マルチリージョン展開が簡単に: Linode VLAN による迅速なマルチリージョン展開

VLAN と VPC は、パブリッククラウドに展開されたインフラストラクチャを保護するために使用できるネットワーク分離方法です。これらのアプローチは、ネットワークの攻撃対象領域を減らすと同時に、インターネットにアクセスする必要のあるアプリケーション層とそうでないアプリケーション層をセグメント化できるようにすることで、全体的なセキュリティの向上に役立ちます。それでは、より大きなトピックについて考えてみましょう。Linode の助けを借りて、プライベートネットワークの地域間展開を実現することは可能でしょうか?

ここで言及されている「リージョン」は、クラウドサービスプロバイダー内のさまざまな地理的な場所を指しますが、「ゾーン」は通常、リージョン内で提供される複数のホスティング場所を指します。たとえば、クラウドサービスプロバイダーが北京に「北部地域」、広州に「南部地域」を設立し、それぞれが複数のローカル「ゾーン」を通じてサービスを提供している場合があります。

ほとんどのユーザーに近い地理的な場所を通じて低レイテンシのサービスを提供するだけでなく、複数のリージョンに展開されたアプリケーションは、アプリケーションの信頼性とフォールトトレランスを大幅に向上させるのにも役立ちます。ハードウェア障害やローカルネットワークの停止など、ある場所で実行されているワークロードに影響を与える可能性のある問題は、ユーザーを別の場所に再ルーティングすることで軽減できます。

Akamai クラウドコンピューティングの詳細を読む

海外のクラウドサービスならAkamai Linodeをお選びください！

マルチリージョンVLANを導入する

複数のリージョンに展開された異なる VLAN セグメント間をルーティングするには、仮想プライベートネットワーク (VPN) を使用して VLAN セグメントをバンドルすることができます。

まず、パブリックルーターとして機能する Linode を使用して、リージョン内に展開されているすべての関連 VLAN を結び付ける必要があります。この時点で、各 VLAN セグメントは独立した分離されたレイヤー 2 ドメインであり、独自のレイヤー 3 サブネットで実行されます。 VLAN セグメント間のすべてのトラフィックはルーターを経由して流れます。ルーターのファイアウォールルールを使用して、異なるセグメント間で通過できるトラフィックを管理できます。

このルーターインスタンスは、パブリックインターネットと VPN ソフトウェア (WireGuard や IPSec などのプロトコル) を使用して他のネットワークセグメント間のトラフィックをブリッジするように構成できます。

上記の例は、2 つのリージョンでのデプロイメントを示しています。各リージョンは、ルーターインスタンスを介して 2 つの個別の VLAN 間の接続を管理する役割を担い、各ルーターは、複数のインターフェイスで構成された Linode ルーターインスタンスを使用して、複数のリージョンをローカルにブリッジできます。ルータは、各地域のパブリックインターネットを使用して、WireGuard トンネル経由で各地域にまたがることができます。

NAT 出口ポイントの設定

この時点で、トラフィックは地理的な制限なしに任意の VLAN 間で流れることができます。さらに、ルータインスタンスが展開されたときにローカルインターネット接続が提供されていない場合、ルータインスタンスはネットワークアドレス変換 (NAT) 出口ポイントとして機能し、ローカル VLAN にインターネット接続を提供することができます。この構成では、ローカルルーターインスタンスがデフォルトゲートウェイとして指定されます (たとえば、これは通常、10.0.0.0/24 ネットワーク上の 10.0.0.1 になります)。ルーターインスタンスを Secure Socket Shell (SSH) の要塞ホストとして使用することもできます。

このタイプの NAT 構成を実装する一般的な方法は、ファイアウォールルールを使用して WireGuard トラフィックをマークし、そのマークを含まないことが検出されたトラフィックに対して IP マスカレードを実行することです。

たとえば、ルーターは次の iptables ルールを使用するように設定できます。

iptables -t nat -A POSTROUTING -o eth0 -m mark ! --mark 42 -j マスカレード

WireGuard を設定して、その設定でFirewallMark ( 「 42 」など) を使用するようにすることができます。これにより、WireGuard トラフィックは NAT されず、すべての VLAN トラフィックが NAT されるようになります。

次に、ルーティングノード (通常は udp/51820) 間の WireGuard トラフィックを許可するようにクラウドファイアウォールルールを構成できます。

最後に、必要に応じて、ファイアウォールルールを使用してルーターインスタンスを構成し、ローカルネットワークセグメントとグローバルネットワークセグメントを通過するトラフィックを制御またはログに記録することもできます。

予防

上記の例の展開を使用すると、世界中の複数の地域間での共有を実現し、ルーターインスタンスの助けを借りて異なる VLAN セグメント間のトラフィックを制御できます。複数の VLAN セグメントから単一の集約ポイントにトラフィックをトンネリングする場合、これがパフォーマンスと帯域幅に及ぼす影響を理解することが重要です。この時点で達成できるパフォーマンスは、ルーターに割り当てられたコンピューティングリソースのアップストリーム帯域幅に主に依存します。

また、展開の特定の要件を満たすように、使用する VPN プロトコルを決定する際にも注意が必要です。選択されたテクノロジーは、パブリックインターネット経由で送信されるトラフィックのポイントツーポイント帯域幅とセキュリティに大きな影響を与えます。たとえば、WireGuard は暗号化を使用してトラフィックが傍受されないようにします。 strongSwan などの IPSec 実装と比較すると、脆弱性と露出をより適切に削減でき、信頼性が高くなります。

マルチクラウド展開

複数の地域にまたがるために使用される同じテクノロジーは、複数のクラウドプラットフォームにまたがるためにも使用できます。たとえば、別のクラウドプラットフォームのネットワーク境界内にルーターインスタンスをデプロイし、それをインスタンスのローカルでクラウドプロバイダーによって提供される VPC にバインドすることができます。ルーター間の WireGuard トンネルを使用して、異なるクラウドプロバイダーのネットワークをブリッジすることができます。これは、プライベートネットワーク内で特別に分離されたサービスに適しています。

要約する

結局のところ、独自のプライベートネットワークを設計する際には利用できるツールが非常に多く、そのメリットは複雑さを上回ることが多いのです。アプリケーションとユーザー数の両方が急速に増加している場合、適切に設計された環境は、大多数のユーザーが経験する可能性のある遅延を削減し、ユーザーエクスペリエンスを大幅に向上させるのに役立ちます。さらに、追加のフォールトトレランスは、サービスの信頼性を向上させ、サービスの可用性とアクセス性を向上させるのに役立ちます。

この記事の内容は大丈夫でしょうか？今すぐ Linode プラットフォームで試してみませんか?今すぐ登録すると、100 ドル相当の無料クレジットを獲得できることをお忘れなく。早速、この記事で紹介した機能やサービスを実際に体験してみましょう↓↓↓