情報システム部でAWS周りの運用保守をしている「ねぎ」です、こんにちは!
今回はオンプレミス環境とAWS環境を繋ぐ用途として使われることが多い専用線に関するハンズオンを受けてきましたので、その内容を書きたいと思います。
- AWS 専用線アクセス体験ラボ ハンズオントレーニングとは?
- ハンズオントレーニングに参加したメンバー
- 弥生の背景
- VIFの違いについて
- ハンズオントレーニングの流れ
- 専用線に関する注意点
- ハンズオントレーニングの感想
- あとがき
- 一緒に働く仲間を募集しています
AWS 専用線アクセス体験ラボ ハンズオントレーニングとは?
以下AWS公式ページにも記載がありますが、今回は以下のようなリソースに関するハンズオンになります。
Virtual Private Gateway / Private VIF
Transit Gateway / Transit VIF
DirectConnect Gateway
ハンズオンでは上記のリソースを一通り触れてみることで、いくつかある専用線の接続方法などを学ぶことが出来ます。
またそれぞれの専用線接続方法の違いなど、AWS NWスペシャリストの方にQA形式で疑問を解消することが出来ます。
ハンズオントレーニングに参加したメンバー
今回のハンズオンは、以下4名のメンバーで受講をしました。
簡単な自己紹介をさせていただきます。
イトー
お客様向けサービスのテクニカルリーダーとして、保守運用しながら改善、エンハンス開発している傍らでAWSの管理運用をしたり、考えたりしています。
時にDBAとしてOracleの面倒を見ていたりします。通称何でも屋。
AWSはほぼ独学。
今回めったに触れることのできない、DX周りのハンズオントレーニングを実施頂けるということで逃すのは勿体ない!と思い参加しました。
つじー
インフラチームメンバーとしてAzure、オンプレ環境をこれまで主に担当してました。
これからはAWSにもチャレンジしていくため、構築する機会の少ない専用線環境のハンズオンに参加しました。
いまいずみ
インフラチームメンバーとして今年1月からジョインさせていただきました。
主にAWS周りの運用保守と改善を担当させていただいております。
前職でもAWSの設計・構築にかかわらせていただいておりましたが、専用線環境は構築する機会が少ない分野のためハンズオンに参加させていただきました。
ねぎ
インフラチームにて、オンプレミス環境、Azure、AWS幅広く運用保守およびより使いやすい環境にするための改善活動を実施しています。
最近は主にAWSに関する運用保守と改善がメインになってきており、新たにオンプレミス環境とAWS環境で専用線を構築しようと検討していたことをAWS様にもお話したところ、ハンズオントレーニングを実施いただけるというご提案をいただき、受講させていただきました。
弥生の背景
実は弥生のAWS環境でも専用線はすでに導入しています。
Private VIFとVirtual Private Gatewayの構成です。
しかし以下の過去のブログ記事にもある通り、マルチアカウント環境へと舵を切り出したAWS環境があります。
発表資料もぜひご覧ください。 speakerdeck.com
こちらのAWS環境は専用線未導入だったためオンプレミス環境(データセンター)とは通信できず、各チームが利用する上で不便な点があるため、今回新たに専用線構築することになりました。
VIFの違いについて
Private VIFやTransitVIFという単語が出て来て、よくわからない。という方もいらっしゃるかと思います。
ざっくりと言ってしまうと
Private VIFは単一のVPCと専用線を通じてやりとりをするケースでの利用となります。
Transit VIFとTransit Gateway構成にすることによって、ほぼ無制限といって良いほどVPCとの通信が行えるようになります。
こういった違いを知るためにもハンズオンで両方の経験が出来るようになっていたのはとてもタメになりました。
ハンズオントレーニングの流れ
概要説明
ハンズオンは9時から13時の4時間でした。
はじめにAWS様のNWスペシャリストの方から、全体的なハンズオントレーニングの説明と本日の流れをお話いただきました。
基本構成の構築
まずはじめに動作確認に使用する基本リソースの構築からはじまりました。
基本リソースは、VPCやサブネット、EC2といったものです。
これらのリソースはハンズオントレーニング用に払い出していただいた専用のAWS環境に対して、CloudFormationを使ってサクッと構築完了です。
疑似オンプレミス環境との接続
ハンズオントレーニング用にあらかじめ用意いただいている疑似オンプレミス環境(仮想ルータなどが配置されている環境)に対して、Virtual Private GatewayやPrivate VIFなどを手動で作成することで、動作確認用のEC2からSSH接続出来るようになってしまいます。(ほんとあっという間でした)
その他、DirectConnect GatewayとPrivate VIFを使った接続などもハンズオンで実施することが出来ました。
その際にはあらかじめ用意をいただいた疑似オンプレミス環境の仮想ルーター側の構築も実施することが出来ます。
(検証用の物理機器が限られている弊社にとってはとてもありがたいポイントでした)
Private VIFからTransit VIFへの切り替え
疑似オンプレミス環境側のルーターの設定を少し追加し、複数疑似オンプレミス環境への通信経路を作成しても、新しく作成した経路に勝手に切り替わらないように設定しておきます。
Transit VIFともう一つDirectConnect Gatewayを作成し、疑似オンプレミス環境と接続出来る経路を作成します。
ここまでで複数疑似オンプレミス環境へ接続が可能な経路が出来上がったので、今はどの経路を使っているかを確認しながら、疑似オンプレミス環境側のルータの設定を変更します。
ルーターの設定変更によって、経路をPrivate VIFからTransit VIFへと切り替えます。
切り替え後に本当に切り替わったかをコマンドで確認したり、切り替え前から実行していたPIngがどうなったかを確認していきます。
専用線に関する注意点
いくつか制限事項であったり、注意点についてもハンズオンでは教えていただきました
2023/03/13時点
Direct Connect Gateway
プレフィックス数は20という制限がある
「許可されたプレフィックス」
- 特定のVPC CIDRをオンプレミス環境へ広報したくない場合などフィルタのような動作となる
Direct Connect Gateway + Transit Gateway
「許可されたプレフィックス」
- VPCのCIDRとは関係なく、直接オンプレミス環境へと広報される
このような構成による動作の違いなども、合わせて教えていただけるとても有意義なハンズオンとなりました。
ハンズオントレーニングの感想
イトー
プライベートな形でのハンズオントレーニング(社内メンバーのみ)は何度も実施頂いていたのですが、今回さらに少人数での実施をして頂きました。
少人数での実施は質問もしやすく、理解が進むのでとてもやりやすいと思いました。
さらに、疑似オンプレ環境まで用意して頂きルータ(仮想ルータですが)の設定まで変更し通信の確認ができる点はとても利用者側に配慮されていると感じました。
相談する前はさすがにDXのハンズオンなんてできないよね、、、と思っていたので実施できると聞いたときは衝撃でした。
つじー
約4時間のハンズオンで専用線リソースの作成、経路切替、疎通確認などを実施しました。
実際に手を動かすことで構築しながらリソースのパラメータや構築時間等、気になる疑問をその場で解消できたのが大変良かったです。
また今回のハンズオンは事前弊社環境についてヒアリングを行って頂き、その後実施という流れでした。
そのためよりユースケースに近いリソースの構築などができたのもためになりました。
いまいずみ
約4時間という長時間のハンズオンでしたが、実際にハンズオンに参加している身としてはあっという間の4時間でした。
実際に手を動かしながら実施することで専用線構築のイメージがしやすく、また本番環境に近い形でハンズオンを実施していただくことは非常に貴重な経験となりました。
これを機にAWS Certified Advanced Networking - Specialtyの取得も目指したいと思います
ねぎ
専用線の構築について検討しているという話をキャッチアップしていただき、タイムリーにハンズオンの提案までしていただけてとても助かりました。
ハンズオンでは、その場で不明点などもNWスペシャリストの方に質問して解決出来るので、構築へ向けての不安だったポイントをクリアにすることが出来ました。
あとがき
中々経験が出来ない専用線に関する構築ですが、そうした部分までハンズオンのフォローがあるAWSはとても頼りになると感じています。
AWSに関する悩み事がある場合は、担当者に相談してみるとこういったハンズオンで悩みが解消するかもしれません。
