AWS専用線アクセス体験ラボ ハンズオントレーニング 参加レポート
丹内です。 普段触ることが少ないDirect Connectのハンズオントレーニングを受講してきたので、報告します。
開催の概要
イベント名のとおり、「AWS専用線アクセス体験ラボ」というDirect Connectを検証する環境を利用した、公式のハンズオントレーニングです。
もともとこのラボでは、オンプレ側を含むDirect Connectの検証環境を利用することができるのですが、利用の前提になるVPC/Direct Connectの基礎知識を、講義や実習で学ぶことができます。
Direct Connectは専用線を契約するため、期間や予算が必要となり、見積りに必要なスキルを身につけるハードルが高いサービスと言えますが、このラボとトレーニングでカバーすることが可能です。
なんと無料で参加でき、また半日程度のトレーニングなので、最低限のスキルがあれば参加しやすいと思います。
参加の流れ
申し込み
ラボの公式ページのAWS 専用線アクセス体験ラボトレーニング > トレーニングスケジュール
の表から日程を確認します。
私が参加した回はこくちーずというイベントサイトで募集が行われていました(募集ページ)。
あとは名前やメールアドレスなど必要事項を入力するのですが、他のイベントとは違い、ハンズオンで使うAWSアカウント番号を入力する必要があります。
Direct Connectを使う際には、専用線を提供するキャリアによる設定(工事、仮想インタフェースの作成)と、提供を依頼するAWSユーザでの操作(仮想インタフェースリクエストの受け入れとVPC側の設定)が必要になります。
今回のハンズオンではAWSJはキャリア役として、データセンター側の回線工事と設定を事前に行い、申込時に入力されたAWSアカウントに対してリクエストを送るところまで行います。それによって、受講者は必要なスキルを短時間の実習のみで習得することができるのです。
従って、入力したAWSアカウント番号に不備があると、事前の準備がうまくいかないので、ここは注意が必要です。
当日
9時15分から受付だったので、9時にAWSJに着くように移動しました。
AWSマネジメントコンソールが使え、SSHができるパソコンを各自持参します。
AWSリソースIDやIPをメモする紙が配布されたのですが、私は筆記用具を忘れたため、メモアプリを使って実習を行いました。筆記用具も持って行きましょう。
講義資料やメモ用紙以外に、スポンサーである回線提供企業のチラシを受け取りました。どれくらいの期間でどのような金額になるのかが分かり、勉強になりました。
今回は定員25人に対して、20人弱くらいの出席のようでした。
ハンズオン終了後
今回のハンズオンでは、次回開催まではデータセンター側の設定がそのまま残されるだろう、というお話でした。従って、今回用意された環境では、ハンズオン後の自習が可能です。 今回の場合、約2,3週間は残されるということでした。 同僚との復習や、より複雑な検証を時間をかけて行うことができます。
ハンズオンの内容
イントロダクション
配布物の確認と、ハンズオン開始に当たる導入が行われました。
スライドと配布資料を見ながら座学を受ける形式です。
以下が、今回のハンズオンで取り扱う構成です。
おおまかに言うと、踏み台からオンプレ環境に入り設定を行い、AWS側のServer Aとオンプレ側のServer Bで疎通確認ができることを目指すという内容です。
下部のDXlab側は、既にキャリア役であるAWSJによって設定されているので、受講生はAWS側のみを構築すれば準備が整います。
そのAWS内部のうち踏み台側VPCは配布されるCloudFormationによって構築するので、Direct Connectという本質に集中することができます。
踏み台環境の作成
先述のとおり、踏み台のVPCとEC2はCloudFormationで作成します。
このVPCにはDirect Connectが利用できるVGWがアタッチされていて、DXlabへのリモートログインができます。
Direct Connectの設定(AWS側)
構成図にあるもう一つの検証用VPCは、今回のハンズオンで重要な対向システムなので、手動で作成します。
具体的には、以下のことを行います。
- VGWの作成
- 仮想インタフェースの承認
- subnetやVPGの設定
重要なのは仮想インタフェースの承認です。
ハンズオンでは事前に講師の方がキャリア役として受講生のアカウントにDirect Connectのリクエストを送っているので承認することができます。
しかし通常ではエクイニクス社データセンターに機器を持ち込み工事を行い、その上での承認操作となるため、気軽に体験することができません。
受講生が一斉に承認をしたため、仮想インタフェースの承認処理に通常よりも時間がかかっていましたが、その間に後述の座学が行われるため、無駄な時間はありませんでした。
またこの仮想インタフェースの承認は、キャリア経由で設定する場合はVGWの選択ミスをしないよう注意が必要です。キャリアによってはやり直しの場合は追加の時間や料金が発生する場合もあるらしく、マネジメントコンソールをよく見ながら操作しました。
座学
ハンズオンに関係するAWSサービスに加えて、以下の様な解説が行われました。
- 基本的にはVPCドキュメントにある4つのパターン
- 単一のパブリックサブネットを持つ VPC
- パブリックサブネットとプライベートサブネットを持つVPC
- パブリックおよびプライベートのサブネットを持つVPCとハードウェアVPNアクセス
- プライベートサブネットのみを持つVPCとハードウェアVPNアクセス
- dedicated vpcは$4/hで、EC2の台数に関わらない(/16のVPCなので最大65k台の接続が可能)
- ライセンスなどの面で、インスタンス交換によりIPやMacアドレスが変わって困る場合はENI付け替えで対応する
- ENIが使える数はインスタンスタイプによって変わり、8個使えるものもあれば、使えないものもある
- 1個のENIに最大30個のIPアドレスを設定できる
- NW管理者が理解しやすいのはサブネット、サーバ管理者が理解しやすいのはセキュリティグループ
- 両方が正しく設定しないと通信できず安全なので、それぞれ担当者を分けるのが理想
- NACLは最初はゆるく設定し、後から厳しくしていく運用が良い
Direct Connectの設定(オンプレ側)
踏み台VPCからログインして、ネットワーク機器とオンプレ側サーバの設定を行います。
オンプレ環境のルーターには、Juniper xSRXとCisco CSRの2種類が用意されています。
業務で使う方のみを設定しても、時間があれば両方設定しても良いです。
構成図でVGWが2つ設定されており、xSRXとCSRでそれぞれ利用します。
おおまかな流れは以下のようになります。
- 踏み台VPCのEC2にSSH
- 踏み台VPCのEC2からオンプレ側の踏み台(vyos)にSSH
- オンプレ側の踏み台からルータにSSH
- インタフェースの設定
- WANインタフェースの設定と有効化
- VLAN-IDを設定
- WANインタフェースのIPを設定
- 設定を反映し、対向(AWSのVGW)インタフェースにpingが疎通できるか確認
- BGPピアの設定
- 自身のAS番号とインタフェースの設定
- eBGPの設定
- 対向ルータ(AWS)のAS番号とIPの設定
- eBGPの送信フィルタとパスワードの設定
- 設定を反映し、BGPピアの状態と受送信ルートの確認
ここまで設定して疎通がうまくいくと、Direct ConnectのマネジメントコンソールでVirtual Interfaceのstatusがdownからavailableに変わります。
実は私は今までネットワーク機器の設定をやったことが全く無かったのですが、テキストに手順が全て記されていたので、無事に設定することができました。
動作確認
オンプレのServer B(Ubuntu)とAWSのServer B(Amazon Linux)間でpingによる疎通確認を行います。
ネットワークをしっかりと触るのは初めてだったので、疎通できた時は非常に嬉しかったです。
クロージング
ハンズオンでは時間の都合上行われなかった課題についての簡単な説明が行われました。
vSRX-VGWを正常系、CSR-VGWを異常系として設定し、意図的にBGPピアダウンを起こし、異常系への切り替えが行われることを確認するというものです。
しかしながらActive-StandbyよりもActive-Activeの方が投資が無駄にならず良いという意見もあり、ネットワーク設計の難しさを垣間見ました。
MEDを使った設定は、(おそらく動くが)AWSとしてはサポートしていないそうです。
ハンズオンの感想
PSA取得を目指して勉強するにあたり、VPCとDirect Connectが伸び悩んでいたのですが、このハンズオンを通して一気に理解が深まりました。
また、ネットワークの面白さに少しだけ触れることができたと思います。
いずれはDirect Connectを扱う業務も担当できるように、ネットワークも勉強していきます。
まとめ
Direct Connectのハンズオントレーニング参加をレポートしました。
AWS独自の内容はもちろん、ネットワーク一般の知識も得られ、非常に良い体験ができたと思います。
みなさんもぜひ参加してみてください!