Auto VPN?いいえ、AWS上で動作するMeraki vMXです。
Merakiファンの皆さま、こんにちは。
炭水化物ちょい残しダイエットを実施中の木村です。
現在、体重が65kgあり一向に減る気配がありません。 ちょい残しダイエットは今日で2日目ですが、すでに限界を迎えています。
今晩は家系ラーメンを食べても良い日にして、明日から本気出したいと思います。
さて、今回は5月にリリースされましたMeraki MXシリーズのAWS版、「vMX100」についてご紹介します。
目次[非表示]
AWSのビッグウェーブにぜひ乗っかりましょう
近年、飛ぶ鳥を落とす勢いでパブリッククラウドのシェアを広げているAWSですが、クラウドの国内シェアは AWS(34.1%)とAzure(20.2%)で過半を占めているそうです。その後を、日本IBMとNTTコム、IIJが追うかたちとなっています。(MM総研調べ、2015年4月~2016年3月)
今までパブリッククラウドは、WebサイトやEC(電子商取引)サイトといった社外向けのシステムで利用することが主流でした。しかし近年は、可用性やセキュリティなどを見極めたうえで、社内システム、基幹系システムへの適用が広がりつつあるようです。
総務省が2015年末にまとめた「通信利用動向調査」では、クラウドサービスを利用している1番の理由は「資産、保守体制を社内に持つ必要がないから」(42.3%)で約半分を占めます。この辺はMeraki クラウドにも通じるものがありますね。因みに「既存システムよりもコストが安いから」を理由に挙げた割合は22.7%で全体の7位にとどまり、実際にコスト削減にはそれほど繋がっていないのが現状の様です。
AWSと自前のVPNで接続するには?
AWS内のネットワーク(VPC)と自社サイト間を接続するためには2つの方法があります。1つはAWSが提供する専用線接続サービス「AWS Direct Connect」を利用する方法、もう1つは「インターネットVPN」を利用する方法があります。 Meraki vMX は後者の「インターネットVPN」を経由させてAWSと接続するために利用されます。わざわざMeraki vMXを使わなくても、AWS上で仮想ルータを立ち上げ、それに対してインターネットVPNを張ることは可能です。
しかし、Meraki vMX を使うことで「Auto VPN」を利用することが出来るようになります。「Auto VPN 」とは、ワンクリックでインターネットVPN接続を簡単に構築することが出来る技術です。(詳しくは「IPsec VPN?いいえ、Auto VPNです。」参照下さいませ。)
接続イメージとしては、以下図のとおりAWSの仮想サーバ(EC2)上にvMXをデプロイして、各サイトのMX(オンプレ)間でインターネットVPN接続を張ります。この際、vMXはワンアーム構成になります。従いまして、DHCPサーバーにはなれませんのでご注意下さい。
Meraki vMX100を使うメリット
Meraki vMX を使うことのメリットといえば「Auto VPN機能を利用できる」ことに尽きるのですが、簡単にまとめますと以下の特長があります。
・ワンクリックで簡単にVPNを構築できる。
・固定グローバルIPアドレスが不要。
・クラウドから一括管理が可能。
・やる気になれば10分でサイト間VPN接続が張れる。
また、vMXのグローバルIPアドレスが変更されても、何も手を施すことなく継続してVPNが張れるという大変地味な特長を持っています。
AWSの仮想サーバーは電源OFF/ONする度にグローバルIPアドレスが変更されてしまいます。ターゲットのグローバルIPアドレスが変わってしまえば、もちろん全サイトのVPNルータで設定変更が必要になるところです。
しかし、「Auto VPN」のおかげで何もせずにVPN接続が継続して張れてしまうのです。
※グローバルIPアドレスを固定化したい場合には、有償のオプションで「Elastic IPアドレス(EIP)」という固定グローバルIPアドレスをEC2インスタンスにアタッチする方法があります。
過去にインターネットVPNの導入で泣かされたエンジニアは沢山いると思います。特にインターネットVPNのコンフィグは気分が悪くなるほど複雑です。「Auto VPN」はそんなデメリットを一切払い除けてくれる大変有り難い機能なのです。
Meraki vMX100の利用ケース
自社サイトとAWSとの接続については、基本的に専用線接続サービス「AWS Direct Connect」を利用する方法が主となります。Meraki vMX の利用ケースとしては、サテライトオフィス、海外支店、テレワークサイト、テンポラリサイトなど、比較的小規模なサイトがターゲットになります。
vMXを利用することで、仮想化したネットワーク機能を必要な時に必要なだけ、必要な場所で利用することが可能となります。
vMX100の導入時で気を付ける点
今回vMX100を検証するために、初めてAWS環境を(自腹で)作ってみたのですが、つまずいた点が何点かありましたので、以下にまとめておきます。
・VPC上での経路情報
インターネットゲートウェイを経由してvMXがインターネットに出られる必要があります。また、インターネットゲートウェイに各サイト向けのスタティックルートを設定する必要があります。
・セキュリティグループ
AWSにはインスタンスのトラフィックを制御するファイアウォールとして、セキュリティグループがあります。予めvMXで利用するポートを解放してやる必要があります。
・パブリックIPアドレス
vMXインスタンスにパブリックIPが付与されている必要があります。パブリック IP アドレスは、インターネットから到達可能な IPv4 アドレスです。インスタンスとインターネット間で通信するには、パブリック アドレスが必要になります。
・サイトからのインターネット接続
vMXは、ワンアームのVPNコンセントレータとして動作します。 NATモードとしては動作しません。また、スプリットトンネルのみサポートします。フルトンネルはサポートしていません。UTM機能はサポートされておらず、ユーザーサイト側のMX上で適用されます。
・AWSのEC2は放っておくと課金されるので電源をこまめにOFFにしなければならない。
今後さらに需要が高まるAWSのパブリッククラウド環境ですが、Meraki vMX を導入することで、仮想化したネットワーク機能を必要な時に必要なだけ、必要な場所で、簡単に利用することが可能となります。まるで家系ラーメンの様ですね(適当)。
パブリッククラウドの利用をご検討の際は、是非Meraki vMXも併せてご検討頂ければ幸いです。