マルチリージョン展開が簡単に: Linode VLAN による迅速なマルチリージョン展開

VLAN と VPC は、パブリック クラウドに展開されたインフラストラクチャを保護するために使用できるネットワーク分離方法です。これらのアプローチは、ネットワークの攻撃対象領域を減らすと同時に、インターネットにアクセスする必要のあるアプリケーション層とそうでないアプリケーション層をセグメント化できるようにすることで、全体的なセキュリティの向上に役立ちます。それでは、より大きなトピックについて考えてみましょう。Linode の助けを借りて、プライベート ネットワークの地域間展開を実現することは可能でしょうか?

ここで言及されている「リージョン」は、クラウド サービス プロバイダー内のさまざまな地理的な場所を指しますが、「ゾーン」は通常、リージョン内で提供される複数のホスティング場所を指します。たとえば、クラウド サービス プロバイダーが北京に「北部地域」、広州に「南部地域」を設立し、それぞれが複数のローカル「ゾーン」を通じてサービスを提供している場合があります。

ほとんどのユーザーに近い地理的な場所を通じて低レイテンシのサービスを提供するだけでなく、複数のリージョンに展開されたアプリケーションは、アプリケーションの信頼性とフォールト トレランスを大幅に向上させるのにも役立ちます。ハードウェア障害やローカル ネットワークの停止など、ある場所で実行されているワークロードに影響を与える可能性のある問題は、ユーザーを別の場所に再ルーティングすることで軽減できます。

Akamai クラウドコンピューティングの詳細を読む

海外のクラウドサービスならAkamai Linodeをお選びください！

マルチリージョンVLANを導入する

複数のリージョンに展開された異なる VLAN セグメント間をルーティングするには、仮想プライベート ネットワーク (VPN) を使用して VLAN セグメントをバンドルすることができます。

まず、パブリック ルーターとして機能する Linode を使用して、リージョン内に展開されているすべての関連 VLAN を結び付ける必要があります。この時点で、各 VLAN セグメントは独立した分離されたレイヤー 2 ドメインであり、独自のレイヤー 3 サブネットで実行されます。 VLAN セグメント間のすべてのトラフィックはルーターを経由して流れます。ルーターのファイアウォール ルールを使用して、異なるセグメント間で通過できるトラフィックを管理できます。

このルーター インスタンスは、パブリック インターネットと VPN ソフトウェア (WireGuard や IPSec などのプロトコル) を使用して他のネットワーク セグメント間のトラフィックをブリッジするように構成できます。

上記の例は、2 つのリージョンでのデプロイメントを示しています。各リージョンは、ルーター インスタンスを介して 2 つの個別の VLAN 間の接続を管理する役割を担い、各ルーターは、複数のインターフェイスで構成された Linode ルーター インスタンスを使用して、複数のリージョンをローカルにブリッジできます。ルータは、各地域のパブリック インターネットを使用して、WireGuard トンネル経由で各地域にまたがることができます。

NAT 出口ポイントの設定

この時点で、トラフィックは地理的な制限なしに任意の VLAN 間で流れることができます。さらに、ルータ インスタンスが展開されたときにローカル インターネット接続が提供されていない場合、ルータ インスタンスはネットワーク アドレス変換 (NAT) 出口ポイントとして機能し、ローカル VLAN にインターネット接続を提供することができます。この構成では、ローカル ルーター インスタンスがデフォルト ゲートウェイとして指定されます (たとえば、これは通常、10.0.0.0/24 ネットワーク上の 10.0.0.1 になります)。ルーター インスタンスを Secure Socket Shell (SSH) の要塞ホストとして使用することもできます。

このタイプの NAT 構成を実装する一般的な方法は、ファイアウォール ルールを使用して WireGuard トラフィックをマークし、そのマークを含まないことが検出されたトラフィックに対して IP マスカレードを実行することです。

たとえば、ルーターは次の iptables ルールを使用するように設定できます。

iptables -t nat -A POSTROUTING -o eth0 -m mark ! --mark 42 -j マスカレード

WireGuard を設定して、その設定でFirewallMark ( 「 42 」など) を使用するようにすることができます。これにより、WireGuard トラフィックは NAT されず、すべての VLAN トラフィックが NAT されるようになります。

次に、ルーティング ノード (通常は udp/51820) 間の WireGuard トラフィックを許可するようにクラウド ファイアウォール ルールを構成できます。

最後に、必要に応じて、ファイアウォール ルールを使用してルーター インスタンスを構成し、ローカル ネットワーク セグメントとグローバル ネットワーク セグメントを通過するトラフィックを制御またはログに記録することもできます。

予防

上記の例の展開を使用すると、世界中の複数の地域間での共有を実現し、ルーター インスタンスの助けを借りて異なる VLAN セグメント間のトラフィックを制御できます。複数の VLAN セグメントから単一の集約ポイントにトラフィックをトンネリングする場合、これがパフォーマンスと帯域幅に及ぼす影響を理解することが重要です。この時点で達成できるパフォーマンスは、ルーターに割り当てられたコンピューティング リソースのアップストリーム帯域幅に主に依存します。

また、展開の特定の要件を満たすように、使用する VPN プロトコルを決定する際にも注意が必要です。選択されたテクノロジーは、パブリック インターネット経由で送信されるトラフィックのポイントツーポイント帯域幅とセキュリティに大きな影響を与えます。たとえば、WireGuard は暗号化を使用してトラフィックが傍受されないようにします。 strongSwan などの IPSec 実装と比較すると、脆弱性と露出をより適切に削減でき、信頼性が高くなります。

マルチクラウド展開

複数の地域にまたがるために使用される同じテクノロジーは、複数のクラウド プラットフォームにまたがるためにも使用できます。たとえば、別のクラウド プラットフォームのネットワーク境界内にルーター インスタンスをデプロイし、それをインスタンスのローカルでクラウド プロバイダーによって提供される VPC にバインドすることができます。ルーター間の WireGuard トンネルを使用して、異なるクラウド プロバイダーのネットワークをブリッジすることができます。これは、プライベート ネットワーク内で特別に分離されたサービスに適しています。

要約する

結局のところ、独自のプライベート ネットワークを設計する際には利用できるツールが非常に多く、そのメリットは複雑さを上回ることが多いのです。アプリケーションとユーザー数の両方が急速に増加している場合、適切に設計された環境は、大多数のユーザーが経験する可能性のある遅延を削減し、ユーザー エクスペリエンスを大幅に向上させるのに役立ちます。さらに、追加のフォールト トレランスは、サービスの信頼性を向上させ、サービスの可用性とアクセス性を向上させるのに役立ちます。

この記事の内容は大丈夫でしょうか？今すぐ Linode プラットフォームで試してみませんか?今すぐ登録すると、100 ドル相当の無料クレジットを獲得できることをお忘れなく。早速、この記事で紹介した機能やサービスを実際に体験してみましょう↓↓↓

海外のクラウドサービスならAkamai Linodeをお選びください！

高可用性 MySQL/MariaDB リファレンス アーキテクチャと豊富なアプリケーション例について学ぶには、 Akamaiをフォローしてください。