社内LANとクラウドを隔たりなく結ぶための架け橋として
企業や組織でITネットワークを構築する際には,インターネットと社内をつなぐ役割を果たすルータが必要になります。主に商用で利用するルータのメーカーはたくさんありますが,YAMAHAのルータはコマンドやGUIが充実しており,根強い人気があると思います。中でも小〜中規模のネットワーク構築で人気の機種は,2008年に発売された RTX1200 や2014年に発売された後継機 RTX1210 ではないでしょうか。YAMAHAのルータは様々な機能が搭載されていますが,拠点同士を繋いだりクラウド環境と社内LANを繋いだりして連携を強化することが良く行われています。
今回は,RTX1200を使って,近年特にその存在が大きくなってきた Iaas(Infrastracture as a service)基盤であるAmazon Web Services 上に独自に構築した仮想プライベートクラウド空間と社内LANを繋いでみました。まだまだ現役でRTX1200を使っている方,またはこれからRTX 1210を使ってVPN回線を構築したい方の参考となれば幸いです。
取り組みイメージ
AWSのVPC環境下にあるEC2インスタンスに対して,社内LANからRTX1200を介して接続します。VPCにはVPNゲートウェイが設置されています。
このようにネットワークを構成することができると,AWSのサーバに対してまるで社内にあるオンプレミスのサーバと同じように利用することができます。プライベートなネットワーク空間なので,外部からのアクセスはできないようになっています。
VPCについては,以下のページにある「よくある質問」でわかりやすくまとめられています。YAMAHA以外のVPCと連携させて使えるデバイスも紹介されています。
https://aws.amazon.com/jp/vpc/faqs/
このネットワーク構成のメリット
VPCとLANをVPNで結ぶことのメリットを考えてみましょう。
1.サーバの設置や設定が楽になりセキュリティが高まる
クラウド環境に構築したサーバは,当然インターネットを介して遥か遠くのデータセンターにあるので,そのままではグローバルIPアドレスを使って設定を行う必要があり,その場合には特定のIPアドレスからの通信のみを受け入れるようにするなど,セキュリティを考慮する必要があります。
VPN環境の場合には,社内と同じネットワーク構成でサーバを構築できるため,設定が行いやすくまたセキュリティの観点からも外部からサーバへの入り口に攻撃されることなく安全な構成で運用することができます。
2.クラウドへのシステム移行などの実験検証がしやすい
これは1にも関わる話ですが,例えば社内のWindows Serverに載せたアプリケーションやシステムをクラウドに移行させる場合,VPN環境を利用してネットワーク構成を同じにすることで,社内クライアントとの接続実験や動作確認が円滑に行えます。
3.クライアントごとに設定を入れる手間が省ける
通常クラウド上にあるサーバに接続するためには,SSHキーや接続許可されたユーザ権限を使ってアクセスできるユーザが制限されています。誰でもアクセスして良いサーバの場合は,VPN環境を利用することでクライアント単位での接続設定をしたり,ユーザ権限を管理する必要がないため管理やサポートの手間が省けます。
環境構築に使ったもの
RTX1200は既に生産終了になっているので,新品を入手することはできないかもしれませんが中古品ならまだ手に入れられます。また,RTX1210にすると機能強化された部分の恩恵を受けることができるので,そちらを導入しても良いと思います。
ギガアクセスVPNルーター RTX1210
http://jp.yamaha.com/products/network/routers/rtx1210/
AWS側の環境構築手順
基本的にはAmazonの公式ドキュメントが一番わかりやすく順番にすすめていけるのでオススメです。
Amazon Virtual Private Cloud ドキュメント
https://aws.amazon.com/jp/documentation/vpc/
Amazon VPC とは?
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Introduction.html
他には,AWSのパートナー企業のブログが非常に参考になります。
YAMAHAでも公式ドキュメントが出ていますので,設定値を決めるのはそれほど難しくないかもしれません。
[Amazon VPC] ハードウェアVPN接続についてまとめてみた
http://dev.classmethod.jp/cloud/aws/vpc-connect-hardware-vpn/
[Amazon VPC] ハードウェアVPN接続を設定する
http://dev.classmethod.jp/cloud/aws/configure-vpc-vpn-connect/
Amazon VPC VPN接続設定 参考資料
http://www.slideshare.net/AmazonWebServicesJapan/amazon-vpc-vpn
Amazon Virtual Private Cloud
ユーザーガイド VPN接続
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/vpn-connections.html
Amazon Virtual Private Cloud
ユーザーガイド VPC へのハードウェア仮想プライベートゲートウェイの追加
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_VPN.html
NAT配下から接続したい場合は,こちらが参考になると思います。
NAT配下からヤマハのRTX1200でVPCにVPN接続する
http://blog.serverworks.co.jp/tech/2015/12/17/nat-t-rtx/
VPCの作成とVPNゲートウェイの設置が完了したら,VPC内にEC2インスタンスを作成すれば準備完了です。
RTX1200側の設定
基本的にはYAMAHAの公式ドキュメントを参考にするのがわかりやすいと思います。
Amazon VPCとの接続
http://jp.yamaha.com/products/network/solution/dns_cloud/amazon_vpc/
例: Yamaha 製デバイス
https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/NetworkAdminGuide/Yamaha.html
YAMAHAルータ RTX1200 で Amazon VPC にVPN接続した
http://blog.rakugakibox.net/entry/2014/06/09/amazon_vpc_from_yamaha_rtx1200
他に設定しておいた方が良い項目についても,少し見ていきましょう。
- ファームウェアを最新にする
脆弱性に対する修正が定期的に加えられているので,リリースノートなどを参考にして,なるべく最新の状態にしておくのが良いと思います。
- NTPサーバーを設定する
NICTの日本標準時サーバー等を参照すれば良いと思います。
- ルータへのアクセスを制限する
グローバルIPアドレスを設定している場合は,外部からの攻撃や侵入をシャットアウトする必要があります。管理用のポートはLANからのアクセスのみに制限します。
- メール通知の設定
VPN接続が途切れた際に,メールで管理者に通知するような設定ができます。設定しておくと障害発生時に役立ちます。
VPN接続が確立すると,GUIからも導通確認ができます。
AWS VPC のVPN接続環境を店頭にデモ展示します。
7/4(月)〜7/15(金)までの2週間,店頭にVPN環境のデモ展示を行います。アミュレットでは,AWSの他にも Microsoft AzureへのVPN接続サポート・設定を実施しています。
クラウドへの移行やネットワークの設定でお困りの際には,お気軽にお問い合わせ下さい。
クラウド構築サービス
https://www.amulet.co.jp/solutions/cloud_computing.html
お問い合わせ窓口
https://ssl.amulet.co.jp/solutions/contact.html