メインコンテンツにスキップ
ブログネットワーキングLinode VLANによるマルチリージョンのスパニング

Linode VLAN によるマルチリージョン展開

Linode VLAN によるマルチリージョン展開

VLANとVPCは、パブリッククラウド上のインフラ を保護するために使用するネットワーク分離の方法です。VLANとVPCは、ネットワークの攻撃対象領域を大幅に削減し、公衆インターネットアクセスの有無にかかわらず、アプリケーション層をセグメント化する能力を与えることで、セキュリティを向上させます。今日は、Linodeで複数の地域にまたがるプライベートネットワークをより大きく考えてみましょう。

リージョン」とは、同じクラウドプロバイダー内の個別の地理的なエリアを指します。「ゾーン」は、通常、これらの地理的地域内の追加のホスティング・ロケーションです。例えば、ニューヨーク近郊にある北東リージョンとアトランタにある南東リージョンがあり、それぞれが複数のゾーンを含んでいます。

より多くのユーザーに物理的に近づくことで低遅延を実現するだけでなく、マルチリージョンアプリケーションの実行により、信頼性とフォールトトレランスを大幅に向上させることができます。ハードウェアの故障やローカルネットワークの停止など、ある場所のワークロードに影響を与える可能性のあるものは、ユーザーを迂回させる別の場所があれば、潜在的に軽減できる可能性があるのです。

マルチリージョンVLANの導入

複数の地域に配置されたVLANセグメントを横断してルーティングするには、VPN(Virtual Private Network)を使ってVLANセグメント同士を結びつけます。 

まず、Linodeを共通のルーターとして使用し、1つの地域に配置された関連するVLANを結びつけます。各VLANセグメントは、それぞれ独立したレイヤー2ドメインで、レイヤー3サブネット内で動作します。さまざまなVLANセグメント間のすべてのトラフィックはルータを経由して流れ、ルータ内にファイアウォールルールを設置して、複数のセグメント間で通過が許可されるトラフィックを管理することができます。

そして、このルーター・インスタンスを設定して、公衆インターネットとWireGuardなどのVPNソフトウェアまたはIPSecなどのプロトコルを使用して、他のネットワーク・セグメント間のトラフィックを橋渡しすることができます。

上記の例では、2つのリージョンを配置しています。各リージョンはルータインスタンスを通して2つの孤立したVLAN間の接続を管理する役割を担っています。各ルーターは、複数のインターフェイスで構成されたLinodeルーターインスタンスを使用して、ローカルに複数の地域をブリッジすることができます。ルーターは、各地域への公衆インターネット上のWireGuardトンネルを使用することにより、地域をまたいでいます。

NATの出口を設定する

これにより、地域に関係なく、どのVLAN間でもトラフィックを流すことができるようになりました。さらに、ルーターインスタンスをローカルインターネット接続なしで展開した場合、ローカルVLANにインターネット接続を提供するネットワークアドレス変換(NAT)出口ポイントとして使用することができます。この構成では、ローカルルーターインスタンスをデフォルトゲートウェイとして指定します(通常、10.0.0.0/24ネットワークでは10.0.0.1として構成されます)。また、ルーター・インスタンスをSecure Socket Shell(SSH)管理の拠点として使用することも可能です。

このようなNAT設定を行う一般的な方法は、ファイアウォールルールを使用してWireGuardトラフィックをマークし、このマークがなく検出されたトラフィックに対してIPマスカレードを行う方法です。 

例えば、ルーターはiptablesルールを使用するように設定されるでしょう。

iptables -t nat -A POSTROUTING -o eth0 -m mark !-マーク 42 -j MASQUERADE

WireGuardの設定内でFirewallMark(つまり、42)を使用するように設定することができます。この設定により、すべてのVLANトラフィックがNATされる一方で、WireGuardのトラフィックはNATされないようになります。

そして、ルーティングノード間のWireGuard通信(通常、udp/51820)を許可するように、クラウドファイアウォールルールが設定されることになるのです。

そして、ルーターインスタンスにファイアウォールルールを設定し、必要に応じてローカルセグメントとグローバルセグメント間のトラフィックフローを制御したり記録したりすることができます。

配慮事項

この例では、複数の地域でグローバルにデータを共有し、ルーターインスタンスでさまざまな VLAN セグメント間のトラフィックフローを制御できるようにする展開になっています。複数の VLAN セグメントから単一のアグリゲーションポイントにトラフィックを流す場合、その際のパフォーマンスと帯域幅に関する考慮事項を理解することが重要です。パフォーマンスは、ルーターに割り当てられた計算リソースによって課されるアップロード帯域幅の制限によって決定されます。

また、VPNプロトコルを慎重に検討し、導入の要件を満たしていることを確認することも重要です。選択する技術は、ポイント・ツー・ポイントの帯域幅と、公衆インターネット上で送信されるトラフィックのセキュリティに大きな影響を与えます。例えば、WireGuardは暗号を使用してトラフィックを傍受できないようにし、strongSwanのようなIPsec実装と比較すると信頼できるコンピューティング・ベースが小さく、悪用と暴露を制限することができます。

マルチクラウド

複数の地域にまたがるために使用しているのと同じような技術を、さまざまなクラウドプロバイダーにわたって実装することができます。例えば、別のクラウドサービスプロバイダーのネットワーク境界内にルーターインスタンスを配置し、そのローカルでクラウドプロバイダー固有のVPC構成に結びつけることができます。ルーターインスタンス間でWireGuardトンネルを使用して、クラウドプロバイダーのネットワークにブリッジすることができます。この実装は、プライベートネットワーク内で排他的に隔離された状態を維持するように設計されたサービスに適しています。

What's Next

最終的には、プライベートネットワークを設計する際に使用する様々なツールがありますが、その利点は複雑さを増すよりも大幅に上回る可能性があります。アプリケーションがユーザーベースと共に成長している場合、より多くのユーザーに対して遅延を減らすように環境を設計することは、ユーザーエクスペリエンスに大きな影響を与える可能性があります。フォールトトレランスを追加することで、信頼性が向上し、ソフトウェアの可用性とアクセス性を維持することができます。


コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。