Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ

Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能の使いどころ

JAWS-UG朝会#47(2023年7月19日)の資料です。

yamamototis1105

July 19, 2023
Tweet

More Decks by yamamototis1105

Other Decks in Technology

Transcript

  1. © 2023 NTT DATA Corporation
    © 2023 NTT DATA Corporation
    JAWS-UG朝会 #47
    「Site-to-Site VPNトンネルエンドポイントの
    ライフサイクル制御機能の使いどころ」
    2023年7月19日
    NTTデータ 山本 泰士

    View Slide

  2. © 2023 NTT DATA Corporation
    © 2023 NTT DATA Corporation 2
    自己紹介
    山本 泰士 (やまもと たいし)
    所属:NTTデータ ネットワークソリューション事業部
    業務:
    • 金融機関向けの仮想アプライアンスを介したハイブリッドクラウド接続や
    AWS / GCPのマルチクラウド接続のネットワーク構築など
    • ServiceNow / AWS / Ansibleを連携したネットワーク自動化サービスの開発や運用
    • クラウドネットワーク人財育成の社内研修
    好きなAWSサービス:
    DirectConnect / Site to Site VPN / TransitGateway

    View Slide

  3. © 2023 NTT DATA Corporation 3
    本日お話しする内容
    AWSの最新情報[1]で検索可能なフィードのうち、Site to Site VPNに関わる最新アップデート(2023年4月1日時点)、
    「AWS Site-to-Site VPNトンネルエンドポイントのライフサイクル制御機能」 についてご紹介します。
    [1] https://aws.amazon.com/jp/new/
    本日お話しする内容

    View Slide

  4. © 2023 NTT DATA Corporation 4
    機能概要
    Site-to-Site VPNは、Amazon VPC~オンプレミス間をVPNで接続するサービスですが、
    今回の追加機能により、Site-to-Site VPNのメンテナンス情報が可視化されて制御できる ようになりました。
    AWS On-premise
    VPC
    Instance VPN Gateway Customer Gateway Server
    User
    Site to Site
    VPN
    保留中のメンテナンス有無、
    自動適用日、最終適用日を表示
    ユーザの好きなタイミングでメンテナンスを実行
    (VPNトンネル置き換え)
    メンテナンスの対象VPN接続や
    日時をユーザにメールで通知
    1
    3
    2

    View Slide

  5. © 2023 NTT DATA Corporation 5
    機能詳細(1)
    2023年4月1日~7月18日の間に自環境でメンテナンスが計画されたため、
    下記の通り、VPNトンネル置き換えを実施してみました(初期状態は右図通り)
    1. ルーティングされていないVPNトンネルから置き換え
    VGW CGW
    Tunnel1 [MED:100] (メンテナンス保留中)
    Tunnel2 [MED:-] (メンテナンス中)
    1-1. Tunnel2の置き換え時
    Tunnel2はルーティングされていないため、通信断なし。
    VGW CGW
    Tunnel1 [MED:200] (メンテナンス保留中)
    Tunnel2 [MED:100] (メンテナンス済)
    1-2. Tunnel2の置き換え後
    Tunnel2へルーティングされるが、通信断なし。
    VGW CGW
    Tunnel1 [MED:-] (メンテナンス中)
    Tunnel2 [MED:100] (メンテナンス済)
    1-3. Tunnel1の置き換え時
    Tunnel1はルーティングされていないため、通信断なし。
    VGW CGW
    Tunnel2 [MED:200] (メンテナンス済)
    Tunnel2 [MED:100] (メンテナンス済)
    1-4. Tunnel1の置き換え後
    Tunnel2へルーティングされたまま変化なし。
    メンテナンス済を優先してくれる?
    以降のメンテナンスで通信影響を与えない
    なんて優しい…
    VGW CGW
    Tunnel1 [MED:100] (メンテナンス保留中)
    Tunnel2 [MED:200] (メンテナンス保留中)
    初期状態

    View Slide

  6. © 2023 NTT DATA Corporation 6
    機能詳細(2)
    2023年4月1日~7月18日の間に自環境でメンテナンスが計画されたため、
    下記の通り、VPNトンネル置き換えを実施してみました(初期状態は右図通り)
    2. ルーティングされているVPNトンネルから置き換え
    VGW CGW
    Tunnel1 [MED:-] (メンテナンス中)
    Tunnel2 [MED:100] (メンテナンス保留中)
    2-1. Tunnel1の置き換え時
    Tunnel2へルーティングのうえTunnel1を置き換え、通信断なし。
    VGW CGW
    Tunnel1 [MED:100] (メンテナンス済)
    Tunnel2 [MED:200] (メンテナンス保留中)
    2-2. Tunnel1の置き換え後
    Tunnel1へルーティングされるが、通信断なし。
    VGW CGW
    Tunnel1 [MED:100] (メンテナンス済)
    Tunnel2 [MED:-] (メンテナンス中)
    2-3. Tunnel2の置き換え時
    Tunnel2はルーティングされていないため、通信断なし。
    VGW CGW
    Tunnel2 [MED:100] (メンテナンス済)
    Tunnel2 [MED:200] (メンテナンス済)
    2-4. Tunnel2の置き換え後
    Tunnel1へルーティングされたまま変化なし。
    わざわざ別トンネルへ
    ルーティング変更のうえ置き換えてくれる
    なんて優しい…
    VGW CGW
    Tunnel1 [MED:100] (メンテナンス保留中)
    Tunnel2 [MED:200] (メンテナンス保留中)
    初期状態

    View Slide

  7. © 2023 NTT DATA Corporation 7
    使いどころ(1)
    一つ目は、ユーザの好きなタイミングでメンテナンスしたいケース です(一見当たり前のように思われますが、意外と少ない)。
    実はメンテナンスの自動適用日まで放ったらかしでも、P5~6同様の動作でメンテナンスが通信断なく実施されます[2]
    そのため、ユーザがメンテナンスのタイミングを敢えて制御したいケースは中々無いかと思います。
    では敢えて制御したいケースは?と言うと、、、
    1. VPNトンネルが単一構成で、メンテナンス時に通信断が発生するため、
    通信断が許容できるタイミングでメンテナンスしたいケース(オフィシャルサイト記載のユースケース)
    2. VPNトンネルの状態変化によって、監視アラームが鳴動するなどの影響を受けるため、
    VPNトンネルの状態変化のタイミングを指定したいケース(オフィシャルサイト記載のユースケース)
    3. VPNトンネルは冗⾧構成だが、万が一ルーティング自動変更が失敗する可能性を考慮し、
    通信断が許容できるタイミングでメンテナンスしたいケース
    [2] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html

    View Slide

  8. © 2023 NTT DATA Corporation 8
    使いどころ(2)
    二つ目は、Site-to-Site VPNの疑似メンテナンステストを事前に実施したいケース です。
    メンテナンス時におけるルーティング自動変更は、Site-to-Site VPNを作成するだけで動作するわけでなく、
    CGW(オンプレミスルータなど)のBGPパラメータによっては上手く動作しない可能性があります[3]。
    いままでは疑似的にメンテナンスを発生させることができず、パラメータの妥当性を事前にテストできませんでしたが、
    これからはVPNトンネル置き換え機能を用いてテストできるようになりました(本機能はメンテナンス有無問わず実行可能)
    考え方としては、様々な障害に対するテスト機能がAWSより提供されていますが、同様に、運用中に起こりうる動作・状態を
    事前に確認しておくという観点では、こうしたメンテナンス動作も考慮しテストしておくことは有効かと考えます。
    VGW DXGW
    DirectConnect
    DirectConnect
    Router
    Router
    VIF
    VIF
    Router
    Router
    TGW TGW ConnectAttach VGW CGW
    Site-to-Site VPN
    DirectConnect 障害
    VIFフェイルオーバーテスト 機能
    EC2 障害
    FIS (Fault Injection Simulator) 機能
    Site-to-Site VPN メンテナンス
    VPNトンネル置き換え 機能
    [3] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html

    View Slide

  9. © 2023 NTT DATA Corporation 9
    まとめ
    1. メンテナンス適用の動作としては、適用後にメンテナンス済のトンネルにルーティングを自動変更してくれたり、
    適用前に適用対象でないトンネルにルーティングを自動変更してくれたりと優しいつくりになっている。
    2. 使いどころとしては、ユーザが好きなタイミングでメンテナンスしたいケース(意外と少ない)のほか、
    疑似メンテナンステストを実施したいケースなども有効だと考えられる。

    View Slide

  10. © 2023 NTT DATA Corporation
    © 2023 NTT DATA Corporation

    View Slide

  11. © 2023 NTT DATA Corporation 11
    (参考情報) マネジメントコンソール画面
    ライフサイクル制御機能を有効化・無効化
    トンネル切断が発生するため要注意!!!
    メンテナンスを実行(VPNトンネルを置き換え)
    トンネル切断が発生するため要注意!!!
    保留中のメンテナンス有無、
    自動適用日、最終適用日を表示
    VPC ≫
    Site to Site VPN接続
    アクション ≫
    VPNトンネルオプションを変更
    アクション ≫
    (もしくは、トンネル状態 ≫ 保留中のメンテナンス ≫ 利用可能 ≫)
    VPNトンネルの置き換え

    View Slide