Post on 28-May-2015
description
☁Azure de Vyatta Director CTOJAZUG / Microsoft MVP for Windows AzureKazumi Hirose - hirose@pnop.co.jp
このスライドは公開しましたhttp://www.slideshare.net/kazumihirose
今回の Vyatta の検証と設定例は、アライドテレシス株式会社、株式会社 pnop 、日本マイクロソフトの共同検証によって、得られたノウハウをフィードバックしています。
アライドテレシス株式会社• 国内メーカーなので安心の日本語、豊富な設定事例やマニュアル• ネットワーク機器専業 25 年、トラブルにも豊富なノウハウで対応• メーカーによる Windows Azure の検証実施と情報提供• サポートエンジニアの手厚い電話対応• 専用機器である堅牢性、安定性
インフラエンジニア、ネットワークエンジニアの皆様、是非採用ご検討いただけましたら幸いです。
謝辞
About me廣瀬 一海 ( ひろせかずみ )Facebookhttp://www.facebook.com/kazumi.hirose
インフラ、ネットワーク、プログラム、仮想化などOS も言語も問わず雑食エンジニア。個人的には、 Debian が好き。クラウドもどこでも何でも使います。
pnop についてhttp://www.facebook.com/pnop.inc
クラウドソリューションプロバイダー、高負荷環境やプラットフォーム相互運用、大規模事例の技術供与などクラウド技術専門集団、最近の事例ではコミケ WEB カタログなど
Debian GNU/Linuxpnop.inc
Windows Azure
「
デプロイ王子
」
ロケ地 : シアトル・タコマ国際空港
Today’s Agenda• Windows Azure Virtual Network について• 時間があればデモ
Windows Azure VNクラウドの中にプライベートネットワークを構成する
Windows Azure VN の概要・仮想レイヤ 2 ネットワークを任意のリージョン内に構成・任意のサブネットのプライベート IP アドレスをインスタンスに割り当て可能・構成済みの仮想ネットワークに IPsec でサイトto サイトの接続が可能
用例• パブリッククラウドとプライベートクラウドのハイブリッ
ド運用• オンプレミスの Active Directory のレプリカや、インスタ
ンスをドメインに参加させる事で ID とリソースのアクセスコントロール運用や管理が可能
• リモート監視とトラブルシューティング用ネットワークとして
• クラウドサービス (PaaS) や仮想マシン (IaaS) の連携内部ネットワークとして
• クラウド to クラウドの連携用ネットワークとして
Windows Azure VN の作成以下、参考資料で、今日は割愛します。
アライドテレシス株式会社 / Windows Azure 仮想ネットワークの IPsec 接続設定例http://www.allied-telesis.co.jp/solution/cloudvpn/solution.html
Think IT / PaaS も IaaS もオンプレミスもいいとこ取り!!Windows Azure Virtual Networks で合わせワザ一本!!http://thinkit.co.jp/story/2012/10/03/3732
IPsec コンセントレーターの要件 1ルーター間の認証方式 事前共有鍵IKE 交換モード Main モードDiffie-Hellman ( Oakley )グループ
Group2 (1024 MODP)
ISAKMP メッセージの暗号化方式 AES-128
ISAKMP メッセージの認証方式 SHA-1
ISAKMP SA の有効期限(時間) 28800 秒( 8 時間)起動時の ISAKMP ネゴシエーション 行わない( Respond )DPD もしくは IKEキープアライブ 無し
SA モード トンネルモードセキュリティープロトコル ESP (暗号化+認証)暗号化方式 AES-128
認証方式 SHA-1
IPsec SA の有効期限 ( 時間 ) 3600 秒 (1 時間 )PFS 無し
IKE フェーズ 1 ( ISAKMP SA のネゴシエーション)
IKE フェーズ 2 ( IPsec SA のネゴシエーション)
IPsec コンセントレーターの要件 2• NAT トラバーサルが可能である事• グローバル IPv4 アドレスを有している事• 上位のネットワーク、またはファイアウォールで
UDP500/UDP4500/ESP を許可している事• VPNヘッダの付与とカプセル化以前にパケットのフ
ラグメント修正処理が可能である事( MSS値 1350 )
• 事前共有鍵の長さが 32文字以上に対応する事
デモンストレーションさくらのクラウド (石狩 )<-->Windows Azure (East Asia)
試験環境について
デモの様子 ( イメージ )外側の RDP
Windows Azure のインスタンス
内側の RDP
さくらのクラウドのインスタンス
コンフィグについて以下の URL に掲載しました。
Vyatta core 6.5R1 Sample CONFIGhttp://sdrv.ms/ZbPBNP
参考資料NVGRE: Network Virtualization using Generic Routing Encapsulationhttp://tools.ietf.org/html/draft-sridharan-virtualization-nvgre-02
6. クラウドコンピューティングセキュリティVXLAN/ NVGRE によるネットワーク分離http://www.ipa.go.jp/security/fy23/reports/tech1-tg/b_06.html
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~http://www.slideshare.net/harutama/nifty-16012318
Global Windows Azure Boot CAMP
2013/04/27 ( Sat )世界中 60 か所の Windows Azure コミュニティで勉強会をこの日に同時開催します。ご参加お待ちしております。\ (^o^)/
Windows Azure Boot Camp JP ( 日本の方はこちら )http://atnd.org/event/globalazure2013
Ask the Speaker ☁ご清聴ありがとうございました不明な点などがありましたら、是非話しかけてください。