KDDI IoT コネクト Air オプション機能 概要およびユーザー...
21
「KDDI IoT コネクト Air」(オプション機能) 概要およびユーザーコンソールでの設定方法 KDDI IoT コネクト Air のオプション機能(+Beam,+Canal,+Direct)の概要およびユーザーコンソールでの設定方法を 説明します。 各オプションをご利用いただくためには、「KDDI IoT コネクト Air」の利用が前提となりますので、 基本編として「KDDI IoT コネクト Air」ユーザコンソールの使い方も参照願います。 なお、本機能はソラコム社との協力のもと提供しており、利用する設備(エントリポイント)は共用となっております。 概要 1. +Beam デバイスからの通信内容をネットワーク設備側で暗号化(プロトコル変換)したり、接続先の設定・変更などの管理を 可能とします。 これにより IoT デバイス側での暗号化等の負荷の高い処理、デバイス毎の設定作業などの負担を無くし、 安全なデータ送信環境を提供します。 ◆ユースケース ①デバイス側に暗号化機能は無いが、暗号化してセキュアな通信を行いたい。 ②センター側に負荷分散装置を導入することなくデバイス毎に接続先サーバを分散したい。 ③センター側設備の更改などにおいても端末側設定の変更作業が不要な構成としたい。 ④センター側でデバイス認証を行い、セキュリティを高めたい。 (デバイス側に固有の識別情報の送出する機能は無い) ⑤センター側のアプリケーションをソケット通信のプログラムから REST アーキテクチャの プログラムにデバイス側を変更することなく対応させたい。 ⑥クラウドサービス(AWS,AWS IoT,Microsoft AZURE,IBM IoT Foundation など)と接続したい。 ※詳細はソラコム社ドキュメント https://dev.soracom.io/jp/docs/beam_detail/ 内に 「クラウドサービス連携」として具体的な接続例がありますので適宜ご参照下さい。
Transcript of KDDI IoT コネクト Air オプション機能 概要およびユーザー...
「KDDI IoT コネクト Air」(オプション機能)
概要およびユーザーコンソールでの設定方法
KDDI IoT コネクト Air のオプション機能(+Beam,+Canal,+Direct)の概要およびユーザーコンソールでの設定方法を
説明します。
各オプションをご利用いただくためには、「KDDI IoT コネクト Air」の利用が前提となりますので、
基本編として「KDDI IoT コネクト Air」ユーザコンソールの使い方も参照願います。
なお、本機能はソラコム社との協力のもと提供しており、利用する設備(エントリポイント)は共用となっております。
概要
1. +Beam
デバイスからの通信内容をネットワーク設備側で暗号化(プロトコル変換)したり、接続先の設定・変更などの管理を
可能とします。
これにより IoTデバイス側での暗号化等の負荷の高い処理、デバイス毎の設定作業などの負担を無くし、
安全なデータ送信環境を提供します。
◆ユースケース
①デバイス側に暗号化機能は無いが、暗号化してセキュアな通信を行いたい。
②センター側に負荷分散装置を導入することなくデバイス毎に接続先サーバを分散したい。
③センター側設備の更改などにおいても端末側設定の変更作業が不要な構成としたい。
④センター側でデバイス認証を行い、セキュリティを高めたい。
(デバイス側に固有の識別情報の送出する機能は無い)
⑤センター側のアプリケーションをソケット通信のプログラムから REST アーキテクチャの
プログラムにデバイス側を変更することなく対応させたい。
⑥クラウドサービス(AWS,AWS IoT,Microsoft AZURE,IBM IoT Foundationなど)と接続したい。
※詳細はソラコム社ドキュメント https://dev.soracom.io/jp/docs/beam_detail/ 内に
「クラウドサービス連携」として具体的な接続例がありますので適宜ご参照下さい。
2. +Canal
AWS(Amazon Web Service)上のクラウドサーバまでに直接接続し閉域網を提供します。
お客様が AWS を利用しセンター設備を構築する場合に、インターネットを経由することなく、
センター設備までセキュアな通信を行います。
お客様専用の仮想 GW(VPG)を作成し、お客様指定の IP アドレス体系(固定付与を含む)を
デバイス側に付与可能となり、センター起点の通信、端末間の通信も可能となります。
なお、+Canalで接続可能なサイトは AWS東京リージョンとなります。
◆利用開始まで流れ
①AWS(Amazon Web Service)側の機能準備(VPC の作成等)を行い、デバイスおよび KDDI IoT コネクト Air用
SIM で利用可能であることを確認いただきます。
※「AWS with KDDI」をご利用いただく場合、AWSのご利用について、弊社にてサポート、日本円での料金請求も行っ
ております。
※「AWS with KDDI」をご利用いただく場合、別途営業担当までご相談下さい。
②利用する SIM に対して該当する VPG に対してグループ割り当てを行って下さい。
③+Canal の設定を行い利用開始となります。
3. +Direct
お客様拠点(システム)まで専用線接続イメージの閉域網を提供します。
お客様拠点(システム)と KDDI収容局を結ぶアクセス回線、WVS/WVS2(AWS ダイレクト)の契約が別途必要となり
ます。
※WVS/WVS2(AWS ダイレクト)の申込書、プロビジョニングに従い、事前にネットワーク構築をお願いします。
自社専用のセキュアなネットワークシステムが構築できます。
KDDI にてお客様専用の仮想 GW(VPG)を作成しますが、お客様指定の IP アドレス体系(固定付与を含む)を
デバイス側に付与可能となり、センター起点の通信、端末間の通信も可能となります。
詳細は営業担当にお問い合わせください。
◆利用開始まで流れ
①お客様拠点(システム)にデバイスおよび KDDI IoT コネクト Air用 SIMで接続可能であることを確認。
②WVS/WVS2(AWS ダイレクト)の申込手続き。営業担当までご相談下さい。
※申込情報(お客様情報、NW設定情報、料金、利用開始日)を確認し約 10営業日での開通となります。
③利用する SIM に対してグループ割り当てを行って下さい。
④+Directの設定を行い、利用開始となります。
設定方法
1. +Beam
+Beam の設定は SIMのグループに対して実施します。まずはグループを作成し、対象の SIM をグループに所属させておいて
下さい。
以下に+Beamの設定手順などを示します。
①メニューより「SIM グループ」を選択します。
②設定するグループを選択します。
グループ作成する場合は、「+追加」ボタンを押し作成して下さい。
③+Beam設定を選択し、機能パラメータを設定します。
④デバイスが送信してくる形式に一致するエントリポイント(受け口)を指定します。
「+」ボタンを押してください。
★デバイスが送信してくる形式および変換したい形式に合わせてエントリポイントを指定してください。
•HTTP エントリポイント
デバイスから HTTP リクエストを受け付け、HTTP もしくは HTTPS で転送先へリクエストを転送します。
•Web サイトエントリポイント
HTTP エントリポイントと同じプロトコル変換をしたうえで、リクエストパスをそのまま転送します。
例えば http://beam.soracom.io:18080/path/to/target は https://${TARGET}/path/to/target
へ転送されます。
•MQTT エントリポイント
デバイスからの MQTT セッションを受け付け、指定のMQTT ブローカーへの MQTT もしくは MQTTSセッションを
プロキシします。
•TCP → TCP/TCPS エントリポイント
デバイスから TCPパケットを受け付け、TCP もしくは TCPS で転送先へパケットを転送します。
•TCP → HTTP/HTTPS エントリポイント
デバイスから TCPパケットを受け付け、メッセージを HTTP もしくは HTTPS リクエストに変換して転送先に転送します。
•UDP → HTTP/HTTPS エントリポイント
デバイスから UDPパケットを受け付け、メッセージを HTTPもしくは HTTPS リクエストに変換して転送先に転送します。
⑤エントリーポイントで受信したリクエストの変換方法、転送先などを指定し、保存します。
•HTTP エントリポイント
デバイスから HTTP リクエストを受け付け、HTTP もしくは HTTPS で転送先へリクエストを転送します。
このエントリポイントは、設定項目のひとつであるパス(Beam エントリポイントの受付パス)がかぶらない限り、
複数のエントリポイントを作成することができます。
設定項目
•設定名: 本設定の名前
•エントリポイント ◦プロトコル: デバイスとの通信プロト
★動作説明
・リクエスト:+Beamはオリジナルのリクエストに対して Connection ヘッダに close を設定してリクエストを転送します。
・レスポンス:+Beamは転送先から返された HTTP レスポンスをそのままデバイスに返します。
←設定名:本設定の名前。 設定の ON/OFFができます。
←エントリポイント:
端末側の通信先の URL となります。
http://beam.soracom.io:8888/
・パス:パスを指定することができます。指定しない場合、”/”のみ入力
←転送先:
転送先となる設備の情報を設定します。
・プロトコル:HTTP,HTTPSから選択できます。
・ホスト名:IP アドレス、FQDN形式で指定します。
←パスを指定することができます。指定しない場合、”/”のみ入力
←ヘッダ操作:(任意設定)
http ヘッダに SIM関連情報、オリジナルの情報を付与することができ
端末認証などに利用できます。
・IMSIヘッダ付与: 転送先へのリクエストにX-Soracom-IMSI:${IMSI}
を追加します。
・IMEIヘッダ付与: 転送先へのリクエストにX-Soracom-IMEI:${IMEI}
を追加します。
・署名ヘッダ付与: 転送先へのリクエストに
X-Soracom-Signature:${signature} を追加します。
・事前共有鍵: 署名に利用する共通鍵を設定します。詳細は後述します。
←カスタムヘッダ:(任意設定)
任意のヘッダ名と値を指定することができます。ヘッダに対して追加、置換、削
除の指定が行えます。
•WEB エントリポイント
デバイスから HTTP リクエストを受け付け、HTTP もしくは HTTPS で転送先へリクエストを転送します。HTTP エントリポイントと
の違いはパスを予め固定的に決めておく必要がないということです。以下の設定例では
http://beam.soracom.io:18080/target でアクセスすると
https://www.kddi-iot.ne.jp:80/target へ転送されます。
★動作説明
・リクエスト:+Beamはオリジナルのリクエストに対して Connection ヘッダに close を設定してリクエストを転送します。
・レスポンス:+Beamは転送先から返された HTTP レスポンスをそのままデバイスに返します。
←設定名:本設定の名前。 設定の ON/OFFができます。
←エントリポイント:
端末側の通信先の URL となります。
http://beam.soracom.io:18080/任意
※以降の項目は HTTP エントリポイント説明と同様です。
•MQTT エントリポイント
MQTTの Publish、Subscribe を転送先となるMQTT ブローカーに転送します。
MQTT ブローカーからのメッセージの Publish もデバイスに対して転送します。
←設定名:本設定の名前。 設定の ON/OFFができます。
←エントリポイント:
beam.soracom.io:1883
←転送先:
転送先となる設備の情報を設定します。
・プロトコル:MQTT,MQTTS から選択できます。
・ホスト名:IP アドレス、FQDN形式で指定します。
・ポート番号: 転送先のポート番号。
・ユーザー名: 転送先ブローカーへ送信するユーザー名。(任意)
・パスワード: 転送先ブローカーへ送信するパスワード。(任意)
・証明書: クライアント証明書を送信するかどうかのフラグ。
・認証情報: 送信するクライアント証明書。
←オプション
・IMSI付与: IMSI を送信するかどうかのフラグ。オンにするとトピックの末尾
に、トピック名/IMSI という形式で IMSI が付与されます。
•TCP → TCP/TCPS エントリポイント
TCP上で送信されたデータを TCPパケットもしくは TCPSパケットとして転送先に送信します。
←設定名:本設定の名前。 設定の ON/OFFができます。
←エントリポイント:
beam.soracom.io:8023
←転送先:
転送先となる設備の情報を設定します。
・プロトコル:TCP,TCP(over TLS)から選択できます。
・ホスト名:IP アドレス、FQDN形式で指定します。
・ポート番号: 転送先のポート番号。
←オプション:
・IMSIヘッダ付与: オンにすると imsi= を文字列形式で最初の行の一部
として送信します。
・IMEIヘッダ付与: オンにすると imei= を文字列形式で最初の行の一部
として送信します。
・署名ヘッダ付与: オンにすると以下のようなデータを
imei=XXXXXXXX7613276 imsi=XXXXXXXX4074449
timestamp=1496832866258;signature=XXXXXXXX8d0e32a
8df182c4bd48d2128 version=20151001
を文字列形式で最初の行として送信します。
(IMSI と IMEI 両方が有効になっている場合の例。
timestamp,version の値は機能が自動設定します)
少なくとも IMSI か IMEI ヘッダのどちらか一方が有効になっている必要が
あります。
・事前共有鍵: 署名に利用する共通鍵を設定します。詳細は後述します。
•TCP → HTTP/HTTPS エントリポイント
TCP上で送信されたデータを HTTP もしくは HTTPS に変換し転送先に送信します。
★動作説明
★動作説明
・リクエスト:+Beamは送信されたメッセージを Base64 にエンコードし JSON形式にし、HTTP POSTのリクエストの Body に
設定し送信します。
なお、HTTP ヘッダの user_agent には”SORACOM Beam”の文字列が設定されます。
・レスポンス:+Beamは転送先から返された HTTP レスポンスのステータスコードと Bodyの内容をデバイスに返します。
正常で Bodyが設定されてない例:200
エラーで Body が設定されている例:400 invalid data accept
←設定名:本設定の名前。 設定の ON/OFFができます。
←エントリポイント:
beam.soracom.io:23080
←転送先:
転送先となる設備の情報を設定します。
・プロトコル:HTTPS,HTTPから選択できます。
・ホスト名:IP アドレス、FQDN形式で指定します。
・ポート番号:転送先のポート番号。
・パス:パスを指定することができます。指定しない場合、”/”のみ入力
←ヘッダ操作:
・IMSIヘッダ付与: オンにするとリクエストに X-Soracom-IMSI:${IMSI}
を追加します。
・IMEIヘッダ付与: オンにするとリクエストに X-Soracom-IMEI:${IMEI}
を追加します。
・署名ヘッダ付与: オンにすると X-Soracom-Signature:${signature}
を使いします。
少なくとも IMSI か IMEI ヘッダのどちらか一方が有効になっている必要が
あります。
・事前共有鍵: 署名に利用する共通鍵を設定します。詳細は後述します。
・カスタムヘッダ:(任意設定)
任意のヘッダ名と値を指定することができます。ヘッダに対して追加、置換、削
除の指定が行えます。
←レスポンス:
オンにするとレスポンスに HTTP のステータスコードを含まないようにします。
•UDP → HTTP/HTTPS エントリポイント
送信された UDPの 1パケット(厳密には 1UDP データグラム)を 1 つの HTTP もしくは HTTPS リクエストに変換し
転送先に送信します。
★動作説明
★動作説明
※TCP→HTTP/HTTPS エントリポイントと同じですので省略します。
←設定名:本設定の名前。 設定の ON/OFFができます。
←エントリポイント:
beam.soracom.io:23080
※以下、TCP→HTTP/HTTPS エントリポイントと同じですので省略します。
•Beamが付与する署名ヘッダと事前共有鍵について
署名は下記のように計算され、X-Soracom-Signature としてリクエストに付与されます。
例えば下記のような前提条件の場合
事前共有鍵: topsecret
IMSI: 440101111111111
IMEI: 1111122222333333
TIMESTAMP: 1445587157992
具体的には以下のように計算し、値を付与します。
SHA256('topsecret'+'x-soracom-imei=1111122222333333x-soracom-imsi=440101111111111x-sora
com-timestamp=1445587157992')
•エラーログの確認について
+Beam では、直近 2週間のエラーログを保管しており、ユーザコンソールや APIから確認することができます。うまく通信でき
ないときなどのデバッグに利用できます。
確認できるエラーログの内容は以下のとおりです。
・Beam 設定が存在していない、もしくは無効になっている場合
・転送先サーバーが見つからない場合 (TCP/UDP/HTTP)
・転送先サーバーからエラーが返却された場合 (HTTPのみ)
①メニューより「ログ」機能を選択します。
TOP へ
②IMSI番号や期間を指定してログを表示します。
•+Beam 設定の無効化
+Beam の利用にはリクエスト単位で料金がかかります。Beam を使わない場合には、設定を無効化するか、
グループから登録解除してください。
•Beam の設定を無効化する場合 [+Beam 設定] で表示される一覧から無効化したい項目を選択し、設定名横のスイ
ッチを[OFF]にします。
•回線単位で解除したい場合は SIM 管理画面を開いて、対象の SIM を選択し、[所属グループ変更] を選択し、
表示されたダイアログで、[グループ解除]をクリックします。
・設定そのものが不要となった場合は、[+Beam 設定]で表示される一覧の下の「-」ボタンを押すと
設定一覧の右横にごみ箱アイコンが表示され、これを押し削除します。
2. +Canal
+Canalの利用は SIM のグループと関連付ける定義します。まずはグループを作成し、対象の SIM をグループに所属させてお
いて下さい。以下に+Canalの設定手順などを示します。
①VPGの作成
・メニューより「VPG」を選択します。
注意:VPGは作成した時点から時間単位での課金が始まり、削除するまで課金されます。
利用する時期、期間を考慮の上、作成・削除タイミングをお客様にてお決め下さい。
・「+VPG を追加」選択します。
・VPG の情報を指定し、作成します。
「作成」をクリックすると、「状態」が「作成中」となり、3分程度で「実行中」に変わります。
・名前:判りやすいもの指定します。
・対象サービスは「Canal」を指定します。
※重要 Direct を指定すると+Direct用の VPG
が作成され、+Direct としての料金がかかってしまいま
す。
・インターネットゲートウェイを使う:OFFにするとインターネッ
トアクセスを制限できます。
・デバイスサブネット IP アドレスレンジ:
任意のレンジを指定できます。
②作成した VPG と AWS上の VPC をピアリングの申請をします。
AWS のアカウント番号、接続先の VPC ID、VPC の アドレスレンジ (CIDR)が設定情報として必要になります。
お客様にて事前に AWSで確認してください。
参考:
AWS のアカウント番号は、AWS マネジメントコンソールの右上にある「サポート」→「サポートセンター」をクリックし、
表示されるサポートセンターの右上で確認できます。
VPC ID と VPC のアドレスレンジ(VPC CIDR)は AWS マネジメントコンソールから VPC ダッシュボードの
「VPC」で一覧から確認することができます。
・対象の VPG を選択します。
・「基本設定」→「VPC ピア接続」から「追加」をクリックします。
・AWSから取得した各情報を設定し、作成ボタンを選択します。
③AWS上でピアリング接続を受諾し、ネットワークを設定します。
この作業は AWSでの操作となります。
・AWS のマネジメントコンソールに接続し VPC ダッシュボードに移ります。
「VPC ピアリング」を選択します。②で申請したピアリングのリクエストを確認してください。
・
・当該のピアリングを選択して、「アクション」から「リクエストの承諾」を選択する。
インスタンスが含まれるルートテーブルを選択し、「100.64.0.0/10」を受諾したピアリング接続(pcx-xxxxxx)にします。
当ガイドの手順で作成した場合、「1個のパブリックサブネットを持つ VPC」を作成しているので、「明示的に関連付けられた」
サブネットが「1 サブネット」と表示されているルートテーブルになります。
VPG のアドレスレンジは、100.64.0.0/10 となりますので、当アドレスの送信先を VPG とします。
設定後、「保存」します。
④作成しておいたグループを VPG に割り当てます。
・メニューから「SIM グループ」を選択します。
・+Canal を利用するグループを選択します。
・「Air設定」を選択します。
VPG(Virtual Private Gateway)設定を「ON」にすると VPG が選択できるようになりますので、
利用する VPG を選択します。
最後に、保存します。
基本はこれで設定が完了し、+Canal利用可能となります。
重要:デバイスに固定で IP アドレスを付与させたい場合は「4.共通事項 IP アドレスの固定付与」を
参照願います。
VPG を削除する場合
VPC ピア接続の削除とグループの解除が必要です。ユーザコンソールの「閉域網接続」メニューの「基本設定」タブから VPG を選
択し VPC ピア接続とグループの解除を実行します。
VPC ピア接続とグループの解除が終わったら、続いて「高度な設定」タブで「この VPG を削除」ボタンをクリックします。これで
VPG が削除され、グループに対する Canal の設定も解除されます。
重要:VPG と Canal,Gate Peer となる AWSEC2 には利用料金がかかります。利用しないのであれば削除しておきましょう。
3. +Direct
+Directはお客様拠点(システム)と KDDIのアクセス回線サービス、WVS/WVS2(AWS ダイレクト)サービスなど利用して
閉域網を作成しますが、
サービス間の調整作業が必要なため+Canal と違い VPG の作成作業は KDDI側で実施します。
ユーザコンソール上でのお客様作業は SIM グループ管理(グループ作成および所属 SIM の管理)と VPG への関連付け
となります。
以下 KDDIからの開通通知(WVS/WVS2(AWS ダイレクト)回線および VPG作成完了)受領後に行う作業手順を記載し
ます。
①+Direct を利用するグループを作成
+Direct を利用するグループを作成し、利用する SIM をグループに所属させます。
②グループを VPG に割り当てます。
KDDI より案内した VPG にグループの割り当てを行います。
割り当操作は「+Canal設定の④作成しておいたグループを VPG に割り当てます。」と同じとなりますので、
参照してください。
これにより+Direct をご利用いただくことが可能となります。
重要:デバイスに固定で IP アドレスを付与させたい場合は「4.共通事項 IP アドレスの固定付与」を
参照願います。
4.共通事項
・IPアドレスの固定付与
まず、Gate と呼ばれる機能を有効化します。
これにより、Gate を有効化した VPG との間で、トンネルを張ることによって仮想 L2ネットワークを構成することができます。
トンネリングされた外のネットワークと、VPG配下のデバイスのネットワークが接続されて、デバイスにプライベート IP アドレスでアク
セスできるようになります。
なお Gate を有効化することで以下2項目が可能になります。
(1) デバイスにプライベート IP アドレスでアクセスできるようになります
(2) グループ内のデバイス同士で通信することが出来るようになります
https://dev.soracom.io/jp/docs/canal_group/
SIM/デバイスに割り振る IP アドレスレンジは自由に設定可能で、デフォルトでは'10.128.0.0/9'というアドレスレンジが設定され
ています。お客様が RFC1918 に定義されているプライベート IP アドレスから任意に設定することも可能です。
また各 IMSIに対して任意に設定した場合、セッションが切れても IP が変わることはありません。(固定 IP として利用可能)
Gate の機能を使わない時には、ユーザコンソールまたはAPIによってGateを無効化することができます。Gateを無効化すると、
お客様のネットワークからデバイスへの通信、デバイス間の通信を停止することができます
重要:Gateの有効化・無効化を切り替える際には数秒間の通信断が発生します。
TOPへ
