☁Azure de Vyatta Director CTOJAZUG / Microsoft MVP for Windows AzureKazumi Hirose - hirose@pnop.co.jp

このスライドは公開しましたhttp://www.slideshare.net/kazumihirose

今回の Vyatta の検証と設定例は、アライドテレシス株式会社、株式会社 pnop 、日本マイクロソフトの共同検証によって、得られたノウハウをフィードバックしています。

　アライドテレシス株式会社• 国内メーカーなので安心の日本語、豊富な設定事例やマニュアル• ネットワーク機器専業 25 年、トラブルにも豊富なノウハウで対応• メーカーによる Windows Azure の検証実施と情報提供• サポートエンジニアの手厚い電話対応• 専用機器である堅牢性、安定性

インフラエンジニア、ネットワークエンジニアの皆様、是非採用ご検討いただけましたら幸いです。

謝辞

About me廣瀬 一海 ( ひろせかずみ )Facebookhttp://www.facebook.com/kazumi.hirose

インフラ、ネットワーク、プログラム、仮想化などOS も言語も問わず雑食エンジニア。個人的には、 Debian が好き。クラウドもどこでも何でも使います。

pnop についてhttp://www.facebook.com/pnop.inc

クラウドソリューションプロバイダー、高負荷環境やプラットフォーム相互運用、大規模事例の技術供与などクラウド技術専門集団、最近の事例ではコミケ WEB カタログなど

Debian GNU/Linuxpnop.inc

Windows Azure

「

デプロイ王子

」

ロケ地 : シアトル・タコマ国際空港

Today’s Agenda• Windows Azure Virtual Network について• 時間があればデモ

Windows Azure VNクラウドの中にプライベートネットワークを構成する

Windows Azure VN の概要・仮想レイヤ 2 ネットワークを任意のリージョン内に構成・任意のサブネットのプライベート IP アドレスをインスタンスに割り当て可能・構成済みの仮想ネットワークに IPsec でサイトto サイトの接続が可能

用例• パブリッククラウドとプライベートクラウドのハイブリッ

ド運用• オンプレミスの Active Directory のレプリカや、インスタ

ンスをドメインに参加させる事で ID とリソースのアクセスコントロール運用や管理が可能

• リモート監視とトラブルシューティング用ネットワークとして

• クラウドサービス (PaaS) や仮想マシン (IaaS) の連携内部ネットワークとして

• クラウド to クラウドの連携用ネットワークとして

Windows Azure VN の作成以下、参考資料で、今日は割愛します。

アライドテレシス株式会社 / Windows Azure 仮想ネットワークの IPsec 接続設定例http://www.allied-telesis.co.jp/solution/cloudvpn/solution.html

Think IT / PaaS も IaaS もオンプレミスもいいとこ取り！！Windows Azure Virtual Networks で合わせワザ一本！！http://thinkit.co.jp/story/2012/10/03/3732

IPsec コンセントレーターの要件 1ルーター間の認証方式 事前共有鍵IKE 交換モード Main モードDiffie-Hellman （ Oakley ）グループ

Group2 (1024 MODP)

ISAKMP メッセージの暗号化方式 AES-128

ISAKMP メッセージの認証方式 SHA-1

ISAKMP SA の有効期限（時間） 28800 秒（ 8 時間）起動時の ISAKMP ネゴシエーション 行わない（ Respond ）DPD もしくは IKEキープアライブ 無し

SA モード トンネルモードセキュリティープロトコル ESP （暗号化＋認証）暗号化方式 AES-128

認証方式 SHA-1

IPsec SA の有効期限 ( 時間 ) 3600 秒 (1 時間 )PFS 無し

IKE フェーズ 1 （ ISAKMP SA のネゴシエーション）

IKE フェーズ 2 （ IPsec SA のネゴシエーション）

IPsec コンセントレーターの要件 2• NAT トラバーサルが可能である事• グローバル IPv4 アドレスを有している事• 上位のネットワーク、またはファイアウォールで

UDP500/UDP4500/ESP を許可している事• VPNヘッダの付与とカプセル化以前にパケットのフ

ラグメント修正処理が可能である事（ MSS値 1350 ）

• 事前共有鍵の長さが 32文字以上に対応する事

デモンストレーションさくらのクラウド (石狩 )<-->Windows Azure (East Asia)

試験環境について

デモの様子 ( イメージ )外側の RDP

Windows Azure のインスタンス

内側の RDP

さくらのクラウドのインスタンス

コンフィグについて以下の URL に掲載しました。

Vyatta core 6.5R1 Sample CONFIGhttp://sdrv.ms/ZbPBNP

参考資料NVGRE: Network Virtualization using Generic Routing Encapsulationhttp://tools.ietf.org/html/draft-sridharan-virtualization-nvgre-02

6. クラウドコンピューティングセキュリティVXLAN／ NVGRE によるネットワーク分離http://www.ipa.go.jp/security/fy23/reports/tech1-tg/b_06.html

ネクスト・ジェネレーションクラウドネットワーク～雲の中のリストラクチャリング～http://www.slideshare.net/harutama/nifty-16012318

Global Windows Azure Boot CAMP

2013/04/27 （ Sat ）世界中 60 か所の Windows Azure コミュニティで勉強会をこの日に同時開催します。ご参加お待ちしております。＼ (^o^)／

Windows Azure Boot Camp JP ( 日本の方はこちら )http://atnd.org/event/globalazure2013

Ask the Speaker ☁ご清聴ありがとうございました不明な点などがありましたら、是非話しかけてください。