Comments
Description
Transcript
「さくらのクラウド」における Vyattaの活用事例
「さくらのクラウド」における Vyattaの活用事例 さくらインターネット(株) 研究所 大久保 修一 [email protected] さくらのクラウドとは? IaaSの基本的なリソースを提供 ネットワーク サーバ ストレージ ロードバランサ NEW ウェブサイト http://cloud.sakura.ad.jp/ さくらのクラウド最近のアップデート • 新規ユーザ募集再開(2012/11/1~) • SSDストレージ提供開始(2012/11/1~) • ネットワーク広帯域プラン(2012/11/7~) – 100Mbpsに加え、500Mbps、1Gbpsに対応 • • • • API追加(2013/1/23~) コンパネリニューアル(2013/2/4~) パケットフィルタ機能提供開始(2013/2/4~) ロードバランサ機能提供開始(2013/03/12~) Vyatta Coreを標準提供 させていただいてます。 Vyatta Core 6.5R1 32bit (6rd対応) お題その1 Amazon VPC的な環境を作りたい! Vyattaならできます。 3つのネットワークタイプ 共有セグメント ルータ+スイッチ (専用セグメント) インターネット インターネット /28 or /27 /32 /32 プライベートL2スイッチ プライベートアドレス+NAT環境 インターネット ルータ+スイッチ 133.242.78.160/27 eth0: 133.242.78.164 eth2 133.242.78.165 1:1NAT eth1 10.103.XX.0/24 10.103.1.0/24 10.103.1.2 材料 • ルータ+スイッチ – IPアドレスが1つでもよければ共有回線でもOK • Vyattaを動かすVM × 1 • スイッチ(ローカル側) • ローカル側に設置するサーバ × N 基本設定 set set set set interfaces ethernet eth0 address interfaces ethernet eth0 address interfaces ethernet eth1 address protocols static route 0.0.0.0/0 set set set set set set nat nat nat nat nat nat destination destination destination source rule source rule source rule 133.242.78.164/27 133.242.78.165/32 10.103.1.1/24 next-hop 133.242.78.161 rule 10 destination address 133.242.78.165 rule 10 inbound-interface eth0 rule 10 translation address 10.103.1.2 10 outbound-interface eth0 10 source address 10.103.1.2 10 translation address 133.242.78.165 1:1NAT用 1:1NAT set nat source rule 999 outbound-interface eth0 set nat source rule 999 translation address masquerade Forward NAT set system conntrack expect-table-size 2048 set system conntrack hash-size 16384 set system conntrack table-size 1048576 セッション 数を増加 DHCPでプライベートアドレス配布 edit service dhcp-server set subnet 10.103.1.0/24 set subnet 10.103.1.0/24 set subnet 10.103.1.0/24 set subnet 10.103.1.0/24 shared-network-name michonet-private default-router 10.103.1.1 dns-server 133.242.0.3 dns-server 133.242.0.4 start 10.103.1.100 stop 10.103.1.199 動的IPアドレスの設定 set subnet 10.103.1.0/24 static-mapping host1 ip-address 10.103.1.2 set subnet 10.103.1.0/24 static-mapping host1 mac-address 9C:A3:BA:25:19:C7 固定IPアドレスの設定 お題その2 IPv6アドレスも設定したい! 残念ながらネイティブ対応できて いませんが、6rdを使えます。 6rdとは? IPv6に対応していない サービスでも自動トンネル によるIPv6の疎通が可能 • さくらの6rd(トライアル) • http://research.sakura.ad.jp/6rd-trial/ 6rd対応Vyattaを用いた構成例 IPv6インターネット 6rd Border Relay 61.211.224.125 2001:e41:3dd3:e07d::1 IPv4インターネット eth0 133.242.78.164 eth1 2001:e41:85f2:4ea4::/64 6rd設定例 set set set set set set interfaces tunnel tun0 6rd-prefix 2001:e41::/32 85f2:4ea4::1/32 interfaces tunnel tun0 address 2001:e41:85f2:4ea4 85f2:4ea4 interfaces tunnel tun0 encapsulation sit interfaces tunnel tun0 local-ip 133.242.78.164 interfaces tunnel tun0 mtu 1280 protocols static route6 ::/0 next-hop 2001:e41:3dd3:e07d::1 トンネル の設定 edit interfaces ethernet eth1 set address 2001:e41:85f2:4ea4 85f2:4ea4::1/64 85f2:4ea4 set ipv6 router-advert managedmanaged-flag true set ipv6 router-advert other-config-flag true set ipv6 router-advert prefix 2001:e41:85f2:4ea4::/64 LAN側 IFの設定 edit service dhcpv6-server shared-network-name michonet-private ¥ subnet 2001:e41:85f2:4ea4::/64 set address-range start 2001:e41:85f2:4ea4:ffff:0:0:0 ¥ stop 2001:e41:85f2:4ea4:ffff:ffff:ffff:ffff set name-server 2403:3a00::1 set name-server 2403:3a00::2 DHCPに よるアド レス配布 お題その3 リモートアクセスVPNしたい! VyattaはPPTP、L2TP/IPsec、 OpenVPNに対応していますが、 L2TP/IPsecがオススメです。 リモートアクセスVPN構成例 IPv4インターネット eth0 133.242.78.164 eth1 10.103.1.0/24 L2TP用 10.103.1.200~209 L2TP/IPsec設定例 set vpn ipsec ipsec-interfaces interface eth0 set vpn ipsec nat-networks allowed-network 0.0.0.0/0 set vpn ipsec nat-traversal enable edit vpn l2tp remote-access set authentication local-users username micho password aaabbb set authentication mode local set client-ip-pool start 10.103.1.200 set client-ip-pool stop 10.103.1.209 set dns-servers server-1 133.242.0.3 set dns-servers server-2 133.242.0.4 set ipsec-settings authentication mode pre-shared-secret set ipsec-settings authentication pre-shared-secret cccddd set mtu 1280 set outside-address 133.242.78.164 set outside-nexthop 133.242.78.161 4つのパラメータ iPhone、iPadからも接続可能 お題その4 プライベートクラウドとつなぎたい! IPsecもありますが、 site-to-siteモードOpenVPN がオススメです。 インタークラウド構成例 サイトA(西新宿、プライベートクラウド) 10.103.4.0/24 eth1 eth0 59.106.69.117 vtun1 10.103.3.1/24 インターネット vtun1 10.103.3.2/24 eth0 133.242.78.164 eth1 10.103.1.0/24 サイトB(石狩、パブリッククラウド) サイトA設定例 鍵の生成 $ generate openvpn key /config/auth/secret $ sudo scp /config/auth/secret [email protected]:/config/auth/ OpenVPNの設定 set interfaces openvpn vtun1 subnet-mask 255.255.255.0 set interfaces openvpn vtun1 set interfaces openvpn vtun1 set interfaces openvpn vtun1 set interfaces openvpn vtun1 local-address 10.103.3.1 ¥ mode site-to-site remote-address 10.103.3.2 remote-host 133.242.78.164 shared-secret-key-file /config/auth/secret 経路の設定 set protocols static interface-route 10.103.1.0/24 ¥ next-hop-interface vtun1 サイトB設定例 OpenVPNの設定 set interfaces openvpn vtun1 subnet-mask 255.255.255.0 set interfaces openvpn vtun1 set interfaces openvpn vtun1 set interfaces openvpn vtun1 set interfaces openvpn vtun1 local-address 10.103.3.2 ¥ mode site-to-site remote-address 10.103.3.1 remote-host 59.106.69.117 shared-secret-key-file /config/auth/secret 経路の設定 set protocols static interface-route 10.103.4.0/24 ¥ next-hop-interface vtun1 おまけ:経路設定をOSPFでやる OSPFの設定 set set set set interfaces openvpn vtun1 ip ospf network pointpoint-toto-point protocols ospf area 0 network 10.103.3.0/24 protocols ospf area 0 network 10.103.4.0/24 protocols ospf passive-interface eth1 ※対向も同様に vyatta@vc65-6rd-2# run show ip ospf route ============ OSPF network routing table ============ N 10.103.1.0/24 [20] area: 0.0.0.0 via 10.103.3.2, vtun1 N 10.103.3.2/32 [10] area: 0.0.0.0 directly attached to vtun1 N 10.103.4.0/24 [10] area: 0.0.0.0 directly attached to eth1 まとめ • Vyattaを使って以下の環境を作る設定を紹介 しました。 – Virtual Private Cloud – IPv6 – リモートアクセス – インタークラウド