マルチリージョン展開が簡単に: Linode VLAN による迅速なマルチリージョン展開

マルチリージョン展開が簡単に: Linode VLAN による迅速なマルチリージョン展開

VLAN と VPC は、パブリック クラウドに展開されたインフラストラクチャを保護するために使用できるネットワーク分離方法です。これらのアプローチは、ネットワークの攻撃対象領域を減らすと同時に、インターネットにアクセスする必要のあるアプリケーション層とそうでないアプリケーション層をセグメント化できるようにすることで、全体的なセキュリティの向上に役立ちます。それでは、より大きなトピックについて考えてみましょう。Linode の助けを借りて、プライベート ネットワークの地域間展開を実現することは可能でしょうか?

ここで言及されている「リージョン」は、クラウド サービス プロバイダー内のさまざまな地理的な場所を指しますが、「ゾーン」は通常、リージョン内で提供される複数のホスティング場所を指します。たとえば、クラウド サービス プロバイダーが北京に「北部地域」、広州に「南部地域」を設立し、それぞれが複数のローカル「ゾーン」を通じてサービスを提供している場合があります。

ほとんどのユーザーに近い地理的な場所を通じて低レイテンシのサービスを提供するだけでなく、複数のリージョンに展開されたアプリケーションは、アプリケーションの信頼性とフォールト トレランスを大幅に向上させるのにも役立ちます。ハードウェア障害やローカル ネットワークの停止など、ある場所で実行されているワークロードに影響を与える可能性のある問題は、ユーザーを別の場所に再ルーティングすることで軽減できます。

Akamai クラウドコンピューティングの詳細を読む

海外のクラウドサービスならAkamai Linodeをお選びください!

マルチリージョンVLANを導入する

複数のリージョンに展開された異なる VLAN セグメント間をルーティングするには、仮想プライベート ネットワーク (VPN) を使用して VLAN セグメントをバンドルすることができます。

まず、パブリック ルーターとして機能する Linode を使用して、リージョン内に展開されているすべての関連 VLAN を結び付ける必要があります。この時点で、各 VLAN セグメントは独立した分離されたレイヤー 2 ドメインであり、独自のレイヤー 3 サブネットで実行されます。 VLAN セグメント間のすべてのトラフィックはルーターを経由して流れます。ルーターのファイアウォール ルールを使用して、異なるセグメント間で通過できるトラフィックを管理できます。

このルーター インスタンスは、パブリック インターネットと VPN ソフトウェア (WireGuard や IPSec などのプロトコル) を使用して他のネットワーク セグメント間のトラフィックをブリッジするように構成できます。

上記の例は、2 つのリージョンでのデプロイメントを示しています。各リージョンは、ルーター インスタンスを介して 2 つの個別の VLAN 間の接続を管理する役割を担い、各ルーターは、複数のインターフェイスで構成された Linode ルーター インスタンスを使用して、複数のリージョンをローカルにブリッジできます。ルータは、各地域のパブリック インターネットを使用して、WireGuard トンネル経由で各地域にまたがることができます。

NAT 出口ポイントの設定

この時点で、トラフィックは地理的な制限なしに任意の VLAN 間で流れることができます。さらに、ルータ インスタンスが展開されたときにローカル インターネット接続が提供されていない場合、ルータ インスタンスはネットワーク アドレス変換 (NAT) 出口ポイントとして機能し、ローカル VLAN にインターネット接続を提供することができます。この構成では、ローカル ルーター インスタンスがデフォルト ゲートウェイとして指定されます (たとえば、これは通常、10.0.0.0/24 ネットワーク上の 10.0.0.1 になります)。ルーター インスタンスを Secure Socket Shell (SSH) の要塞ホストとして使用することもできます。

このタイプの NAT 構成を実装する一般的な方法は、ファイアウォール ルールを使用して WireGuard トラフィックをマークし、そのマークを含まないことが検出されたトラフィックに対して IP マスカレードを実行することです。

たとえば、ルーターは次の iptables ルールを使用するように設定できます。

iptables -t nat -A POSTROUTING -o eth0 -m mark ! --mark 42 -j マスカレード

WireGuard を設定して、その設定でFirewallMark ( 42 など) を使用するようにすることができます。これにより、WireGuard トラフィックは NAT されず、すべての VLAN トラフィックが NAT されるようになります。

次に、ルーティング ノード (通常は udp/51820) 間の WireGuard トラフィックを許可するようにクラウド ファイアウォール ルールを構成できます。

最後に、必要に応じて、ファイアウォール ルールを使用してルーター インスタンスを構成し、ローカル ネットワーク セグメントとグローバル ネットワーク セグメントを通過するトラフィックを制御またはログに記録することもできます。

予防

上記の例の展開を使用すると、世界中の複数の地域間での共有を実現し、ルーター インスタンスの助けを借りて異なる VLAN セグメント間のトラフィックを制御できます。複数の VLAN セグメントから単一の集約ポイントにトラフィックをトンネリングする場合、これがパフォーマンスと帯域幅に及ぼす影響を理解することが重要です。この時点で達成できるパフォーマンスは、ルーターに割り当てられたコンピューティング リソースのアップストリーム帯域幅に主に依存します。

また、展開の特定の要件を満たすように、使用する VPN プロトコルを決定する際にも注意が必要です。選択されたテクノロジーは、パブリック インターネット経由で送信されるトラフィックのポイントツーポイント帯域幅とセキュリティに大きな影響を与えます。たとえば、WireGuard は暗号化を使用してトラフィックが傍受されないようにします。 strongSwan などの IPSec 実装と比較すると、脆弱性と露出をより適切に削減でき、信頼性が高くなります。

マルチクラウド展開

複数の地域にまたがるために使用される同じテクノロジーは、複数のクラウド プラットフォームにまたがるためにも使用できます。たとえば、別のクラウド プラットフォームのネットワーク境界内にルーター インスタンスをデプロイし、それをインスタンスのローカルでクラウド プロバイダーによって提供される VPC にバインドすることができます。ルーター間の WireGuard トンネルを使用して、異なるクラウド プロバイダーのネットワークをブリッジすることができます。これは、プライベート ネットワーク内で特別に分離されたサービスに適しています。

要約する

結局のところ、独自のプライベート ネットワークを設計する際には利用できるツールが非常に多く、そのメリットは複雑さを上回ることが多いのです。アプリケーションとユーザー数の両方が急速に増加している場合、適切に設計された環境は、大多数のユーザーが経験する可能性のある遅延を削減し、ユーザー エクスペリエンスを大幅に向上させるのに役立ちます。さらに、追加のフォールト トレランスは、サービスの信頼性を向上させ、サービスの可用性とアクセス性を向上させるのに役立ちます。

この記事の内容は大丈夫でしょうか?今すぐ Linode プラットフォームで試してみませんか?今すぐ登録すると、100 ドル相当の無料クレジットを獲得できることをお忘れなく。早速、この記事で紹介した機能やサービスを実際に体験してみましょう↓↓↓

海外のクラウドサービスならAkamai Linodeをお選びください!

高可用性 MySQL/MariaDB リファレンス アーキテクチャと豊富なアプリケーション例について学ぶには、 Akamaiをフォローしてください


<<:  K8S 入門から実践まで - K8S へのアプリケーションのデプロイ

>>:  DockerとK8Sの関係を一文でまとめる

推薦する

検索エンジンがサイトに素早くアクセスできるようにする方法

新しいサイトを持っている友人はたくさんいますが、その中には含まれているものはほとんどありません。サイ...

収益を生み出すアイデアを育み、優れたビジネスモデルを創造する

誰もが美を愛するのなら、富を愛するのは才能のある人だけではないはずです。動物にも食料を蓄えたり、物を...

Baidu Statisticsは役に立つのか?Baidu Statisticsのメリットとデメリットの紹介

これはBaidu統計に関する記事です。ウェブサイト運用関連の分野で働く人であれば、誰でもウェブサイト...

Windows 10 エクスペリエンス

今日、試用のために 2 台のコンピューターを Windows 10 にアップグレードしました。1 台...

#黒5# 安価な「バーチャルホスト」情報のまとめ。信頼性が高く、手間をかけずに小規模なウェブサイトを構築できます。

2018 年のブラック フライデーには期待できるものがあまりないと誰もが言いますが、「ウェブ ホステ...

tmthosting: as4837 のシアトル VPS、月払いで 20% オフ、年払いで 30% オフ、40G 防御無料

tmthosting は、Hostcat で初めて紹介されました。現在、tmthosting は春の...

Amazon AWSは最近、4TBのメモリを搭載した仮想マシンをリリースした。

Amazon は、x1e.32xlarge と呼ばれる最新の EC2 インスタンスをリリースしました...

arkecx エンタープライズ クラウド: 国慶節期間中 25% 割引、1Gbps CN2 GIA 専用回線、1Gbps 帯域幅、ロサンゼルス、東京、香港

zenlayer傘下のエンタープライズレベルのクラウドサーバーブランドであるarkecxは、国慶節に...

テンセントの唐道勝氏:デジタルとリアルの融合は業界にとって「答えなければならない問題」となり、テンセントは将来4つの主要エンジンを構築する

11月3日、テンセントのクラウドおよびスマート産業グループの上級執行副社長兼CEOである唐道勝氏は、...

クラウドアプリケーションの監視には多角的なアプローチが必要

企業がクラウド アプリケーションを監視する場合、パフォーマンス、コスト、セキュリティに関するメトリッ...

Veeble は、Windows 2003 に無制限のトラフィックを提供する VPS サービス プロバイダーです。

Server 2003 システムをサポートする海外の VPS を見つけるのは簡単ではありません。結局...

アリババクラウド、大学に1億元の無料コンピューティングパワーを提供すると発表:キャンパスでのクラウドコンピューティングの普及を加速

最近、2020年中国コンピュータ教育会議において、アリババクラウドはキャンパスでのクラウドコンピュー...

Bilibiliでの商品のライブストリーミングは誤報ですか?

「愛のために発電する」か「トラフィックを収益化する」か、 B局はライブストリーミング販売の選択に迷う...

dmit: 200Mbps の高帯域幅、高トラフィック、香港 VPS、直接接続、月額 14.9 ドルから

香港の VPS をご紹介します: dmit、大きな帯域幅、3 つのネットワークへの直接接続、デフォル...

BigQuery と Snowflake の究極ガイド

翻訳者 |李睿校正 |梁策と孫淑娟クラウド データ ウェアハウスは、あらゆる最新データ スタックの中...