マルチリージョン展開が簡単に: Linode VLAN による迅速なマルチリージョン展開

マルチリージョン展開が簡単に: Linode VLAN による迅速なマルチリージョン展開

VLAN と VPC は、パブリック クラウドに展開されたインフラストラクチャを保護するために使用できるネットワーク分離方法です。これらのアプローチは、ネットワークの攻撃対象領域を減らすと同時に、インターネットにアクセスする必要のあるアプリケーション層とそうでないアプリケーション層をセグメント化できるようにすることで、全体的なセキュリティの向上に役立ちます。それでは、より大きなトピックについて考えてみましょう。Linode の助けを借りて、プライベート ネットワークの地域間展開を実現することは可能でしょうか?

ここで言及されている「リージョン」は、クラウド サービス プロバイダー内のさまざまな地理的な場所を指しますが、「ゾーン」は通常、リージョン内で提供される複数のホスティング場所を指します。たとえば、クラウド サービス プロバイダーが北京に「北部地域」、広州に「南部地域」を設立し、それぞれが複数のローカル「ゾーン」を通じてサービスを提供している場合があります。

ほとんどのユーザーに近い地理的な場所を通じて低レイテンシのサービスを提供するだけでなく、複数のリージョンに展開されたアプリケーションは、アプリケーションの信頼性とフォールト トレランスを大幅に向上させるのにも役立ちます。ハードウェア障害やローカル ネットワークの停止など、ある場所で実行されているワークロードに影響を与える可能性のある問題は、ユーザーを別の場所に再ルーティングすることで軽減できます。

Akamai クラウドコンピューティングの詳細を読む

海外のクラウドサービスならAkamai Linodeをお選びください!

マルチリージョンVLANを導入する

複数のリージョンに展開された異なる VLAN セグメント間をルーティングするには、仮想プライベート ネットワーク (VPN) を使用して VLAN セグメントをバンドルすることができます。

まず、パブリック ルーターとして機能する Linode を使用して、リージョン内に展開されているすべての関連 VLAN を結び付ける必要があります。この時点で、各 VLAN セグメントは独立した分離されたレイヤー 2 ドメインであり、独自のレイヤー 3 サブネットで実行されます。 VLAN セグメント間のすべてのトラフィックはルーターを経由して流れます。ルーターのファイアウォール ルールを使用して、異なるセグメント間で通過できるトラフィックを管理できます。

このルーター インスタンスは、パブリック インターネットと VPN ソフトウェア (WireGuard や IPSec などのプロトコル) を使用して他のネットワーク セグメント間のトラフィックをブリッジするように構成できます。

上記の例は、2 つのリージョンでのデプロイメントを示しています。各リージョンは、ルーター インスタンスを介して 2 つの個別の VLAN 間の接続を管理する役割を担い、各ルーターは、複数のインターフェイスで構成された Linode ルーター インスタンスを使用して、複数のリージョンをローカルにブリッジできます。ルータは、各地域のパブリック インターネットを使用して、WireGuard トンネル経由で各地域にまたがることができます。

NAT 出口ポイントの設定

この時点で、トラフィックは地理的な制限なしに任意の VLAN 間で流れることができます。さらに、ルータ インスタンスが展開されたときにローカル インターネット接続が提供されていない場合、ルータ インスタンスはネットワーク アドレス変換 (NAT) 出口ポイントとして機能し、ローカル VLAN にインターネット接続を提供することができます。この構成では、ローカル ルーター インスタンスがデフォルト ゲートウェイとして指定されます (たとえば、これは通常、10.0.0.0/24 ネットワーク上の 10.0.0.1 になります)。ルーター インスタンスを Secure Socket Shell (SSH) の要塞ホストとして使用することもできます。

このタイプの NAT 構成を実装する一般的な方法は、ファイアウォール ルールを使用して WireGuard トラフィックをマークし、そのマークを含まないことが検出されたトラフィックに対して IP マスカレードを実行することです。

たとえば、ルーターは次の iptables ルールを使用するように設定できます。

iptables -t nat -A POSTROUTING -o eth0 -m mark ! --mark 42 -j マスカレード

WireGuard を設定して、その設定でFirewallMark ( 42 など) を使用するようにすることができます。これにより、WireGuard トラフィックは NAT されず、すべての VLAN トラフィックが NAT されるようになります。

次に、ルーティング ノード (通常は udp/51820) 間の WireGuard トラフィックを許可するようにクラウド ファイアウォール ルールを構成できます。

最後に、必要に応じて、ファイアウォール ルールを使用してルーター インスタンスを構成し、ローカル ネットワーク セグメントとグローバル ネットワーク セグメントを通過するトラフィックを制御またはログに記録することもできます。

予防

上記の例の展開を使用すると、世界中の複数の地域間での共有を実現し、ルーター インスタンスの助けを借りて異なる VLAN セグメント間のトラフィックを制御できます。複数の VLAN セグメントから単一の集約ポイントにトラフィックをトンネリングする場合、これがパフォーマンスと帯域幅に及ぼす影響を理解することが重要です。この時点で達成できるパフォーマンスは、ルーターに割り当てられたコンピューティング リソースのアップストリーム帯域幅に主に依存します。

また、展開の特定の要件を満たすように、使用する VPN プロトコルを決定する際にも注意が必要です。選択されたテクノロジーは、パブリック インターネット経由で送信されるトラフィックのポイントツーポイント帯域幅とセキュリティに大きな影響を与えます。たとえば、WireGuard は暗号化を使用してトラフィックが傍受されないようにします。 strongSwan などの IPSec 実装と比較すると、脆弱性と露出をより適切に削減でき、信頼性が高くなります。

マルチクラウド展開

複数の地域にまたがるために使用される同じテクノロジーは、複数のクラウド プラットフォームにまたがるためにも使用できます。たとえば、別のクラウド プラットフォームのネットワーク境界内にルーター インスタンスをデプロイし、それをインスタンスのローカルでクラウド プロバイダーによって提供される VPC にバインドすることができます。ルーター間の WireGuard トンネルを使用して、異なるクラウド プロバイダーのネットワークをブリッジすることができます。これは、プライベート ネットワーク内で特別に分離されたサービスに適しています。

要約する

結局のところ、独自のプライベート ネットワークを設計する際には利用できるツールが非常に多く、そのメリットは複雑さを上回ることが多いのです。アプリケーションとユーザー数の両方が急速に増加している場合、適切に設計された環境は、大多数のユーザーが経験する可能性のある遅延を削減し、ユーザー エクスペリエンスを大幅に向上させるのに役立ちます。さらに、追加のフォールト トレランスは、サービスの信頼性を向上させ、サービスの可用性とアクセス性を向上させるのに役立ちます。

この記事の内容は大丈夫でしょうか?今すぐ Linode プラットフォームで試してみませんか?今すぐ登録すると、100 ドル相当の無料クレジットを獲得できることをお忘れなく。早速、この記事で紹介した機能やサービスを実際に体験してみましょう↓↓↓

海外のクラウドサービスならAkamai Linodeをお選びください!

高可用性 MySQL/MariaDB リファレンス アーキテクチャと豊富なアプリケーション例について学ぶには、 Akamaiをフォローしてください


<<:  K8S 入門から実践まで - K8S へのアプリケーションのデプロイ

>>:  DockerとK8Sの関係を一文でまとめる

推薦する

ソーシャルメディアマーケティング評価のための100の参考指標

ソーシャル メディア マーケティング評価の主なパラメーターには、ネットワーク トラフィック、オンライ...

hivelocity: 高トラフィックの米国 VPS、月額 4 ドル、1G メモリ/1 コア (AMD EPYC Rome)/20GSSD/10T トラフィック/1Gbps 帯域幅、ロサンゼルス/ニューヨーク/タンパ

2002年に米国で設立され、世界40カ所のデータセンターを運営する独立系サーバーレンタルおよび機器ホ...

SEO外部リンク分析

現在のインターネットでは、企業が自社のウェブサイトをうまく運営したい場合、強力な SEO なしではそ...

WeChatミニプログラムを宣伝するには? WeChatミニプログラムを宣伝する方法と手順!

ミニプログラムは1年以上前からオンラインになっており、 WeChatの担当者は期待に応えて、過去1年...

美麗碩と莫口街のブランドワード戦略の分析

みなさんこんにちは。私は徐子宇です。過去1年間、MeilishuoとMogujieがあまりにも多く私...

エッジコンピューティングと5Gが将来の電力網をどう形作るのか

つい最近まで、公益事業会社は顧客のメーターを月に一度、年間12回点検していました。現在、スマート メ...

nodeserv-年間15ドル/512MBメモリ/50GBハードディスク/1TBトラフィック/フロリダ

nodeserv は 2009 年に設立され、比較的運営歴が短いです。openvz に基づく VPS...

SaaS資産の40%がデータ侵害のリスクにさらされている

DoControl が最近発表したレポートによると、今日の企業では管理されていないデータが大量に存在...

Vultr: 新規ユーザーには 100 ドルのトライアル クレジットが付与され、16 個のクラウド サーバー、VDS、専用サーバーから選択できます。

Vultr には新規ユーザー向けの新しい優待情報があります。Vultr 製品を使用したことがないユー...

speedykvm - $31/年/KVM/Win/1g メモリ/50g ハードディスク/5T トラフィック

speedykvm は、「Volatile」と呼ばれる新しいタイプの VPS を開始しました。通常の...

Baidu ニュース: Baidu 検索結果の新たな変更

昨夜、百度がアップデートした後、ウェブサイトの包含とバックリンクが増加し、百度の検索結果にも多くの変...

クラウド ネイティブはどこにでもあります。デジタル変革で道に迷うことを避けるにはどうすればよいでしょうか?

現在、世界170か国以上が国家デジタル戦略を発表しています。あらゆる業界におけるデジタル変革の必要性...

Baidu の検索結果に表示されるグラフィックとテキストのロゴに気づきましたか?

最近、Baidu 検索エンジンは新たな動きを見せました。以下は、Baidu Webmaster Pl...

GoDaddy、ウェブサイトの停止はハッカー攻撃によるものではないと発表

北京時間9月12日早朝、ドメイン名およびウェブサイトホスティングサービスプロバイダーのGo Dadd...