狠狠撸

JAWS-UG Tokyo
My Best Hit 2019
AWS Client VPN の特徴
Kikuchi Shuji

スライドは後で??することが出来ますので
発表中の内容をメモする必要はありません。
写真撮影をする場合は
フラッシュ?シャッター?が出ないようにご配慮ください
Attention

3??紹介
菊池修治
クラスメソッド株式会社
AWS事業本部コンサルティング部
Senior Solutions Architect
AWS認定全11種取得
SIer → ?動?メーカー → クラスメソッド

4Agenda
? AWS Client VPN とは
? AWS Client VPN の特徴
? まとめ

6AWS Client VPN
2018/11 re:Invent 2018セッション内でアナウンス

7AWS Client VPN
2018/12/18 AWS Client VPNサービス開始
バージニア/オハイオ/オレゴン/アイルランド

8AWS Client VPN
2019/4/16 利?可能リージョン追加
フランクフルト/ロンドン/シンガポール/シドニー

9AWS Client VPN
フランクフルト/ロンドン/シンガポール/シドニー
ムンバイ/東京

10AWS Client VPN の作成
1. Client VPN Endpoint の作成
1. 名前/説明
2. クライアント IPv4 CIDR
3. 認証情報/設定
4. ログ記録設定
5. オプション（DNSサーバーIP/スプリットトンネル）
2. クライアントの設定

11AWS Client VPN の作成
? クライアント IPv4 CIDR
? 通信先ネットワークと重複しないこと
? ブロックサイズは /22 ? /16 の範囲
? 認証情報/設定
? Directory ServiceによるAD認証または証明書による相互認証
? クライアントの設定
? OpneVPNがサポートする各種プラットフォームに対応
（Win/mac/Linux/Android/iOS）

12いろいろやってみた
[AWS] Windows から Active Directory 認証を使って AWS Client VPN に接続する
https://dev.classmethod.jp/cloud/aws/client-vpn-with-active-directory-auth/
AWS Client VPN に Android 端末から接続する
https://dev.classmethod.jp/cloud/aws/aws-client-vpn-with-android/
[AWS Client VPN] Linux（CentOS7）から Active Directory 認証を使って接続する
https://dev.classmethod.jp/cloud/aws/aws-client-vpn-with-linux/
[AWS Client VPN] カスタムDNSサーバを使?する
https://dev.classmethod.jp/cloud/aws/aws-client-vpn-with-custom-dns/

14
VPC を超えた先への
通信が可能

16Site to Site VPN の場合
Site to Site VPNでは接続先
VPCを超えてVPC Peering
やインターネットへの通信は
できない

18Client VPN の場合
Client VPNでは接続先VPCを超えた
宛先への通信が可能
? VPC Peering
? インターネット
? オンプレミス（Site to Site VPN/DX）

19
そもそもなぜ、Site to Site VPNやVPC Peering
ではVPCを超えられないか?

21
ちょっと考察してみる

22Site to Site VPN / Peering のルートテーブル
接続イメージ
各ルーター/GWのもつルートテーブルを考えてみる

宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 VGW
192.168.0.0/24 PCX1
VPC Routerがもつルートテーブル?任意に編集

宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 VGW
192.168.0.0/24 PCX1
PCXのルートテーブル?Peeringにより?動設定
宛先 Next Hop
172.16.0.0/24 VPC Router
192.168.0.0/24 PCX2

宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 VGW
192.168.0.0/24 PCX1
VGWのルートテーブル?BGP or Staticで設定
宛先 Next Hop
172.16.0.0/24 VPC Router
192.168.0.0/24 PCX2
宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 CGW

宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 VGW
192.168.0.0/24 PCX1
VPCをまたぐ通信がしたくても
宛先 Next Hop
172.16.0.0/24 VPC Router
192.168.0.0/24 PCX2
宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 CGW
10.0.0.0/24を知らない
192.168.0.0/24を
知らない

27
GWサービス（VGW/PCX/IGW）は
直接つながる宛先しかルーティング不可能

Client VPN で Endpoint に接続するとどうなるか?
29Client VPN接続

ENIが作成されVPC内のPrivateIPが割り当てられる
30Client VPN接続

Clientからの通信はENIのIPにSourceNATされVPC内リソースと同様に通信可能
31Client VPN接続

Clientからの通信はENIのIPにSourceNATされVPC内リソースと同様に通信可能
32Client VPN接続
宛先 Next Hop
172.16.0.0/24 VPC Router
192.168.0.0/24 PCX2
宛先 Next Hop
172.16.0.0/24 VPC Router
10.0.0.0/24 CGW

33
ENIをもつClientVPNは
VPC内リソースと同じ扱いなので
GWサービス（VGW/PCX/IGW）を
超える通信が可能

35Client VPN の制限
VPN接続元が常にクライアント
VPC -> クライアント?向が起点となる通信は不可

37まとめ
? AWS Client VPN は多くのプラットフォームに対応したクライア
ントVPN接続サービス
? ENIを?成することでGWサービス（VGW/PCX/IGW）を超える
通信が可能
? VPCを超えられることで今までできなかった多くのユースケースに
利?できる
? VPCをハブにした接続
? オンプレ環境への接続ポイント

狠狠撸

[JAWS-UG Tokyo 32] AWS Client VPNの特徴

More Related Content

[JAWS-UG Tokyo 32] AWS Client VPNの特徴