NRIネットコム Blog

NRIネットコム社員が様々な視点で、日々の気づきやナレッジを発信するメディアです

注目のタグ
    トップ > ネットワークウィーク > オンプレSEがAWS Site-to-Site VPNでクラウド接続してみた話

    オンプレSEがAWS Site-to-Site VPNでクラウド接続してみた話

    ネットワークウィーク

    本記事は  ネットワークウィーク  6日目の記事です。
    💻  5日目  ▶▶ 本記事 ▶▶  7日目  🌐

    はじめに

    皆さま、お久しぶりです。入社5年目・筋トレ歴8年目の堀内です。
    普段はJavaやPHPを使って、オンプレミスおよびクラウド環境での開発・運用保守を担当しています。 インフラ、ネットワーク分野についてはほぼ初心者ですが、オンプレ環境からAWS環境への接続を行う機会がありましたので 今回は、インフラほぼ初心者の私が初めて「オンプレミス環境からAWSへの接続」を構築した体験を、備忘録としてまとめました。 同じように「AWSって難しそう…」と感じている方の参考になれば幸いです。

    利用サービスの紹介

    サイト間VPN接続(AWS Site-to-Site VPN)

    ・オンプレミス環境(自社のデータセンターやオフィス)と AWS クラウド(VPC)間でIPSec VPN を使って安全な通信を確立するサービス
    ・通信は暗号化されており、インターネット経由でも安全、機密性の高いデータの送受信も安心
    ・2つのVPNトンネルがデフォルトで作成され、冗長構成
    ・AWS内にデバイス障害が発生した場合 、VPN 接続は自動的に 2 番目のトンネルにフェイルオーバーするため、アクセスが中断されない
    ・AWSマネジメントコンソールから簡単に設定できるため、運用オーバーヘッドの削減が可能
    ・専用線の契約が必要なAWS Direct Connectよりも低コストでAWSとの接続が可能

    カスタマーゲートウェイ

    ・オンプレミス側のネットワーク機器(ルーターなど)をAWSに登録するためのリソース
    ・AWS側の仮想プライベートゲートウェイと対になる形で、Site-to-Site VPN接続を構成
    ・オンプレミス側のネットワーク機器をAWSに登録するためのリソース。ユーザー自身が設定・管理を行う必要がある

    仮想プライベートゲートウェイ(Virtual private gateway)

    ・AWSの仮想ネットワーク(VPC)とオンプレミスのネットワークをVPN接続 を使って安全に接続するための、AWS側の通信口

    構成手順

    カスタマーゲートウェイと仮想プライベートゲートウェイを作成し、Site-to-Site VPNで接続を行います。
    目標の構成は図①です。

    構成図:図①
    1. VPCの作成
    マネジメントコンソールから、AWS側で移行先となるVPCを作成します。(図②参照)
    VPC作成:図②

    2. 仮想プライベートゲートウェイを作成しVPCにアタッチ
    VPCのマネジメントコンソールから仮想プライベートゲートウェイを作成します。

    仮想プライベートゲートウェイ作成:図③


    作成した仮想プライベートゲートウェイを選択。
    VPCにアタッチ1:図④

    1で作成したVPCにアタッチします。
    VPCにアタッチ2:図⑤

    3. カスタマーゲートウェイを作成
    オンプレミス側のネットワーク機器をAWSに登録するため、カスタマーゲートウェイを作成します。
    VPCのマネジメントコンソールから実施します。

    CGW作成:図⑥

    4. Site to Site VPNの作成
    Site-to-Site VPN 接続のマネジメントコンソールを開き、VPN接続を作成します。
    仮想プライベートゲートウェイとカスタマーゲートウェイには、2,3で作成したゲートウェイのID値をそれぞれ設定します。
    ※実際にマネジメントコンソールに表示されたID値を設定してください。

    VPNの作成:図⑦

    5. オンプレミス機器への設定反映
    前述のとおり、カスタマーゲートウェイはユーザーが設定をする必要があります。 VPN設定ファイルをダウンロードし、使用しているルーター(例:Cisco)に適用します。(図⑦・⑧)

    設定ダウンロード:図⑧

    オンプレ側で使用しているルーターのベンダーを選択し、設定ファイルをダウンロードします。
    Ciscoの場合:図⑨

    ダウンロードしたファイルをオンプレ側の機器に反映したら、準備は完了です。

    6. VPN接続の確認
    いよいよ、VPN接続が確立したことをAWSコンソールから確認します。

    VPN確認:図⑩

    2つのVPNトンネルがデフォルトで作成されて、ステータスが「アップ」になっていれば成功です。(図⑩)

    疎通後、オンプレに対応するサービスをAWS側で設定し、移行を行っていきます。

    まとめと今後の展望

    本記事では、AWS Site-to-Site VPNを使ったオンプレミス環境との接続構成についてご紹介しました。
    今回はより簡易的にセットアップ可能なサイト間VPNを取り上げましたが、いかがだったでしょうか。Direct Connectのような専用線と比べて、Site-to-Site VPNは低コストかつ手軽に導入できるのが魅力です。
    最初は不安もありましたが、実際に触ってみると、思っていたよりもずっと親しみやすく、理解も進みました。 2つのゲートウェイの役割をしっかり理解することで、設定もスムーズに進むと思います。

    P.S.
    筋トレもネットワークも、不安を感じたときこそ、基礎からコツコツ鍛えるのが一番の近道。
    AWSへの移行に不安を感じているオンプレエンジニアの皆さん、一歩ずつ進めば大丈夫です。
    今日も筋肉とインフラ、両方をしっかり鍛えて、日々の不安を解消していきましょう!

    全エンジニアに幸あれ。

    下記、参考文献、サイト
    「AWS認定資格試験テキスト AWS認定ソリューションアーキテクト – アソシエイト 改訂第3版/著者・佐々木 拓郎、林 晋一郎、金澤 圭、小西秀和」
    https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPC_VPN.html
    https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/your-cgw.html

    執筆者:堀内亮佑
    WEB系システムエンジニア
    筋肉の開発、保守運用も行っています💪