AWS Site-to-Site VPN with IKEv2 from CGW under NAT and served with PrivateLink.
Download as PPTX, PDF0 likes818 views
AWS SONIC 2020 の登壇資料です
![[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな](https://cdn.slidesharecdn.com/ss_thumbnails/awsxon18howfarstepfunctionsgo-211124111849-thumbnail.jpg?width=560&fit=bounds)
![[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド](https://cdn.slidesharecdn.com/ss_thumbnails/awssummit-awsvpc-20120914-121001101403-phpapp02-thumbnail.jpg?width=560&fit=bounds)
More Related Content
What's hot (20)
Similar to AWS Site-to-Site VPN with IKEv2 from CGW under NAT and served with PrivateLink. (20)
![[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)](https://cdn.slidesharecdn.com/ss_thumbnails/20130828aws-meister-regenerate-vpc-130906043454--thumbnail.jpg?width=560&fit=bounds)
![[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect](https://cdn.slidesharecdn.com/ss_thumbnails/20130904aws-meister-regenerate-vpc-dxvpn-130906043520--thumbnail.jpg?width=560&fit=bounds)
Recently uploaded (11)
AWS Site-to-Site VPN with IKEv2 from CGW under NAT and served with PrivateLink.
- 3. 氏名:難波 和生@岡山支部 株式会社リゾーム 所属 Twitter:@kazu_0 職業:情報システム部 管理者 :サーバ?ネットワークのインフラ担当 電気通信主任技術者(伝送交換?線路) 第一級陸上特殊無線技士 テクニカルエンジニア(ネットワーク) 好きなAWSサービス :Transit Gateway/VPC/DX :Global Accelerator
- 4. Today's Agenda ? NAT配下のカスタマーゲートウェイからAWSへVPN接続 ? EC2が提供するサービスへPrivate Link 経由でアクセス ? オンプレミス側からのPrivatelink エンドポイント 名前解決 ? まとめ ? 本セッションでお話しできない事 ? マネジメントコンソールからの詳細な設定方法
- 5. Customer gateway VPN connection VPN gateway AWS PrivateLink Endpoint Router AWS Site-to-Site VPN Network load balancer Tunnel1-IKEv2 Tunnel2-IKEv1 Simple AD Hosted zone Amazon Route 53 Client DNS server Corporate data center VPCVPC Private Amazon EC2 Flow logs Security group Security group AWS Systems Manager System overview Endpoint Services
- 7. AWS Site-to-Site VPNとは ? Amazon Virtual Private Cloud (VPC) とオンプレミス拠点を 閉域網で接続するインターネットVPNサービス ? プロトコル: IPSec ? AWS側 :仮想プライベートゲートウェイ(VGW) ? オンプレ側:カスタマーゲートウェイ(CGW) VPNルータ
- 8. ? どんな時につかうの? ? AWS VPCと自社データセンターなどを暗号化されたトンネルで接続 ? 機微な情報をAWS とオンプレ間で転送 ? 経路制御は静的ルートとBGP ? 2本のVPNトンネルを作成できる ? 今回は2本のトンネルそれぞれを IKEv1 と IKEv2 で構築 AWS Site-to-Site VPNとは https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNTunnels.htm
- 9. Customer gateway VPN connection VPN gateway AWS PrivateLink Endpoint Router AWS Site-to-Site VPN Network load balancer Tunnel1-IKEv2 Tunnel2-IKEv1 Simple AD Hosted zone Amazon Route 53 Client DNS server Corporate data center VPCVPC Private Amazon EC2 Flow logs Security group Security group AWS Systems Manager S2S VPN System overview Endpoint Services
- 10. ? IPSecはNATやNAPTが苦手 ? 基本的には固定グローバルIPがカスターマーゲートウェイに必要 ? こういった要望は意外にあるのでは? ? VPN接続用の固定グローバルIPが残っていない ? 自宅から検証するためにAWSへVPN接続したい AWS Site-to-Site VPNとは
- 11. ? NATトラバーサル(NAT-T) ? 暗号化されたパケットをUDPでカプセル化することで、NAT/NATP環 境のアドレス変換に対応 ? UDP:4500 を使用 ? 下記のアウトバウンド通信をFWやNATボックスで許可 ? UDP:500 (IKE) IPプロトコルNo:50 (ESP) UDP:4500 AWS Site-to-Site VPNとは
- 12. ? IKEv2のVPN接続時の動作 ? イニシエータ側(クライアント側)がオンプレ側NAT配下のCGW ? レスポンダー側(サーバ側)がAWS側のVGW AWS Site-to-Site VPNとは VPN connection Router AWS Site-to-Site VPN Responder VPN gateway Customer gateway Initiator
- 13. ? VPN トンネル IKE 開始の方向 ? デフォルトでは、カスタマーゲートウェイデバイスが IKE ネゴシエー ションプロセスを開始してトンネルを開始します。 ? 代わりに AWS が IKE ネゴシエーションプロセスを開始するように指 定することもできます。 ? VPN 接続の AWS 側からの IKE 開始は IKEv2 でのみサポートされています。 AWS Site-to-Site VPNとは VPN トンネル IKE 開始オプション https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/initiate-vpn-tunnels.html
- 14. ? AWS マネジメントコンソールからダウンロードできるCGWの 設定はNAT-T やIKEv2の構成になっていない AWS Site-to-Site VPNとは
- 15. ? AMCからダウンロードしたCGWの設定をNAT-T やIKEv2の構 成に編集 ? AWS Site to Site VPN with NAT-T and IKEv2 https://qiita.com/kazu_0/items/fd5d1a4bb63468edc53b AWS Site-to-Site VPNとは VPN connection Router AWS Site-to-Site VPN Responder VPN gateway Customer gateway Initiator Tunnel1-IKEv2 Tunnel2-IKEv2
- 18. Customer gateway VPN connection VPN gateway AWS PrivateLink Endpoint Router AWS Site-to-Site VPN Network load balancer Tunnel1-IKEv2 Tunnel2-IKEv1 Simple AD Hosted zone Amazon Route 53 Client DNS server Corporate data center VPCVPC Private Amazon EC2 Flow logs Security group Security group Privatelink system overview Endpoint Services
- 19. Privatelink とは ? 2種類あるVPC endpoint の一つ ? ゲートウェイ型 ? インターフェース型
- 20. Privatelink とは ? 2種類あるVPC endpoint の一つ ? ゲートウェイ型 ? AWS のサービスを宛先とするトラフィックのルートテーブルで、 ルートのターゲットとして指定するゲートウェイです。 ? Amazon s3 と DynamoDB ? インターフェース型 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-endpoints.html
- 21. Privatelink とは ? 2種類あるVPC endpoint の一つ ? ゲートウェイ型 ? AWS のサービスを宛先とするトラフィックのルートテーブルで、 ルートのターゲットとして指定するゲートウェイです。 ? Amazon s3 と DynamoDB ? インターフェース型 ? サポートされるサービスを宛先とするトラフィックのエントリポイ ントとして機能するサブネットの IP アドレス範囲のプライベート IP アドレスを持つ Elastic Network Interface (ENI)です。 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-endpoints.html
- 22. Privatelink とは ? Elastic Network Interface (ENI)なので VPN接続した オンプレミス拠点 からのアクセス可能 ? VPC間の推移的なトラフィックにならない為 https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/invalid-peering-configurations.html#edge-to-edge-vgw
- 23. Privatelink とは ? Elastic Network Interface (ENI)なので VPN接続した オンプレミス拠点 からのアクセス可能 ? VPC間の推移的なトラフィックにならない為 VPN gateway AWS PrivateLink EndpointNetwork load balancer VPCVPC Amazon EC2 Security group Security group AWS Account AAWS Account B 192.168.1.0/24192.168.1.0/24 Customer gateway Client Corporate data center AWS Site-to-Site VPN
- 24. Privatelink とは ? 異なるAWSアカウント間での接続(クロスアカウント) ? IPプリフィックスが重複するVPC間で使用可能 ? Twice NAT の様な動き VPN gateway AWS PrivateLink EndpointNetwork load balancer VPCVPC Amazon EC2 Security group Security group AWS Account AAWS Account B 192.168.1.0/24192.168.1.0/24 Customer gateway Client Corporate data center AWS Site-to-Site VPN
- 25. Privatelink とは ? Endpoint から NLB 方向への通信は可能(ステートフル) ? NLB から Endpoint 方向への通信は不可 VPN gateway AWS PrivateLink EndpointNetwork load balancer VPCVPC Amazon EC2 Security group Security group AWS Account AAWS Account B 192.168.1.0/24192.168.1.0/24 Customer gateway Client Corporate data center AWS Site-to-Site VPN
- 26. Privatelink 環境構築 ? NLBはInternal(内部)タイプで作成 ? リスナーポートは HTTP(80)、HTTPS(443)、FTP(21? PASVポート) ? 今回の構成はNLBのTLS Terminationは使用せず、TCP:443通 信をそのままターゲットグループのEC2へ転送しています ? Endpoint services でサービス提供するリソースが接続される NLBを指定
- 27. Privatelink 環境構築 ElasticLoadBalancingV2LoadBalancer: Type: "AWS::ElasticLoadBalancingV2::LoadBalancer" DeletionPolicy: Retain Properties: Name: "privatelink-test" Scheme: "internal" Type: "network" Subnets: - "subnet-012345e33f13b124d" - "subnet-01234538fb87ecbaf" IpAddressType: "ipv4" ELB 構築サンプル
- 28. Privatelink 環境構築 ? ネットワークロードバランサー(NLB) リスナー设定
- 29. Privatelink 環境構築 ElasticLoadBalancingV2Listener: Type: "AWS::ElasticLoadBalancingV2::Listener" DeletionPolicy: Retain Properties: LoadBalancerArn: !Sub"arn:aws:elasticloadbalancing:${AWS::Region}:${AWS::AccountId}:loadbalancer/net/privatelink- test/a12345bcc52a3aa4" Port: 21 Protocol: "TCP" DefaultActions: - Order: 1 TargetGroupArn: !Sub "arn:aws:elasticloadbalancing:${AWS::Region}:${AWS::AccountId}:targetgroup/Service- FTP/123458a4a682ad8" Type: "forward" ELB リスナー構築サンプル
- 30. Privatelink 環境構築 ? NLB ターゲットグループ设定
- 31. Privatelink 環境構築 AWSTemplateFormatVersion: "2010-09-09" Metadata: Generator: "former2" Description: "" Resources: ElasticLoadBalancingV2TargetGroup4: Type: "AWS::ElasticLoadBalancingV2::TargetGroup" DeletionPolicy: Retain Properties: HealthCheckIntervalSeconds: 30 Port: 1024 Protocol: "TCP" HealthCheckPort: "21" HealthCheckProtocol: "TCP" ? PASV Listenポートは1024 ? HealthCheckポートは21 ELB ターゲットグループ 構築サンプル
- 32. Privatelink 環境構築 ? Endpoint と Endpoint Services 構築 AWS PrivateLinkのアップデート – お客様のアプリケーション&サービス向けのVPCエンドポイント https://aws.amazon.com/jp/blogs/news/aws-privatelink- update-vpc-endpoints-for-your-own-applications-services/
- 33. Privatelink とは ? Cloud Diagrams & Notes https://www.awsgeek.com/AWS-PrivateLink/
- 35. Customer gateway VPN connection VPN gateway AWS PrivateLink Endpoint Router AWS Site-to-Site VPN Network load balancer Tunnel1-IKEv2 Tunnel2-IKEv1 Simple AD Hosted zone Amazon Route 53 Client DNS server Corporate data center VPCVPC Private Amazon EC2 Flow logs Security group Security group DNS system overview Endpoint Services
- 36. Privatelink DNS 環境構築 ? 設定のシナリオ ? VPNを接続するVPCにSimpleADを作成 ? Route53 resolver でもOKです ? Route53 へプライベートHosted Zoneを作成 ? VPNを接続するVPCに関連付け ? endpoint の URL をALIASレコードとして登録 ? オンプレミスのDNSサーバ へ条件付きフォワーダを設定
- 37. Privatelink DNS 環境構築 ? オンプレミス側からPrivatelink のDNS 名前解決設定 VPN gateway AWS PrivateLink EndpointNetwork load balancer VPCVPC Amazon EC2 Security group AWS Account AAWS Account B Customer gateway Client Corporate data center AWS Site-to-Site VPN Simple AD Amazon Route 53 Private Hosted zone DNS server 条件付きフォワーダ Endpoint のDNS名を Aliasレコード登録 DNS names
- 38. Privatelink DNS 環境構築 ? オンプレミス側からPrivatelink のDNS 名前解決設定 ? オンプレミスネットワークとAWS間のDNS名前解決をAWS Directory ServiceとAmazon Route 53を使用してセットアップする方法 https://aws.typepad.com/sajp/2016/02/how-to-set-up-dns-resolution- between-on-premises-networks-and-aws-using-aws-directory-service- and-am.html ? オンプレミスネットワークとAWS間のDNS名前解決をAWS Directory ServiceとMicrosoft Active Directoryを使用してセットアップする方法 https://aws.typepad.com/sajp/2016/02/how-to-set-up-dns-resolution- between-on-premises-networks-and-aws-using-aws-directory-service- and-mi.html
- 39. Privatelink DNS 環境構築 ? AWS re:Invent 2019: AWS PrivateLink deployments: DNS mechanisms for routing & resiliency (NET321) https://www.youtube.com/watch?v=abOFqytVqBU
- 40. 参考URL ?AWS New York Summit 2018 - AWS PrivateLink: Fundamentals (SRV211) https://www.youtube.com/watch?v=20RxEzAXG9o ?AWS re:Invent 2018: Best Practices for AWS PrivateLink (NET301) https://www.youtube.com/watch?v=85DbVGLXw3Y ?Hybrid Cloud DNS Optionsfor Amazon VPC https://d1.awsstatic.com/whitepapers/hybrid-cloud-dns-options-for-vpc.pdf
- 41. まとめ ?NAT配下のカスタマーゲートウェイからAWSへVPN 接続 ?EC2で稼働するEC2へPrivate Link 経由で閉域接続 ?オンプレミス側からのPrivatelink エンドポイント 名前解決
- 42. ご清聴ありがとうございました AWS Site-to-Site VPN with IKEv2 from CGW under NAT and served with PrivateLink