【ハンズオン】入門チュートリアルをもとにVPC ルート サーバーを触ってみよう！！

いつも記事を読んでいただきありがとうございます！
モブエンジニア（@mob-engineer)です！

AWSネットワーク界隈でVPCルートサーバーがバズっていたので検証もかねてVPCルートサーバーに関するハンズオン記事を執筆してみました。

初見の方でもサクッと読めるように平易な表現で執筆しておりますので、お気軽に読んでいただければ幸いです。

ハンズオン内容はAWS入門チュートリアルから抜粋しております。

https://docs.aws.amazon.com/vpc/latest/userguide/route-server-tutorial.html

目次

• 対象読者
• アップデート
• ハンズオン
  • その１：必要なIAMロールの権限を設定する
  • その２：ルートサーバーを作成する
  • その３：ルートサーバーをVPCに関連付ける
  • その４：ルートサーバーエンドポイントを作成する
  • その５：ルートサーバーの伝播を有効にする
  • その６：ルートサーバーピアを作成する
  • その７：デバイスからBGPセッションを開始する
  • お片付け
• 所感

対象読者

次のような課題を抱えている方に本記事をお役立ていただければ幸いです。

• VPCルートサーバーについてキャッチアップしたいと思っている方
• いまいちどんなことができるのか知りたいと思っている方

アップデート

04/02のWhat NewでVPCルートサーバーについて紹介されました。

AWS announces the general availability of VPC Route Server to simplify dynamic routing between virtual appliances in your Amazon VPC. Route Server allows you to advertise routing information through Border Gateway Protocol (BGP) from virtual appliances and dynamically update the VPC route tables associated with subnets and internet gateway.
Prior to this feature, you had to create custom scripts or use virtual routers with overlay network to dynamically update VPC route tables. VPC Route Server removes the operational overhead of creating and maintaining overlay networks or custom scripts and offers a managed solution for dynamically updating routes in route tables. With VPC Route Server, you can deploy endpoints in your VPC and peer them with your virtual appliances to advertise routes using BGP. The Route Server filters these received routes using standard BGP attributes and propagates the selected routes to the specified route tables. This makes it easy for you to dynamically update routes and quickly mitigate appliance failure or other issues.
VPC Route Server is available in US East (Virginia), US East (Ohio), US West (Oregon), Europe (Ireland), Europe (Frankfurt) and Asia Pacific (Tokyo) AWS Regions.
For more information, see the VPC Route Server documentation.

• 日本語訳

AWS は、Amazon VPC 内の仮想アプライアンス間の動的ルーティングを簡素化する VPC ルートサーバーの一般提供を発表しました。ルートサーバーを使用すると、仮想アプライアンスからボーダーゲートウェイプロトコル (BGP) を介してルーティング情報をアドバタイズし、サブネットとインターネットゲートウェイに関連付けられた VPC ルートテーブルを動的に更新できます。
この機能が導入される前は、VPC ルートテーブルを動的に更新するには、カスタムスクリプトを作成するか、オーバーレイネットワークを備えた仮想ルーターを使用する必要がありました。VPC ルートサーバーは、オーバーレイネットワークまたはカスタムスクリプトの作成と維持の運用オーバーヘッドを排除し、ルートテーブル内のルートを動的に更新するためのマネージドソリューションを提供します。VPC ルートサーバーを使用すると、VPC にエンドポイントをデプロイし、それらを仮想アプライアンスとピアリングして、BGP を使用してルートをアドバタイズできます。ルートサーバーは、標準の BGP 属性を使用してこれらの受信したルートをフィルタリングし、選択したルートを指定されたルートテーブルに伝播します。これにより、ルートを動的に更新し、アプライアンスの障害やその他の問題を迅速に軽減することが容易になります。
VPC ルートサーバーは、米国東部 (バージニア)、米国東部 (オハイオ)、米国西部 (オレゴン)、欧州 (アイルランド)、欧州 (フランクフルト)、アジアパシフィック (東京) の AWS リージョンで利用できます。

すごくざっくり言えば、仮想アプライアンスからBGPを用いたルーティングをいい感じで処理してくれる機能と思ってもらえればわかりやすいかと思います。

とはいえ、触ってみないとイメージが付かないのでハンズオンを行ってみたいと思います。

東京リージョンで利用する場合１時間あたり1.03ドルかかるのでお高い印象がありますね。

VPCルートサーバーを利用するうえで登場する機能を先にお伝えしておきます。

• ルート サーバー
  • ルート サーバー コンポーネントは、転送情報ベース (FIB) 内の IPv4 または IPv6 ルートを使用して、VPC およびインターネット ゲートウェイのルート テーブルを更新します。ルート サーバーは、単一の FIB とルーティング情報ベース (RIB) を表します。
• ルートサーバーエンドポイント
  • ルートサーバーエンドポイントは、サブネット内の AWS 管理コンポーネントであり、BGP (Border Gateway Protocol)を促進します。ルート サーバーと BGP ピア間の接続。
• ルート サーバー ピア
  • ルート サーバー ピアは、ルート サーバー エンドポイントと AWS にデプロイされたデバイス (EC2 インスタンスで実行されているファイアウォール アプライアンスやその他のネットワーク セキュリティ機能など) 間のセッションです。デバイスは次の要件を満たしている必要があります。

ハンズオン

その１：必要なIAMロールの権限を設定する

Administrator権限のIAMロールが付いていれば設定不要です。

なお、公式ドキュメントでは以下権限を持つロールを作成することを示しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateRouteServer",
            "Effect": "Allow",
            "Action": [
                "sns:CreateTopic"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteRouteServer",
            "Effect": "Allow",
            "Action": [
                "sns:DeleteTopic"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateRouteServerEndpoint",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateTags",
                "ec2:DeleteTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteRouteServerEndpoint",
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateTags",
                "ec2:DeleteTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateRouteServerPeer",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupIngress"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteRouteServerPeer",
            "Effect": "Allow",
            "Action": [
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*"
        }
    ]
}                
            

その２：ルートサーバーを作成する

• 画面上部の検索ボックスにVPCを入力し検索結果をクリック

• 左側ペインのルートサーバーをクリックします

• クリック後、画面右上のルートサーバーの作成ボタンをクリック

• ルートサーバー作成画面が表示されるため次の通り設定します
  • 名前：任意の名前 ※今回はDemoと入力
  • Amazon側のASN：任意の番号　※今回は64512
    • 公式サイトでは、64512～65534または4200000000～4294967294を推奨
  • 保持期間：1～5の間
  • SNS通知を有効にする：有効
    • オプション設定のため無効でも問題ありません
• 設定後、下部のルートサーバーを作成ボタンをクリック

• ルートサーバーの設定一覧が表示されます

その３：ルートサーバーをVPCに関連付ける

• 画面中央右側のルートサーバーを関連付けるボタンをクリック

• ポップアップが表示されるため紐づけたいVPCを選択
  • 検証なのでデフォルトのVPCを選んでいます

• 指定したVPCが選択されていることを確認後、ルートサーバーを関連付けるボタンをクリック

• VPCの関連付けが追加されていることを確認します

その４：ルートサーバーエンドポイントを作成する

• 画面中央のルートサーバーエンドポイントタブをクリック

• 画面中央右側のルートサーバーエンドポイントを作成ボタンをクリック

• ルートサーバーエンドポイント作成画面が表示されるため次の通り設定する
  • 名前：任意の名前　※今回はDemoと入力
  • ルートサーバ：作成したルートサーバID
    • 今回は一つしか作成していないためデフォルトで設定されています
  • サブネット：任意のサブネットID
    • 3個作成されているので任意のサブネットを選べば問題ないです
• 設定完了後、ルートサーバーエンドポイントを作成ボタンをクリック

• 次の画面へ遷移するため、画面左上部のルートサーバーエンドポイントのリンクをクリック

• ルートサーバーエンドポイント一覧画面へ遷移します
• 先ほど作成したルートサーバーエンドポイントが表示されていることを確認します

ハンズオン手順によると、各サブネットごとに2個のエンドポイントを作成するように示されています。

• 各サブネット（3個）ごとにエンドポイントを作成した結果は次の通りです

その５：ルートサーバーの伝播を有効にする

• 画面上部のルートサーバータブをクリック

• 作成したルートサーバのルートサーバーIDをクリック

• ルートサーバー設定一覧画面が表示されるため、画面中央の伝播タブをクリック

• 画面中央右側の伝播を有効にするボタンをクリック

• ポップアップが表示されるため任意のルートテーブルを選択
  • 今回は1つしか表示されなかったため表示されたものを選択

• ルートテーブルが選択されていることを確認後、伝播を有効にするボタンをクリック

• 伝播リストにルートテーブルが追加されていることを確認します

その６：ルートサーバーピアを作成する

• 画面上部のルートサーバーリンクをクリック

• ルートサーバー一覧画面へ遷移するため、ルートサーバーピアタブをクリック

• 画面上部右側のルートサーバーピアを作成ボタンをクリック

• ルートサーバーピア作成画面が表示されるため次の通り設定する
  • 名前：任意の名前　※今回はDemoと入力
  • ルートサーバーエンドポイントID：任意のルートサーバーエンドポイントID
  • ピアアドレス：任意のIPアドレス
    • 今回は10.0.0.0を入力
  • ピアASN：任意のASN番号
    • 今回は64513を入力
• 入力後、ルートサーバーピアを作成ボタンをクリック

ピアASN番号に関してですがその２：ルートサーバーを作成するで設定したASN番号と同じ番号ですとエラーが表示されます。

• 作成したルートサーバーピアが表示されていることを確認します

その７：デバイスからBGPセッションを開始する

手順を行おうと思いましたがドキュメントには以下の通り示されています。

ざっくり言えば、宅内にBGPとおしゃべりできる機器を使ってくださいねといった内容が書かれていると推察します。

残念ながら、私は宅内にBGPとおしゃべりできる機器を持っている誤家庭ではないためハンズオンはここまでですね。（FortiGate、Cisco Catalystと組み合わせれば行けそうな印象ですかね）

お片付け

本サービスは従量課金サービスのためハンズオン後はお片付けをする必要があります。
今まで作成したリソース群を削除すれば問題ありません。

削除時のポップアップですがdeleteと入力されていますが、削除と入力するのが正しいようです。

所感

VPCルートサーバーを触ってみた感想として、

• 仮想アプライアンスからBGPを動的に通信できる機能がAWSに実装されたのはうれしい
  • SD-WANなどのソリューションと組み合わせて利用するユーザが増える印象
• コスト感として他ネットワークサービスと比較して高めな印象はぬぐえない
  • リリースしたてのサービスなので仕方ないといえどうーんといった印象
• 作業数自体は少ないがクラウド初心者が触るにはちょっと高度な機能といった印象を持った
  • SIerなどの技術を有している企業であれば問題ないがユーザー系企業だと運用工数が
  • そこそこネットワーク設計ができるエンジニア向けのサービスって印象ですね

そのうえで、今後多くのリージョンで利用可能になると思われますので期待のサービスであることは間違いないと思います。

最後まで記事を読んでいただきありがとうございました！！

参考サイト（主にネットワーク設計関連ですが）

PS:

infra365さんがVCPルートサーバのルート検証記事を書いてくださいました！！
本当にありがとうございます🙇‍♂️