O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

「さくらのクラウド」におけるVyattaの活用事例

13.805 visualizações

Publicada em

  • Seja o primeiro a comentar

「さくらのクラウド」におけるVyattaの活用事例

  1. 1. 「さくらのクラウド」における Vyattaの活用事例 さくらインターネット(株) 研究所 大久保 修一 ohkubo@sakura.ad.jp
  2. 2. さくらのクラウドとは?IaaSの基本的なリソースを提供 ネットワーク サーバ ストレージ ロードバランサ NEW
  3. 3. ウェブサイト http://cloud.sakura.ad.jp/
  4. 4. さくらのクラウド最近のアップデート• 新規ユーザ募集再開(2012/11/1~)• SSDストレージ提供開始(2012/11/1~)• ネットワーク広帯域プラン(2012/11/7~) – 100Mbpsに加え、500Mbps、1Gbpsに対応• API追加(2013/1/23~)• コンパネリニューアル(2013/2/4~)• パケットフィルタ機能提供開始(2013/2/4~)• ロードバランサ機能提供開始(2013/03/12~)
  5. 5. Vyatta Coreを標準提供させていただいてます。
  6. 6. Vyatta Core 6.5R1 32bit (6rd対応)
  7. 7. お題その1Amazon VPC的な環境を作りたい! Vyattaならできます。
  8. 8. 3つのネットワークタイプ共有セグメント ルータ+スイッチ (専用セグメント) インターネット インターネット /28 or /27/32 /32 プライベートL2スイッチ
  9. 9. プライベートアドレス+NAT環境 インターネット ルータ+スイッチ 133.242.78.160/27 eth0: 133.242.78.164 133.242.78.165 1:1NAT eth2 eth110.103.XX.0/24 10.103.1.0/24 10.103.1.2
  10. 10. 材料• ルータ+スイッチ – IPアドレスが1つでもよければ共有回線でもOK• Vyattaを動かすVM × 1• スイッチ(ローカル側)• ローカル側に設置するサーバ × N
  11. 11. 基本設定set interfaces ethernet eth0 address 133.242.78.164/27set interfaces ethernet eth0 address 133.242.78.165/32 1:1NAT用set interfaces ethernet eth1 address 10.103.1.1/24set protocols static route 0.0.0.0/0 next-hop 133.242.78.161set nat destination rule 10 destination address 133.242.78.165set nat destination rule 10 inbound-interface eth0set nat destination rule 10 translation address 10.103.1.2 1:1NATset nat source rule 10 outbound-interface eth0set nat source rule 10 source address 10.103.1.2set nat source rule 10 translation address 133.242.78.165set nat source rule 999 outbound-interface eth0 Forwardset nat source rule 999 translation address masquerade NATset system conntrack expect-table-size 2048 セッションset system conntrack hash-size 16384 数を増加set system conntrack table-size 1048576
  12. 12. DHCPでプライベートアドレス配布edit service dhcp-server shared-network-name michonet-privateset subnet 10.103.1.0/24 default-router 10.103.1.1set subnet 10.103.1.0/24 dns-server 133.242.0.3set subnet 10.103.1.0/24 dns-server 133.242.0.4set subnet 10.103.1.0/24 start 10.103.1.100 stop 10.103.1.199 動的IPアドレスの設定set subnet 10.103.1.0/24 static-mapping host1 ip-address 10.103.1.2set subnet 10.103.1.0/24 static-mapping host1 mac-address 9C:A3:BA:25:19:C7 固定IPアドレスの設定
  13. 13. お題その2 IPv6アドレスも設定したい!残念ながらネイティブ対応できて いませんが、6rdを使えます。
  14. 14. 6rdとは? IPv6に対応していない サービスでも自動トンネル によるIPv6の疎通が可能• さくらの6rd(トライアル)• http://research.sakura.ad.jp/6rd-trial/
  15. 15. 6rd対応Vyattaを用いた構成例 IPv6インターネット 61.211.224.125 6rd Border Relay 2001:e41:3dd3:e07d::1 IPv4インターネットeth0 133.242.78.164 eth1 2001:e41:85f2:4ea4::/64
  16. 16. 6rd設定例set interfaces tunnel tun0 6rd-prefix 2001:e41::/32set 85f2:4ea4::1/32 interfaces tunnel tun0 address 2001:e41:85f2:4ea4 85f2:4ea4set interfaces tunnel tun0 encapsulation sit トンネルset interfaces tunnel tun0 local-ip 133.242.78.164 の設定set interfaces tunnel tun0 mtu 1280set protocols static route6 ::/0 next-hop 2001:e41:3dd3:e07d::1edit interfaces ethernet eth1set address 2001:e41:85f2:4ea4 85f2:4ea4::1/64 85f2:4ea4set ipv6 router-advert managed-flag true managed- LAN側set ipv6 router-advert other-config-flag true IFの設定set ipv6 router-advert prefix 2001:e41:85f2:4ea4::/64edit service dhcpv6-server shared-network-name michonet-private ¥ subnet 2001:e41:85f2:4ea4::/64set address-range start 2001:e41:85f2:4ea4:ffff:0:0:0 ¥ DHCPに stop 2001:e41:85f2:4ea4:ffff:ffff:ffff:ffff よるアドset name-server 2403:3a00::1 レス配布set name-server 2403:3a00::2
  17. 17. お題その3 リモートアクセスVPNしたい! VyattaはPPTP、L2TP/IPsec、OpenVPNに対応していますが、 L2TP/IPsecがオススメです。
  18. 18. リモートアクセスVPN構成例 IPv4インターネット L2TP用eth0 133.242.78.164 10.103.1.200~209 eth1 10.103.1.0/24
  19. 19. L2TP/IPsec設定例set vpn ipsec ipsec-interfaces interface eth0set vpn ipsec nat-networks allowed-network 0.0.0.0/0set vpn ipsec nat-traversal enableedit vpn l2tp remote-accessset authentication local-users username micho password aaabbbset authentication mode localset client-ip-pool start 10.103.1.200set client-ip-pool stop 10.103.1.209set dns-servers server-1 133.242.0.3set dns-servers server-2 133.242.0.4set ipsec-settings authentication mode pre-shared-secretset ipsec-settings authentication pre-shared-secret cccdddset mtu 1280set outside-address 133.242.78.164set outside-nexthop 133.242.78.161 4つのパラメータ
  20. 20. iPhone、iPadからも接続可能
  21. 21. お題その4プライベートクラウドとつなぎたい! IPsecもありますが、 site-to-siteモードOpenVPN がオススメです。
  22. 22. インタークラウド構成例サイトA(西新宿、プライベートクラウド) 10.103.4.0/24 eth1 eth0 59.106.69.117 vtun1 10.103.3.1/24 インターネット vtun1 10.103.3.2/24 eth0 133.242.78.164 eth1 10.103.1.0/24サイトB(石狩、パブリッククラウド)
  23. 23. サイトA設定例鍵の生成$ generate openvpn key /config/auth/secret$ sudo scp /config/auth/secret vyatta@133.242.78.164:/config/auth/OpenVPNの設定set interfaces openvpn vtun1 local-address 10.103.3.1 ¥ subnet-mask 255.255.255.0set interfaces openvpn vtun1 mode site-to-siteset interfaces openvpn vtun1 remote-address 10.103.3.2set interfaces openvpn vtun1 remote-host 133.242.78.164set interfaces openvpn vtun1 shared-secret-key-file /config/auth/secret経路の設定set protocols static interface-route 10.103.1.0/24 ¥ next-hop-interface vtun1
  24. 24. サイトB設定例OpenVPNの設定set interfaces openvpn vtun1 local-address 10.103.3.2 ¥ subnet-mask 255.255.255.0set interfaces openvpn vtun1 mode site-to-siteset interfaces openvpn vtun1 remote-address 10.103.3.1set interfaces openvpn vtun1 remote-host 59.106.69.117set interfaces openvpn vtun1 shared-secret-key-file /config/auth/secret経路の設定set protocols static interface-route 10.103.4.0/24 ¥ next-hop-interface vtun1
  25. 25. おまけ:経路設定をOSPFでやるOSPFの設定set point-to- interfaces openvpn vtun1 ip ospf network point-to-pointset protocols ospf area 0 network 10.103.3.0/24set protocols ospf area 0 network 10.103.4.0/24set protocols ospf passive-interface eth1※対向も同様にvyatta@vc65-6rd-2# run show ip ospf route============ OSPF network routing table ============N 10.103.1.0/24 [20] area: 0.0.0.0 via 10.103.3.2, vtun1N 10.103.3.2/32 [10] area: 0.0.0.0 directly attached to vtun1N 10.103.4.0/24 [10] area: 0.0.0.0 directly attached to eth1
  26. 26. まとめ• Vyattaを使って以下の環境を作る設定を紹介 しました。 – Virtual Private Cloud – IPv6 – リモートアクセス – インタークラウド

×