前回はCloudWANのセグメント作成、VPCアタッチメントの作成を行いました。
今回はさらにセグメントを一つ追加し、追加セグメントに所属させるVPCアタッチメントを作成していきます。
前回のおさらい的な内容となるため、不要な方はこの記事を飛ばして次回の記事(セグメント間の通信)に移動していただくのが良いかと思います。
前回の構成確認
前回の設定内容を確認します。
前回は、CloudWANにCOMMONセグメントを作成し、COMMONセグメントに所属するVPCアタッチメントを追加しました。
今回はここにCOMMON2セグメントを追加し、COMMON2セグメントに所属させるVPCアタッチメントを作成します。今回の設定内容を図にしたものがこちらです。前回同様、VPCやEC2の構築手順は割愛し、CloudWANの手順のみ記載します。
かなり要素の多い図になっていますが、設定内容はほぼ前回の繰り返しとなります。おさらいもかねて、CloudWAN側の手順を確認していきます。
セグメントの追加
まずはセグメントの追加を行います。
左メニューから「ポリシーのバージョン」を押下し、最新のポリシーを選択します。
ポリシーの詳細画面が表示されたら、「編集」を押下します。
※検証する中で何度かポリシーを修正したため、画像ではPolicy version-4と表示されていますが、ブログの手順に沿って設定を行った場合は実際の画面ではPolicy version2が最新ポリシーとなっているかと思います。
ポリシーの作成画面が表示されています。
「セグメント」タブに移動し、「作成」を押下します。
セグメントの作成画面が表示されます。
セグメント名を入力し、「承諾を必須にする」のチェックを外します。
「エッジロケーション」のプルダウンメニューから使用するリージョンを選択し、「セグメントの作成」を押下します。
ポリシーの作成画面に戻ります。
COMMON2セグメントが追加されていることを確認し、「ポリシーの作成」を押下します。
「ポリシーバージョンが正常に作成されました」と表示されることを確認します。最新のポリシーバージョンのチェックボックスにチェックを入れ、「変更セットの表示または適用」を押下します。
変更セットの内容が表示されます。
「変更セットの適用」を押下します。
「変更セットの適用が正常に開始されました」と表示されることを確認します。
最新のポリシーが適用完了となるまで、10分程度待機します。
これで、COMMON2セグメントの追加が完了しました。
アタッチメントポリシーの作成
COMMON2セグメントの追加が完了したら、COMMON2セグメント用のアタッチメントポリシーを追加します。
「ポリシーのバージョン」から最新のポリシーのリンクを押下し、ポリシーの作成画面に移動します。
ポリシーの作成画面が表示されたら、「アタッチメントポリシー」タブを表示し、「作成」を押下します。
アタッチメントの作成画面が表示されます。
ルール番号、説明、アタッチするセグメント名を入力し、条件ロジックには「または」を選択します。
アタッチメントポリシーは、ルール番号が若いものが優先的に適用されます。
条件文を記入します。
「タイプ」を「TagValue」として、オペレーターには「Equals」を指定します。
条件値のタグには「Environment」を、値には「COMMON2」を入力します。
これで、「EnvironmentタグがCOMMON2のアタッチメントはCOMMON2セグメントに所属させる」というアタッチメントポリシーとなります。
「アタッチメントポリシーの作成」を押下します。
ポリシーの作成画面に戻ります。
先ほど追加したアタッチメントポリシーが一覧に表示されていることを確認し、「ポリシーの作成」を押下します。
「ポリシーバージョンが正常に作成されました」と表示されることを確認します。
最新のポリシーバージョンのチェックボックスにチェックを入れ、「変更セットの表示または適用」を押下します。
変更セットの内容が表示されます。
「変更セットの適用」を押下し、ポリシーが適用完了となるまで10分程度待機します。これで、アタッチメントポリシーの追加が完了しました。
適用されたアタッチメントポリシーを確認します。ルール番号20番に先ほど追加したアタッチメントポリシーが表示されています。これで、アタッチメントポリシーの設定が完了しました。
アタッチメントの作成
アタッチメントポリシーの追加が完了したら、アタッチメントの作成を行います。
前回と同様の要領で、東京リージョン・パリリージョンにVPCアタッチメントを追加します。
画像は東京リージョン側のVPCアタッチメントの設定内容です。
タグの値が「COMMON2」となっている点にご注意ください。
パリ側のVPCアタッチメントの設定内容です。
こちらも、タグの値が「COMMON2」となっている点にご注意ください。
アタッチメントの作成が完了した状態です。
タグの値が正しく設定されていれば、「セグメント」の部分に「COMMON2」と表示されます。
VPC側のルートテーブルの設定
VPCアタッチメントの作成が完了したら、東京リージョン・パリリージョンのVPCにコアネットワークへのルート情報を追記します。
セグメント2のVPCCIDRは東京側が10.2.0.0/16、パリ側が10.3.0.0/16となります。
こちらは東京側のルートテーブル設定画面です。
パリ側のルートテーブル設定画面です。
ここまで完了したら、全ての設定が完了となります。
疎通確認
ここまでの設定を完了し、実際に疎通確認をした様子がこちらです。
踏み台サーバー経由でTKY-EC2にログインし、パリのEC2へ向けてpingを飛ばしています。
セグメントへの通信が上手にできない場合の確認事項
上手く疎通ができない場合は、下記項目を確認してみてください。
・セグメントのアタッチメントポリシーが設定されているか
→アタッチメントポリシーが設定されていないとアタッチメントのルーティングがされません
・アタッチメントのタグ付けが正しく行われているか
→タグ付けが正しくないとアタッチメントが正しいセグメントに所属できずルーティングがされません
・各サブネットのルートテーブルにコアネットワークへのルートが書かれているか
・EC2のセキュリティグループに許可が追加されているか
→基本ですが忘れがちなので注意ください
まとめ
再度構成図を確認します。
今回はCOMMON2セグメントを追加し、VPCアタッチメントの作成を行いました。
現在の構成は下記画像のようなイメージです。
COMMONとCOMMON2セグメントはルートテーブルが分かれている為、現状はセグメント同士の通信が行えません。セグメントアクションを設定することで、セグメント同士の通信が行えるようになります。
次回はセグメントアクションについて書いていこうと思います。
ここまでお読みいただきありがとうございました。