Kyusyu Infrastructure eXchange Studyhttps://www.facebook.com/groups/228512457541776/

KIXS.Vol.000オンプレとAWSをつなぐ

VPNとルーティング髙⽥ 知典

Kyusyu Infrastructure eXchange Study

⾃⼰紹介

たかだ とものりl @to_takada

l 株式会社サーバーワークス 福岡オフィス所属

l 保有資格

l ポケモンGO トレーナーLv.22（⾮課⾦）1

Kyusyu Infrastructure eXchange Study 2

オンプレミスとAWSをつなぎ隊

vpnMODEL

firewallMODEL

serverMODEL

DMZ198.51.100.0/24

Trust192.168.1.0/24

serverMODEL

Server-subnet172.16.0.0/24

Elastic Load Balancing

instances

AmazonRDS

Databese-subnet172.16.1.0/24

独⽴した論理ネットワークの単位

プライベートIPアドレスで

/28 および/16 の範囲でCIDR定義が可能

Kyusyu Infrastructure eXchange Study 3

オンプレミスとAWSの接続

l 3つの接続⽅法

l インターネットVPN接続（IPsec）

l AWS Direct Connectを使った専⽤線接続

l EC2インスタンス（仮想マシン）上にVPNソフトウェアを動作させる

Kyusyu Infrastructure eXchange Study 4

インターネットVPN接続の構成例（シングル構成）

• トンネルモード

• AES128bit

• ２本のVPNコネクション

• ルーティング

• BGP or 静的

• 1つのVPCあたり1つ

• 単⼀障害点や帯域のボトルネックは存在しない

• データセンター側のルータ/FW

• 暗号化処理前のフラグメントが必須

• IPsec Dead peer Detectionの利⽤が推奨

出典：https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS-BlackBelt-VPC_public.pdf 38ページ

Kyusyu Infrastructure eXchange Study 5

CGWとして使⽤できるルーター

出典：https://aws.amazon.com/jp/vpc/faqs/#C9

Kyusyu Infrastructure eXchange Study 6

２本のVPNのコネクションの使われ⽅

customer gateway

router

VPN gateway

router

• オンプレミス側からAWS側への通信は正常時、⽚⽅のコネクションに寄る• VPN gateway側から、MED値により優先経路が通知されている模様（マニュア

ル等に記載はないが。。。）• AWS側からオンプレミス側への通信の制御する場合は、後述の⽅法をとる。

• 同⼀物理回線上のコネクションなので、どちらが使われても問題ない

BGP ASN:65000

BGP ASN:10124

VPN connection

VPN connection

Kyusyu Infrastructure eXchange Study 7

出典：https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS-BlackBelt-VPC_public.pdf 39ページ

インターネットVPN接続の構成例（冗⻑構成）

Kyusyu Infrastructure eXchange Study 8

Customer gatewayを冗⻑化した場合の経路選択

customer gateway

router

VPN gateway

router

BGP ASN:65000BGP ASN:10124

customer gateway

VPN connection

VPN connection

VPN connection

VPN connection

⾚と⻘の物理回線速度が異なる場合など、優先的に使⽤する経路を選択したい

1000Mbps

100Mbps

Kyusyu Infrastructure eXchange Study 9

冗⻑化構成の場合の経路選択（オンプレ→AWS）

customer gateway

router

VPN gateway

router

BGP ASN:65000BGP ASN:10124

customer gateway

VPN connection

VPN connection

VPN connection

VRRP

Customer gatewayで採⽤している冗⻑化⽅式／ルーティング⽅式次第（下図はVRRP）

Active

Passive

MED値:100

MED値:200

①到達ルータ

②MED値による経路

選択

1000Mbps

100Mbps

Kyusyu Infrastructure eXchange Study 10

冗⻑構成の場合の経路選択(AWS→オンプレ)1. ロンゲストマッチ2. スタティックルート3. AS-PATH4. PATHのORIGIN5. ルーターID（最⼩）6. BGPピアのIPアドレス（最⼩）

参考）http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/NetworkAdminGuide/Introduction.html

AS-PATH:65000,65000

1000Mbps

100Mbps

Kyusyu Infrastructure eXchange Study 11

Kyusyu Infrastructure eXchange Study 12

素朴な疑問

Customer Gatewayで設定したねずっちMED値で制御できないのか？

MED値:200

MED値:100

Kyusyu Infrastructure eXchange Study 13

答え

できるっぽいが、サポート対象外っぽいです。

Kyusyu Infrastructure eXchange Study 14

まとめ

• AWSとオンプレミスとは、インターネットVPNを使って⽐較的⼿軽に接続することができます。

• AWS側からオンプレミス側への通信経路選択には、AS-PATHを使うとよいです。

• オンプレミス側からAWS側への通信経路選択は、Customer Gatewayの構成内容にもよりますが、AWS側から渡される経路属性をそのま使うといです。