Publicidad

alieaters_yoshimura_20230317.pdf

Alibaba Cloud ソリューションアーキテクト en SB Cloud Corp.
20 de Mar de 2023
Publicidad

Más contenido relacionado

Similar a alieaters_yoshimura_20230317.pdf(20)

Publicidad

alieaters_yoshimura_20230317.pdf

  1. AliEaters #24 ソフトバンク 吉村真輝aa 2023年3月17日(金) オンプレとAlibaba Cloud接続時の VPC NATのために試したことを紹介 #AliEaters
  2. MVPリベンジするぞ MVP継続ならず・・・
  3. About Me 吉村 真輝 ソフトバンク株式会社 法人事業統括 クラウドエンジニアリング本部 - Alibaba Cloud Certified Trainer - 中国クラウドが得意 - 横浜在住
  4. 今日話すこと オンプレとAlibaba Cloud接続する時の話。 例えばオフィスLANとVPCのCIDRが重複したら、 VPCをNATとかしたい!!
  5. vSwitchとLANがCIDR重複で、CEN経由で通信できない VPC 10.0.0.0/8 Vswitch 10.0.20.0/24 Transit Router (VPC) CEN VBR Transit Router (VBR) CPE LAN 10.0.20.0/24 オンプレサーバ
  6. VPCをNATすると、CIDR重複が避けられるはず! 「NAT的な何か」をこの後、いろいろと紹介します。 VPC 10.0.0.0/8 Vswitch 10.0.20.0/24 Transit Router (VPC) CEN VBR Transit Router (VBR) CPE LAN 10.0.20.0/24 ここでNAT的 な何かをする オンプレサーバ
  7. 案1 もっともシンプルな VPC NAT Gateway の利用 2021年8月頃にリリースされていた。VPC環境をNATして、DNAT/SNAT可能。 VPC 10.0.0.0/8 Vswitch 10.0.20.0/24 Transit Router (VPC) CEN VBR Transit Router (VBR) CPE LAN 10.0.20.0/24 NAT CIDR 192.168.0.0/16 参考ドキュメント What is a VPC NAT gateway? vSwitch 10.0.20.0/24 をNAT IPにSNATするよ。 オンプレサーバ宛のNextHop は TransitRouter(VPC)だよ。 オンプレサーバ クラウドのCIDRは192.168.0.0/16 クラウド宛のNextHop はVBRだよ。 VPC NAT GatewayだけCENに ルート広報するよ。 VPC NAT Gateway オンプレサーバ宛のNextHop は NAT Gatewayだよ。 NAT IP
  8. 案2 Secondary CIDR と Secondary ENI VPC 10.0.0.0/8 Vswitch 10.0.20.0/24 Transit Router (VPC) CEN VBR Transit Router (VBR) CPE LAN 10.0.20.0/24 Secondary CIDR 192.168.0.0/16 参考ドキュメント Create and manage a VPC OSでスタティックルートをかくよ。 オンプレサーバ宛のNextHop は2nd ENIからでて、Secondary CIDRの デフォルトゲートウェイだよ。 オンプレサーバ クラウドのCIDRは192.168.0.0/16 クラウド宛のNextHop はVBRだよ。 2nd ENI Secondary CIDRだけCENにルート 広報するよ。
  9. 案3 VPCを分離して、NAT用VPCを作成 NAT用VPCを利用することで、Service VPCを直接CENに接続しない (稼働中のサービスだとこれが求めれるケースがある) VPC 10.0.0.0/8 Vswitch 10.0.20.0/24 Transit Router (VPC) CEN VBR Transit Router (VBR) CPE LAN 10.0.20.0/24 参考ドキュメント Overview of VPC peering connections オンプレサーバ宛の通信ではなく、 NATインスタンスに通信するよ。 NextHop はVPC Peeringだよ。 オンプレサーバ クラウドのCIDRは192.168.0.0/16 クラウド宛のNextHop はVBRだよ。 VPC 192.168.0.0/16 Vswitch 192.168.0.0/24 VPC Peering Service VPC NAT用 VPC iptablesで、自分宛ての通信をオン プレサーバにDNATするよ。 NATインスタンス
  10. 案4 VPCを分離して、NAT用VPCを作成 NAT用VPCを利用することで、Service VPCを直接CENに接続しない (ケースによってはALBも利用できる) VPC 10.0.0.0/8 Vswitch 10.0.20.0/24 Transit Router (VPC) CEN VBR Transit Router (VBR) CPE LAN 10.0.20.0/24 参考ドキュメント Specify an on-premises server as a backend server of ALB オンプレサーバ宛の通信ではなく、 ALBエンドポイントに通信するよ。 NextHop はVPC Peeringだよ。 オンプレサーバ クラウドのCIDRは 192.168.0.0/16 100.XX.XX.0/25 100.XX.XX.128/25 100.XX.XX.64/26 100.XX.XX.128/26 100.XX.XX.192/26 100.XX.XX.0/26 クラウド宛のNextHop はVBRだよ。 VPC 192.168.0.0/16 Vswitch 192.168.0.0/24 VPC Peering Service VPC NAT用 VPC 転送ルール設定で、自分宛ての通信 をオンプレサーバに バランシングするよ。 ALBエンドポイント
  11. この後は、通信出来なかった構成の紹介 なぜだ・・・
  12. ダメ案1 VPC Peering + VPC NAT Gateway NAT用VPCにVPC NAT Gatewayを利用するとオンプレまで通信できない VPC 10.0.0.0/8 Vswitch 10.0.20.0/24 Transit Router (VPC) CEN VBR Transit Router (VBR) CPE LAN 10.0.20.0/24 オンプレサーバ VPC 192.168.0.0/16 Vswitch 192.168.0.0/24 VPC Peering Service VPC NAT用 VPC vSwitchのSNATも、オンプレミスサー バのDNATもどちらもダメだった。 VPC Peeringの仕様上NGらしい。 VPC NAT Gateway
  13. ダメ案2 Secondary CIDR+ VPC NAT Gateway Secondary CIDRにVPC NAT Gatewayを利用するとオンプレまで通信できない Transit Router (VPC) CEN VBR Transit Router (VBR) CPE LAN 10.0.20.0/24 オンプレサーバ VPC 10.0.0.0/8 Vswitch 10.0.20.0/24 Secondary CIDR 192.168.0.0/16 VPC NAT Gateway Secondary CIDRを作って、それを CEN接続&VPC NAT Gateway 作ってみたけどそれだとダメだった。
  14. まとめ • VPC NATなら、VPC NAT GatewayかNATインスタンスのどちらか • NAT以外にもSecondary ENIやALB(リバプロ)を利用した構成もある • 今回のようにオンプレとVPCのCIDRが重複しているケースだけではなく、複数の VPC間でCIDRが重複しているケースがある • 今回は会社の検証環境でVBRでオンプレ接続の検証だったけど、きっとVPN Gatewayを利用したオンプレ接続でも同じくできるはず
  15. おまけ • 今回の検証環境の接続先は実はオンプレではなく、AWS EC2でした(ソフトバ ンクのクラウド接続サービス OnePort を使ってます。よろしく!) VPC 192.168.31.0/24 subnet 192.168.31.0/25 Target VPC target IP 192.168.31.42/32 VPC 10.0.0.0/8 Vswitch 10.0.20.0/24 Transit Router (VPC) CEN Transit Router (VBR) VPC 192.168.0.0/16 Vswitch 192.168.0.0/24 VPC Peering Service VPC NAT用 VPC マルチクラウドアクセス 各クラウドに個別に閉域接続するダイ レクトアクセスと、複数のクラウドに接 続するマルチクラウドアクセスの2つがあ るよ! ダイレクトアクセス
  16. Thank you
Publicidad