AWSでも役に立つトンネリング技術入門

ソリューションアーキテクトの荒木(twitter: ar1)です。
 
EC2-VPCでできること、EC2-Classicでできることには違いがあります。機能面については、皆様がよくご存知の通り、複数IPアドレス、複数ネットワークインターフェース、セキュリティグループの付け外し等大きく拡張されています。
このような魅力的な機能を持つVPCは、昨年からデフォルトで全てのEC2利用者に利用いただいています。
 
とはいえ、VPCは物理的な線があり、NICがあるいわゆる物理環境と違うのも事実です。そしてAWSがサポートしていないことがいくつかあることがわかっています。それはIPv6対応であり、Multicast対応であり、イーサネットフレームのコピーであったりします。そんなことを実現するために、トンネリングがしばしば使われます。
 
その方法は多数知られています。パケットをいじる以上、そのいじり方に応じてトレードオフがあり、それぞれの目的のために実装も異なります。標準化されている方法としては、IP-in-IP (rfc1853)、Generic Routing Encapsulation (rfc2784)が、よく使われています。また、ネットワークデバイスの仮想化技術として知られるTUNとTAPもよく使われています。乱暴ですが、これらをまとめると次のようになります。


  カプセル化対象 オーバーヘッド コメント
IP-in-IP IPのみ 20オクテットのIPヘッダを先頭に付与
GRE IP,AppleTalk,Multicast,IPv6等 IPヘッダ+4オクテットのGREヘッダを先頭付与
TUN IP ネットワーク層のデバイスを模擬
TAP イーサネット イーサネットデバイスを模擬
 
下にいくほど汎用的に使える反面、処理のオーバーヘッドも大きくなります。
また、VPNの構成要素として、これらを使うためには安全を保つ仕組みが必要です。
LAN間を接続するVPNとしては、IPSecが広く知られています。IPSecでは、暗号化したうえ、認証データ、シーケンス番号等を加えたESP(Encapsulating Security Payload)にIPヘッダをつけてデータ転送をします。そのため、オーバーヘッドは単純なトンネルに比べてさらに大きなものとなります。
 
 
Offsets Octet16 0 1 2 3
Octet16 Bit10 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
0 0 Security Parameters Index (SPI)
4 32 Sequence Number
8 64 Payload data (ここが元々送るべき内容)
   
  Padding (0-255 octets)  
  Pad Length Next Header
Integrity Check Value (ICV)
 
 
当たり前のことですが、EC2-VPCでは、これらのトンネリングを自由に使うことができます。
 
「パケットの気持ちになって考え」たことはあるでしょうか?パケットの持っている情報を理解し、次の動きを考えてみたことはあるでしょうか?ファイアウォールの下などの制限されたネットワークからすこしでも自由なネットワークに出て行きたい、そんなことでもないかぎり、「パケットの気持ちになって考え」ることは無いかもしれません。
 
様々なユーザーが参加し、一歩前へ、進める企画を用意しているJAWS DAYS 2014が今週末の土曜に迫りました。Track3: AWS Technical Deep Diveでは、「マルチキャストがないならユニキャストすればいいじゃない/ほしいプロトコルはカプセルすればいいじゃない」というタイトルで、荒木と安川のセッションを担当します。
 
制限されたネットワークでも自由なシステムを創りあげるためとはいえ、オーバーヘッドは小さいに越したことはないでしょう。このセッションでは、いくつかのパケットのあしらい方を紹介します。皆様のシステム作りに寄与できることを祈っています。

 

03/11/2014 | | Comments (0)

Hello, architecting worlds!

皆様、こんにちは。アマゾン データ サービス ジャパンの玉川です。

本日より、AWSのソリューションアーキテクト(SA)を主とした技術チームによるブログを開始することにしました。このブログは、AWSを用いたアーキテクティング手法、AWSのディープな技術情報について書いていく予定です。そもそもAWS自体に興味が無い方はそっ閉じでお願いいたします。

Gameday

 

SAとAWS技術チームの取り組み

AWSは日々進化を続けているクラウドサービスで、2013年も280以上の新リリースがありました。利用者の方々により巧くAWSを使って頂けますように、下記のような様々なアクティビティを通じて技術情報を提供しております。このブログでは、以下のアクティビティに関する最新情報に加え、最新機能の使い方、AWSのリファレンスアーキテクチャや、デザインパターンといったベストプラクティスをお伝えしたいと思います。

  • クラウドデザインパターン
    クラウドを設計する際の暗黙値を形式知として整理しようという壮大な?取り組みで、wikiや書籍等で公開しています。
        - AWSクラウドデザインパターン設計ガイド(wiki書籍Kindle版英語wiki)
        - AWSクラウドデザインパターン実装ガイド(書籍)
  • オンラインセミナー
    ほぼ毎週、無料のオンラインセミナーを実施しています。特にマイスターシリーズ(4月からAWS Black Belt Tech Seminarとしてリニューアル予定)はサービスを深堀した新鮮な情報が特徴です。また、初心者向けも実施しています。
        - AWSマイスターシリーズ (webサイト)
  • 技術白書
    ホワイトペーパー等の技術白書を提供しています。特に、セキュリティ周りのホワイトペーパーは一読の価値があります。
        - AWSホワイトペーパー(webサイト)
        - AWSコンプライアンス(webサイト)
  • 技術資料集
    幅広い技術資料を公開しています。下記の活用資料集には、ハンズオン資料、ソリューション資料、各サービスの深堀資料など盛りだくさんです。Slideshareアカウントには、セミナー資料なども公開されています。
        - AWSクラウドサービス活用資料集 (webサイト)
        - Slideshare資料 (Amazon Web Services Japan
  • トレーニング
    AWSは公式のトレーニングを提供しています。1日で主要サービスを触ってみる実践コースや、3日間でみっちりアーキテクトの基礎をたたきこむArchitecting on AWSコースなど、経験豊富な講師陣が提供します。
        - AWSトレーニング (webサイト)
  • 認定プログラム
    名刺にAWSの認定ロゴをいれてドヤ顔しませんか?ソリューションアーキテクト-アソシエイトレベルを日本語で受けることができます!
        - AWS認定プログラム (webサイト)
  • イベント登壇
    エバンジェリスト、SA、コンサルタント、トレーナーは、JAWS(ユーザーグループ)をはじめとした様々なイベントで登壇しています。
        - JAWS-UG (ユーザーグループ)
        - JAWS DAYS 2014 (公式サイト)
        - セミナー一覧(webサイト)

すでにAWSブログはご愛読頂いている方も多いと思いますが、そちらがWhat(AWSの最新リリース)にフォーカスしたものに対して、こちらのSAブログでは、Howに関するよりDeepな情報をお届けしたいと思います。乞うご期待!

玉川 (Facebook, Twitter @KenTamagawa)

03/11/2014 | | Comments (0)

Search

このブログ内の記事を検索

Twitter, Facebook

このブログの最新情報はTwitterFacebookでもお知らせしています。お気軽にフォローください。

March 2014

Sun Mon Tue Wed Thu Fri Sat
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

Archives