前回はCloudWANの初期設定を行いました。
今回からは、CloudWANの具体的な構築を行っていきます。
CloudWANのコンソールは少し癖があり、TransitGatewayの構築とは異なる部分が多くあります。
この記事で構築の際の注意点などをお伝えしていこうと思います。ぜひ最後までお付き合いください。
設定内容
今回の設定内容を構成図で確認します。
前回作成した「COMMON」というセグメントに、東京リージョン・パリリージョンのVPCを接続します。
東京リージョンのEC2から、パリリージョンのEC2へpingが通ることを確認します。
構築の流れ
先ほどの構成図を少し詳細にした図がこちらです。
番号が振られている部分が設定箇所となります。
①グローバルネットワーク
②コアネットワーク
③セグメント
④アタッチメントポリシー
⑤CloudWANのVPCアタッチメント
⑥VPCのルートテーブル
VPC・EC2の作成については割愛し、CloudWANの手順のみを確認していきます。
VPCアタッチメントはプライベートサブネットにしか設定できないため、疎通確認をする場合は踏み台を作成しておくか、SSMでEC2ログインができるように設定しておいてください。
①~③までは前回の記事で手順を確認したため、今回は④~⑥の手順を確認していきます。
アタッチメントポリシーの設定
まずはアタッチメントポリシーの設定を行います。
NetworkManagerのページからグローバルネットワークを選択し、左メニューからコアネットワーク>ポリシーのバージョンへ移動します。
Policy-version-1のリンクを押下します。
Policy-version-1の詳細画面に移動したら、「編集」を押下します。
ポリシーの作成画面が表示されます。「セグメント」タブを選択し、「COMMON」セグメントのチェックボックスにチェックを入れ、「編集」を押下します。
セグメントの編集画面が表示されます。この画面から、エッジロケーション(リージョン)の追加などが行えます。今回は検証の為、「承諾を必須にする」のチェックを外し、「セグメントの変更」を押下します。「承諾を必須にする」のチェックを入れた状態だと、アタッチメントを作成する度にアタッチメントの承認作業が必要となります。
次にアタッチメントポリシーの作成を行います。
アタッチメントポリシーとは、「どのアタッチメントをどのセグメントに所属させるか」を決めるルールです。アタッチメントポリシーのタブに移動し、「作成」を押下します。
アタッチメントポリシーの作成画面が表示されます。
ルール番号・説明を入力し、「セグメントオプションへのアタッチ」に「セグメント名」を指定します。
「セグメントにアタッチする」のプルダウンメニューから「COMMON」を選択し、「条件ロジック」には「または」を選択します。
下にスクロールし、「タイプ」「オペレーター」「条件値」を指定します。
今回は「タイプ」に「TagValue」を、「オペレーター」に「Equals」を指定しました。
これで、「条件値で指定したタグの値が一致する場合にアタッチメントを特定のセグメントに所属させる」というルールになります。
今回はタグに「Environment」を、値に「COMMON」を指定しました。
これで、「EnvironmentタグがCOMMONのアタッチメントはCOMMONセグメントに所属させる」というアタッチメントポリシーになります。
「アタッチメントポリシーの作成」を押下します。
「ポリシーの作成」画面に戻ります。
右下の「ポリシーの作成」ボタンを押下します。
「ポリシーバージョンが正常に作成されました」と表示されることを確認します。
Policy-version-1の下にPolicy-version-2が表示されています。
まだポリシーは適用されていないので注意してください。
Policy-version-2のチェックボックスにチェックを入れ、「変更セットの表示または適用」を押下します。
変更セットが表示されます。
内容を確認し、「変更セットの適用」を押下します。
ポリシーバージョンの画面に戻ります。
画面上部に「ポリシー変更セットの実行が正常に開始されました」と表示されることを確認します。
Policy-version-2の状態が「Execution succeeded」と表示されたら、変更セットの適用は完了です。
アタッチメントの作成
アタッチメントポリシーの変更ができたらアタッチメントを作成します。
左メニューから「アタッチメント」に移動し、「アタッチメントの作成」を押下します。
アタッチメントの作成画面が表示されます。
アタッチメントの名前を入力し、エッジロケーションのプルダウンメニューからアタッチメントを作成したいリージョンを選択します。今回は東京リージョンのVPCにアタッチメントを設定する為、「アジアパシフィック(東京)」を選択します。
アタッチメントタイプには「VPC」を選択します。
スクロールし、VPCIDのプルダウンメニューからVPCアタッチメントを作成したいVPCを選択します。
サブネットIDとして、アタッチメントを作成するサブネットを選択します。この時、パブリックサブネットは指定できない点に注意してください。
スクロールし、タグを入力します。
先ほどのアタッチメントポリシーでは「EnvironmentタグがCOMMONのアタッチメントは
COMMONセグメントに所属させる」というルールを作りました。なので、こちらのアタッチメントには「Environment」キーを付与し「COMMON」の値を設定しました。
アタッチメントのタグが正しく設定されていないと、アタッチメントをセグメントに所属させることができないので注意してください。
全ての設定項目を入力したら、「アタッチメントの作成」を押下します。
画面上部に「アタッチメントが正常に作成されました」と表示されることを確認します。
タグが正しく設定されていれば、「セグメント」に所属セグメントが反映されます。
同じ要領でパリ側にもVPCアタッチメントを追加します。
これで、アタッチメントの作成作業は完了です。
VPC側ルートテーブルの設定
アタッチメントポリシーとアタッチメントの作成が完了したら、VPC側のルートテーブルにコアネットワークまでのルート情報を追記します。
今回は東京VPC(10.0.0.0/16)とパリVPC(10.1.0.0/16)を通信させるため、VPCのルートテーブルにはそれぞれ対抗リージョンのCIDRを追記します。
こちらは東京VPC側のルートテーブル編集画面です。
パリVPCのCIDRを送信先として、ターゲットに「コアネットワーク」を指定します。
パリVPC側のルートテーブル編集画面です。
東京VPCのCIDRを送信先として、ターゲットに「コアネットワーク」を指定します。
疎通確認
ここまでの設定を完了し、実際に疎通確認をした様子がこちらです。
踏み台サーバー経由でTKY-EC2にログインし、パリのEC2へ向けてpingを飛ばしています。
まとめ
再度構成図を確認します。
左側の「TKY-EC2」から右側の「PAR-EC2」へ、CloudWAN経由で通信ができている状態です。
ここまでお読みいただきありがとうございました。
次回は、セグメントをもう一つ追加し、セグメントをごとにVPCアタッチメントを設定する手順について書こうと思います。