20
24

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

AWSで複数のリージョン間をVPNで結ぶにはどうすればよいか

Last updated at Posted at 2015-07-27

マルチリージョンVPN

AWSでは2015/7/27現在、各リージョンのEC2同士を通信する際に、セキュアな接続は提供されていない。
そのため、今回はマルチリージョンでの接続を行う際の構成を考えて構築しました。
尚、同一リージョン内であれば、VPCピアリングが利用可能です。

構成

項目 実装
VPN_OS VyOS
冗長性(インターネット) BGP
冗長性(AWS内) Serf
VPN IPSEC

OSはCisco CSR 1000V も検討しましたが、無料で使える最善の選択として、VyOSを選定。
インターネット上の経路はBGPで冗長化する(OSPFでもよい)。
AWS内はSerfで冗長化を図った、これは実装が簡単であることが採用のポイント。
尚、LoopBackのIPの公告にOSPFを使用するが、AWSではインターフェイスが1つしかないため不要と考え実装してない。
VPNはIPSECにて実装、aes256/sha512が対応していることが条件。

構成図

alt

設定項目

こちらの AWSリージョン間接続 BGP冗長構成 を元に作成可能です。

追加項目としては、新しい接続対象を1つ追加することで対応できます。

BGP新しいピアを設定する場合

set protocols bgp [自AS番号] neighbor [VPN用アドレス] remote-as [AS]
set protocols bgp [自AS番号] neighbor [VPN用アドレス] soft-reconfiguration inbound

注意点

3リージョンの注意点としては、BGPの設計を把握している方が推奨になります。
障害ポイントを洗い出し、通信がどのような経路で障害を回避するのかを把握する必要があります。

起こりにくい障害ですが、例えば東京-バージニア-オレゴンをフルメッシュで接続している構成で、
東京-バージニア間で障害が発生した場合、東京→オレゴン→バージニア経由の通信があるということがあり得るということです。

そのような通信を行いたくない場合、該当の経路をフィルタリングする設定を追加する必要があります。

まとめ

AWSでの各リージョン間との接続は、AWS独自の実装としてはSerfのみになります。
その他のIPSEC/BGPはAWS環境以外でも行っているお話ですので、
構築はネットワークを把握している方にお任せするのがよいと思います。

20
24
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
20
24

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?