オンプレミスのサーバに AWS Elastic Disaster Recovery (DRS) のエージェントをインストールする際のネットワーク観点での注意点

オンプレミスのサーバに AWS Elastic Disaster Recovery (DRS) のエージェントをインストールする際のネットワーク観点での注意点

Clock Icon2024.09.17

困っていること

オンプレミスのサーバに AWS Elastic Disaster Recovery (DRS)のエージェントをインストールしようとしています。ネットワーク観点での注意点があれば教えてください。

どう対応すればいいの?

ドキュメントに記載のネットワーク要件を満たしているかを確認してください。
https://docs.aws.amazon.com/ja_jp/drs/latest/userguide/Network-Requirements.html

ポイントは以下です。

①ソースサーバから TCP ポート 443 による以下の URL への通信が可能か
ソースサーバから以下の URL 宛ての 443 ポート通信を通す必要があります。サーバのファイアウォールや経路上のネットワーク機器などでブロックされていないかを確認してください。

  • Elastic Disaster Recovery AWS リージョン固有のコンソールアドレス:
    (drs.<region>.amazonaws.com 例: drs.eu-west-1.amazonaws.com )
  • Amazon S3 サービス URL (AWS Elastic Disaster Recovery ソフトウェアのダウンロードに必要)

https://aws-drs-clients-<REGION>.s3.<REGION>.amazonaws.com/
https://aws-drs-clients-hashes-<REGION>.s3.<REGION>.amazonaws.com/
https://aws-drs-internal-<REGION>.s3.<REGION>.amazonaws.com/
https://aws-drs-internal-hashes-<REGION>.s3.<REGION>.amazonaws.com/
https://aws-elastic-disaster-recovery-<REGION>.s3.<REGION>.amazonaws.com/
https://aws-elastic-disaster-recovery-hashes-<REGION>.s3.<REGION>.amazonaws.com/

補足として、上記通信はインターネット経由だけでなく、DirectConnect や Site-to-Site VPN 経由でのプライベート通信でも成立させることが可能です。
その場合は追加で以下の手順が必要となりますのでご注意ください。

  • 接続先 AWS 側の VPC 上に以下の VPC エンドポイントを作成する
    • DRS のインターフェースエンドポイント:com.amazonaws.<REGION>.drs
    • S3 のインターフェースエンドポイント:com.amazonaws.<REGION>.s3
  • オンプレミスのソースサーバ側で作成した VPC エンドポイントの名前解決が可能であることを確認する
    • 盲点ですが引っかかりやすいポイントです。hosts で解決する形でも問題ありません。
  • エージェントのインストール時に "--endpoint" パラメータで DRS エンドポイントの DNS 名を、"--s3-endpoint" パラメータで S3 エンドポイントの DNS 名をそれぞれ指定する[1]
    • プロキシサーバを経由する必要がある場合は、追加で "--proxy-address https://PROXY:PORT/" パラメータを指定してください[2]

②ソースサーバから TCP ポート 1500 による AWS 上のレプリケーションサーバへの通信が可能か
データレプリケーション用の通信として、ソースサーバから AWS 上のレプリケーションサーバへの 1500 ポート通信を通す必要があります。
こちらも①の 443 通信同様にインターネット経由でもプライベート通信でも実行可能です。
プライベート通信でレプリケーションを行う場合、 マネジメントコンソールのレプリケーション設定の欄で「データレプリケーションにプライベート IP を使用する (VPN、DirectConnect、VPC ピアリング)」にチェックを入れてください[3]

補足

  • ネットワーク構成図としては以下のドキュメントの内容がわかりやすいと思います
    • Site-to-Site VPN 経由での構成図ですが、DirectConnect を利用する場合でも通信内容的には同様です

https://docs.aws.amazon.com/drs/latest/userguide/Network-diagrams.html#Network-diagrams-onprem-vpn

  • 以下の VPC エンドポイントをレプリケーションサーバが起動する VPC 上に追加作成することで、レプリケーションサーバから AWS への各種管理通信もプライベートにすることが可能です。要件上必要な場合は利用をご検討ください。
    • DRS のインターフェースエンドポイント:com.amazonaws.<REGION>.drs
    • EC2 のインターフェースエンドポイント:com.amazonaws.<REGION>.ec2
    • S3 のゲートウェイエンドポイント:com.amazonaws.<REGION>.s3
      • インターフェースでは無く、ゲートウェイのエンドポイントが必要です
脚注
  1. Installing the agent on a secured network ↩︎

  2. Can a proxy server be used between the source server and the Elastic Disaster Recovery Console? ↩︎

  3. Use private IP for data replication ↩︎

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.