オンラインで Direct Connect を学べてしまう! AWS 専用線アクセス体験ラボ ハンズオントレーニング に参加しました
コンバンハ、千葉(幸)です。
皆さんはAWS 専用線アクセス体験ラボ ハンズオン トレーニングをご存知でしょうか? 個人で試すのはなかなか難しい Direct Connect まわりの設定作業を、疑似的な環境を用いて体験できるとても有益なセミナーです。
弊社でも過去何度か参加レポートをブログにしています。直近ですと以下のエントリが分かりやすいかと思います。
そんな有益なセミナーが、昨今の状況を鑑みてオンラインで開催されることになりました。これは受講するほかないと、早速体験してみました。
目次
受講に必要なもの
以下が必要となります。
- Amazon Chimeのアプリケーション版をインストールしてあるPC
- セミナーが受講可能なインターネット環境
- 参加者個人の root 権限で利用できる AWS アカウント
また、推奨事項として以下があります。
- デュアルモニタ環境
- ブラウザ環境
- Google Chrome (most recent 2 versions)
- Mozilla Firefox (most recent 2 versions)
- Internet Explorer v11
- Microsoft Edge (most recent 2 versions)
- インターネット環境
- Computer: 1 Mbps or better (broadband recommended)
ハンズオン テキスト
受講前日に、ハンズオン テキストへのリンクを含むEメールが送られてきます。ドキュメントのバージョンは7.5(2018/2/8更新)でした。
章立てとしては以下のようになっています。太字部分が、ハンズオンのメインとなります。
- イントロダクション
- Direct Connect とは
- トレーニング環境について
- 全体の流れ
- Self DXlab のユーザ登録およびラボ環境作成
- 踏み台環境の作成(事前準備)
- AWS Direct Connect の設定
- シンガポールリージョン上の VPC 作成と接続
- トラフィックエンジニアリング(参考情報)
- ラボ環境のクリーニング
- 参考情報
- 公開情報
- ドキュメント情報
ハンズオンの詳細
ハンズオン は以下のように GoToWebinar
というツールを用いてブラウザベースで 説明が行われました。質問を書き込んだり、進捗を表すために挙手をしたり、という使い方をしました。
トピックをいくつかかいつまんでご説明します。
全体像
ハンズオン を行う全体の構成イメージとしては以下となります。(ハンズオンテキストより引用)
自身の AWS アカウントにおいては、踏み台用の VPC を一つ、 Direct Connect の接続先となる VPC を東京リージョンとシンガポールリージョンに一つずつ作ります。
Self DXlab の設定
今回ラボ環境として Self DXlab
というものが用意されています。必要な情報を入力しサインアップを行うことで、自身のAWSアカウントに以下のようにVIF(仮想インタフェース)が comfirming
状態で払い出されることになります。
踏み台環境の構築
自身の AWS アカウント上の踏み台環境は CloudFormation を用いてサクッと作ることができるようにテンプレートが用意されています。また、払い出されている VIF のうち一つを、踏み台用の VPC にあるVGW(仮想プライベートゲートウェイ)と関連付ける形で承認します。
Direct Connect の設定(AWS)
オンプレを想定した環境から Direct Connect を経由して接続先となる VPC の環境を作ります。ここは手動で作成しました。
その上で、Direct Connect ゲートウェイを作成します。今回の構成では Direct Connect ゲートウェイ経由で複数の VPC と接続することになります。作成した Direct Connect ゲートウェイは、VGW と関連づけた上で、Self DXlab から払い出されている VIF の2つ(Juniper vSRX用、Cisco CSR用)と関連づけます。
Direct Connect の設定(オンプレミス側の設定)
今回は疑似オンプレミス環境として、ハンズオン環境に以下の2種類のルーターが用意されています。
- Juniper vSRX
- Cisco CSR
自身の AWS アカウントの踏み台を経由してハンズオン 環境の vyos サーバ接続し、両者のルーターに接続しセットアップを行います。今回はいずれか一方好きな方を選択してください、という形式でした。
それぞれのルーターにおける設定内容も、コマンドベースで記載してくれているので、迷うことなく進めることができました。(とはいえその分詳細な内容は分からずできてしまう部分があるので、そこはおのおの自習しましょう!)
設定内容を箇条書きで記します。
Juniper vSRX の場合
- インタフェースの設定
- WAN インタフェースをタグ VLAN モードに設定
- WAN インタフェースの MTU を 1522 に設定
- VLAN-ID を4桁で設定
- WAN インタフェースの IP インタフェースの MTU を 1500 に設定
- WAN インタフェースの IP を設定
- BGP の設定
- AWS へ広告するルートのフィルタを設定
- BGP ピアの設定
- 自身の AS 番号の設定
- eBGP の設定
- 対向ルータ(AWS)の AS 番号の設定
- 自ルータのインタフェースを指定
- 対向ルータ(AWS)の IP を設定
- eBGP の送信フィルタの設定
- eBGP のパスワードを設定
Cisco CSR の場合
- インタフェースの設定
- WAN インタフェースの設定
- WAN インタフェースを有効
- WAN インタフェースに VLAN-ID を4桁で設定
- WAN インタフェースの VLAN モード設定
- WAN インタフェースのIP 設定
- BGP ピア設定
- 対向ルータの IP および AS 番号の設定
- BGP パスワードの設定
- eBGP で広告するルートの設定
疎通確認
疑似オンプレ環境に存在する ubuntu サーバに接続し、そこから Direct Connect 経由でAWS 環境に向けて ping 疎通ができることを確認します。
ubuntu サーバにおいては、上記で設定したいずれかのルーターのIPに向けたスタティックルートを設定したのちに ping による疎通を行いました。
正常に疎通が確認できた時は嬉しくなりますね。
また、AWS 環境上のサーバから疑似オンプレ環境への ping 疎通も併せて行いました。
疎通確認(シンガポールリージョン)
シンガポールポールリージョンにも接続先の環境を作成し、そのVPC の仮想プライベートゲートウェイと Direct Connect ゲートウェイ を関連付け、疎通確認を行います。
シンガポール用の環境はCloudFormationで構築できるようテンプレートが用意されていたので、サクッと準備して、先ほどと同じように疎通確認が取れました。
トラフィックエンジニアリング(参考情報)
ハンズオン において時間が余った方はどうぞ、という建て付けで用意されていたのがこちらです。
一つの VPC に対して複数の BGP パスがある場合のトラフィック制御についてのハンズオン です。
大まかに以下の項目をそれぞれのルーターで設定を行います。
- 内部ルーティングの設定
- iBGP の設定
- eBGP の優先度設定
ubuntu から EC2 上のサーバへ ping を打ち続け、その間に vSRX の BGP セッションを切断し CSR 側に経路が変更されることを確認する、という手順になっています。
自分の場合、当日の時間内でここまで試すことができなかったのですが、検証環境を 6/26 程度まで残しておいてくれるとのことなので、後からじっくり試すこともできる親切設計です。
終わりに
オンラインではありましたが、テキスト・およびビデオツールによる丁寧な説明のおかげで、迷うことなくハンズオンを進めることができました。個人ではなかなか試しづらい Direct Connect まわりの作業を体験できる、非常に満足度の高いウェビナーでした。
今後もオンラインで実施されるかは不明ですが、興味がある方は次回以降の実施予定を継続してチェックしてみてください!
以上、千葉(幸)がお送りしました。