2015年12月22日

[さくらのクラウド]VPCルータとFortigateによるサイト間VPN

この記事はさくらインターネット Advent Calendar 2015 - Qiitaの22日目の記事です。

さくらのクラウドのVPCルータを使ってサイト間VPNを張ってみました。
サイト間VPNの設定についてはこちらに書いてありますが
このページの「動作確認済みアプライアンス」に含まれていない
Fortigateとサイト間VPNをしてみたいと思います。

ネットワーク構成の概略図です。
20151217.png


■VPCルータ側の設定

設定するVPCルータを選択します。
WS000002.JPG

[サイト間VPN]をクリックします。
WS000003.JPG

[追加]をクリックします。
WS000004.JPG

[対向IPアドレス]:FortigateのグローバルIPを入力
[対向ID]:FortigateのグローバルIPを入力
[Pre Shared Key]:任意の文字列を入力(Fortigate側にも同じ文字列を設定すること)
[対向Prefix]:FortigateのLAN側IPセグメントを入力(ここでは192.168.0.0/24)
[ローカルPrefix]:VPCルータ配下のIPセグメントを入力(ここでは10.0.0.0/24)
処理済〜WS000005.jpg

ちなみにPrefixはIPレンジを入力したあとEnterを押すと
IPレンジがポップアップで出てくるのでこれをクリックします。
クリックしないと値として登録されません。
ただのテキストボックスじゃないので要注意。。

設定できたら[反映]をクリックします。
処理済〜WS000006.jpg

■Fortigate側の設定
Web-UIにログインし、VPN→IPsec→自動鍵(IKE)を選択。
[フェイズ1を作成]をクリックします。
WS000009.JPG

[名前]:任意の文字列を入力
[リモートゲートウェイ]:今回は固定IPなので「スタティックIPアドレス」を選択
[IPアドレス]:VPCルータのグローバルIPアドレスを入力
[ローカルインタフェース]:FortigateのWAN側インタフェースを指定。今回はWAN1を選択。
[モード]:両方とも固定IPなのでメインを選択
[認証方法]:「事前共有鍵」を選択。英語で言うと「Pre Shared Key」。
[事前共有鍵]:VPCルータ設定のときに入力した「Pre Shared Key」と同じ文字列を入力
処理済〜WS000012.jpg

ここまでできたら[OK]をクリックします。

フェイズ1ができたので次はフェイズ2を作成します。
[フェイズ2を作成]をクリックします。
WS000013.JPG

[暗号化][認証]:3DESを削除してAES128・SHA1のみにします。
[DHグループ]:2か5のどちらかとされていますが5にします。
[送信元アドレス]:FortigateのLAN側IPセグメントを指定(ここでは192.168.0.0/24)
[宛先アドレス]:VPCルータ配下のIPセグメントを指定(ここでは10.0.0.0/24)
WS001405.JPG

ここまでできたら[OK]をクリックします。

以上でサイト間VPNの設定は完了です。

また、VPCルータでは先日「クローズド接続」ができるようになりましたので
その解説をしておきます。

今までは、サイト間のLANアドレス同士の通信はVPNトンネルを通り
さくらのクラウドからインターネットへの通信は
VPCルータでIPマスカレードされて出て行くという感じでした。
20151217-2.png

クローズド接続対応によって、下記のように
さくらのクラウドからインターネットへの通信も
VPNトンネルを通って、リモートサイトのネットワーク機器で
IPマスカレードされて出て行くということができるようになりました。
20151217-3.PNG

VPCルータにもファイアウォール機能がついていますが
詳細なログをとりたいとか、UTM的な機能を使いたいとか
いうときに有効な機能です。

設定はVPCルータのサイト間VPNで[対向Prefix]を0.0.0.0/0にします。
こうすると全ての通信がVPNトンネルを経由するようになります。
処理済〜WS000007.jpg
posted by maroon at 22:15| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする

2015年12月21日

IDCFクラウドのDNS機能を使ってみる

この記事はDNS Advent Calendar 2015 - Qiitaの21日目の記事です。

各社パブリッククラウドのDNSサービスを使ってみるシリーズ第4弾
今回はIDCFクラウドです。

まずはログイン。
WS001390.JPG

最初の画面に「DNS」とあるのでクリック。
WS001391.JPG
WS001392.JPG

DNSゾーンを作ります。
WS001393.JPG

で、他社のサービスは、このあとレジストラでネームサーバを変更するだけだったんですが
IDCFクラウドのDNSにはドメイン認証というものがあるので、もう一手間かかります。
WS001394.JPG

ネームサーバをIDCFクラウドに向ける前に
レジストラのおまけDNSを使ってTXTレコードを名前解決できるようにします。
WS001397.JPG

引けるように設定したら、IDCFクラウドの画面に戻ってドメイン認証します。
WS001394.JPG
WS001395.JPG

認証OK!
WS001396.JPG

そしたらレジストラのページに戻ってネームサーバをIDCFクラウドに向けます。
WS001398.JPG

これでやっとIDCFクラウドのDNS機能が使えるようになったので
適当にAレコード追加してテストしてみましょう。
WS001400.JPG
WS001401.JPG

追加されました。では実際にブラウザで開いてみましょう。
WS001404.JPG

ちゃんと名前解決できました。
WS001402.JPG
WS001403.JPG

認証…認証ねぇ。まぁないよりあったほうがセキュリティは高まるんですが
ちょっとめんどくさい仕組みなので改善を要求するー(バーン)ってところですか。

ちなみに価格ですが、1ゾーンあたり50円/月。しかも24時間経過してから課金されるので
今回みたいに作ってすぐ消すと課金されません。
posted by maroon at 23:48| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする

Route53の特徴をあらためて整理してみる

この記事はDNS Advent Calendar 2015 - Qiitaの20日目の記事です。

AWSが提供するDNSサービスであるAmazon Route53の特徴とメリットについて
あらためて整理してみたいと思います。

■高可用性・高信頼性
エッジロケーション(DNSサーバがある場所)が冗長化されており、サービスとしてのSLAも設定されています。
Route53のSLAは100%です。
SLA100%を謳っているというのは「100%稼働する」という意味ではなく
「稼働率が100%を下回ったらサービス提供者側の責任なので契約に基づいてリファンドする」
というものです。サービスの信頼性が高いからこそ標榜できるものであると言えます。

■低価格
0.50 USD(ホストゾーンごと)/月 – 最初の25のホストゾーン
0.10 USD(ホストゾーンごと)/月 – それ以上のホストゾーン
Cloudnが5ゾーン1000円/月だったことを考えるとメチャクチャ安いです。
(ちなみにCloudnも今までのDNSホスティングと比較したらメチャクチャ安いんですよ…)

・利用した時点で月額費用がかかります。時間割とか日割りとかないです。
・このほかにトラフィック課金がありますが、1ゾーン10ドル超えたら超人気サービスって
 というくらい安いので、こちらはあまり気にする必要ないと思います。
・ホストゾーン数があまりに多すぎるとDNSサーバたてるよりも高コストになることもある
(それでもRoute53を利用するメリットはあるが、1ゾーンあたりの収益を考慮して使うべき)

■レイテンシーベースルーティング・GeoDNS
AWSのサイトには「レイテンシーベースルーティング:エンドユーザーからのリクエストを、レイテンシーが最小の AWS リージョンにルーティングします。」「GeoDNS:エンドユーザーの地理的な場所に基づいて指定した特定のエンドポイントにエンドユーザーをルーティングします」と記載されていますが、いずれも問い合わせにかかる速度を最適化するための仕組みがあるということでご理解いただければと思います。

■他のAWSサービスとの親和性の高さ
ALIASレコードについて説明します。
ALIASレコードはELBのFQDNを登録できるレコードで、原理はCNAMEレコードと同じです。
Route53でだけ設定できる独自拡張ですが、外部から問い合わせした場合Aレコードとして動作します。

「設定できる内容はCNAMEレコード・実体はAレコード」
このことによって得られるメリットは何か。

・応答の高速化
CNAMEの場合、問い合わせ回数は2回になりますが、ALIASは内部処理で
外部にはAレコードとして応答するので、問い合わせ回数は1回になります。

・ELBのFQDNのIPは変化することがある
つまりIPアドレスを直書きできないので普通ならCNAME使うしかないわけですが
ALIASを使えばCNAMEを使わなくて済みます。

・@に設定できる
たとえばexapmle.comというゾーンのexample.com(@)に対してCNAMEは設定できません。
ですがALIASは「実体はAレコード」なので、exapmle.com→ELBのFQDNという紐付けができます。

といったところでしょうか。
posted by maroon at 00:21| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする