベートIPアドレスで
/28 および/16 の範囲でCIDR定義が可能
4. Kyusyu Infrastructure eXchange Study 3
オンプレミスとAWSの接続
l 3つの接続⽅法
l インターネットVPN接続(IPsec)
l AWS Direct Connectを使った専⽤線接続
l EC2インスタンス(仮想マシン)上にVPNソ
フトウェアを動作させる
5. Kyusyu Infrastructure eXchange Study 4
インターネットVPN接続の構成例(シングル構成)
• トンネルモード
• AES128bit
• 2本のVPNコネクション
• ルーティング
• BGP or 静的
• 1つのVPCあたり1つ
• 単⼀障害点や帯域のボトルネック
は存在しない
• データセンター側のルータ/FW
• 暗号化処理前のフラグメントが必須
• IPsec Dead peer Detectionの利⽤
が推奨
出典:
https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS-
BlackBelt-VPC_public.pdf 38ページ
7. Kyusyu Infrastructure eXchange Study 6
2本のVPNのコネクションの使われ⽅
customer
gateway
router
VPN
gateway
router
• オンプレミス側からAWS側への通信は正常時、⽚⽅のコネクションに寄る
• VPN gateway側から、MED値により優先経路が通知されている模様(マニュア
ル等に記載はないが。。。)
• AWS側からオンプレミス側への通信の制御する場合は、後述の⽅法をとる。
• 同⼀物理回線上のコネクションなので、どちらが使われても問題ない
BGP ASN:65000
BGP ASN:10124
VPN
connection
VPN
connection
8. Kyusyu Infrastructure eXchange Study 7
出典:
https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS-
BlackBelt-VPC_public.pdf 39ページ
インターネットVPN接続の構成例(冗⻑構成)
9. Kyusyu Infrastructure eXchange Study 8
Customer gatewayを冗⻑化した場合の経路選択
customer
gateway
router
VPN
gateway
router
BGP ASN:65000BGP ASN:10124
customer
gateway
VPN
connection
VPN
connection
VPN
connection
VPN
connection
⾚と⻘の物理回線速度が異なる場合など、優先的に使⽤
する経路を選択したい
1000Mbps
100Mbps
10. Kyusyu Infrastructure eXchange Study 9
冗⻑化構成の場合の経路選択(オンプレ→AWS)
customer
gateway
router
VPN
gateway
router
BGP ASN:65000BGP ASN:10124
customer
gateway
VPN
connection
VPN
connection
VPN
connection
VRRP
Customer gatewayで採⽤している冗⻑化⽅式/ルーティング⽅式次第
(下図はVRRP)
Active
Passive
MED値:100
MED値:200
①到達ルータ
②
MED値に
よる経路
選択
1000Mbps
100Mbps
11. Kyusyu Infrastructure eXchange Study 10
冗⻑構成の場合の経路選択(AWS→オンプレ)
1. ロンゲストマッチ
2. スタティックルート
3. AS-PATH
4. PATHのORIGIN
5. ルーターID(最⼩)
6. BGPピアのIPアドレス(最⼩)
参考)
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/NetworkAdminGuid
e/Introduction.html
AS-PATH:65000,65000
1000Mbps
100Mbps
15. Kyusyu Infrastructure eXchange Study 14
まとめ
• AWSとオンプレミスとは、インターネットVPN
を使って⽐較的⼿軽に接続することができます。
• AWS側からオンプレミス側への通信経路選択に
は、AS-PATHを使うとよいです。
• オンプレミス側からAWS側への通信経路選択は、
Customer Gatewayの構成内容にもよりますが、
AWS側から渡される経路属性をそのま使うとい
です。