FJcloud実践
FJcloud-VのインターネットVPNサービスをわかりやすく解説
この記事は、ニフクラブログで2019-07-10に公開された記事を移転したものです。
こんにちは、富士通クラウドテクノロジーズの鮫島です。 当ブログの管理人ですが、エンジニアミートアップのレポート記事ばかり書いていてたまには、管理人らしいこともやらなければ…ということで、ニフクラブログの記事を含めたニフクラコンテンツのまとめをやってみようと思います。
第一弾は「インターネットVPN」のまとめです。なぜインターネットVPNか?という疑問があると思いますが、ニーズの割に当ブログを含め情報が分散しているからです。って普通すぎますか? インターネットVPNに関する記事は、大きく二種類に分類できます。 「拠点間VPN」と「リモートアクセス型VPN」です。 「拠点間VPN」は、たとえば自社のデータセンターとクラウドをセキュアに接続する場合に利用するVPNですが、ニフクラではハードウェアタイプとソフトウェアタイプが選択できます。「リモートアクセス型VPN」は、社内外からPCなど端末からクラウド上にあるシステムに接続する場合に利用するVPNです。こちらはソフトウェアタイプです。
詳細は、下記の比較表をご覧ください。
ニフクラのインターネットVPNサービス比較表
| インターネットVPN(H/W) | 拠点間VPNゲートウェイ | リモートアクセスVPNゲートウェイ | |
|---|---|---|---|
| VPN種別 | 拠点間VPN | 拠点間VPN | リモートアクセス型VPN |
| L2接続 | × | ○(L2TPv3/IPsec) | × |
| L3接続 | ○(IPsec) | ○(IPsec) | ○(TLS) |
| 定期メンテナンス実施 | なし | あり(※1) | あり(※1) |
| クラウド側装置 | ハードウェア | ソフトウェア | ソフトウェア |
| お客様側装置 | ハードウェア | ハードウェア/ソフトウェア | ソフトウェア |
| 推奨用途 | 基幹システム、社内業務システムなど | 基幹システム、社内業務システムなど | 社内外からクラウド上にあるシステムへのアクセスなど |
目次
拠点間VPNに関する記事 (基本編)
ニフクラにおいて、拠点間VPNサービスは「拠点間VPNゲートウェイ」と呼ばれています。 お客様拠点の物理ルーターや仮想ルーターからIPsecを利用したL2 VPN , L3 VPN接続が可能です。 その名の通りに、ニフクラと顧客のオンプレ環境をセキュアに接続したり、ニフクラの各リージョン内のプライベートネットワーク同士をセキュアに接続するのに利用します。
下記はニフクラの拠点間VPNゲートウェイの「IPsec VTI」機能について機能概要、構成、設定方法を紹介した記事です。VTI(Virtual Tunnnel Interface)によるVPN接続でお客様の既存のネットワークを維持しながら、ニフクラへセキュアな接続を行う手順が説明されています。
VPNゲートウェイのIPsec VTI機能でVPN接続する方法
L2延伸によるオンプレからクラウドへの移行
オンプレミス環境(vmwareで仮想化された)からクラウドへの移行時に、「拠点間VPNゲートウェイ」を利用してL2TPv3/IPsecでL2延伸すると、既存システムのネットワーク論理構成を変更せずにクラウドとの連携が可能になります。RDB+オートスケールなど、既存システムをクラウドネイティブなシステムへ進化する事が可能です。第15回のニフクラエンジニアミートアップで、「L2延伸を利用したクラウド移行とクラウド活用術」 というLTが披露されました。下記の記事でそのスライドが紹介されています。
【レポート】第15回ニフクラ エンジニア ミートアップ「平成最後のクラウド超入門 クラウド・バイ・デフォルト時代のクラウド移行TIPS」
L2延伸によるオンプレとパブリックのハイブリッド構成
オンプレミス環境とクラウドのハイブリッド構成をとる際、「拠点間VPNゲートウェイ」を利用してL2TPv3/IPsecでL2延伸すると、既存のオンプレミス環境をそのままクラウドに延伸するイメージで、ネットワークを構築することができます。下記は、ニフクラサイトで公開中の「クラウド構成例」のご紹介です。
東西リージョン間を跨ぐDR構成(応用編)
東西リージョン間を相互にIPsec (IKEv2, AES256, SHA1) で接続して、DRを構築するという記事です。これによって東西いずれかの本番環境のシステムが災害などで停止した場合に、フェイルオーバー機能によって障害サイトを切り離し、DNSの応答を予備環境に向けることで運用継続することができます。
FJcloud-V DNSフェイルオーバー機能を用いたDR構築検証
WSUSを複数拠点に適用し利便性向上(応用編)
Windows Serverの更新プログラム適用を集中管理する目的で、Windows Server Update Services(以降:WSUS)を使用している方向け。 複数拠点(東西リージョン利用)のWindows Serverの更新プログラム適用をWSUSで行うために、拠点間VPNゲートウェイで東西リージョン間を接続します。
拠点間VPNゲートウェイでリージョンをまたいだWSUSの階層化構成を検証
後編(リモートアクセスVPNゲートウェイ編)に続く
ニフクラのインターネットVPN機能に関するまとめ(後編:リモートアクセスVPNゲートウェイ)
本記事は過去に公開した記事を移行したものであり、公開時点の情報に準拠しております。リンク切れの際はご容赦ください。
