第4章 AWS VPN の設定

このサンプルプロセスでは、Amazon Web Services (AWS) OpenShift Dedicated クラスターを、お客様のオンサイトのハードウェア VPN デバイスを使用するように設定します。

注記

AWS VPN は現在、NAT を VPN トラフィックに適用するための管理オプションを提供していません。詳細は、AWS ナレッジセンターを参照してください。

注記

プライベート接続を経由したすべてのトラフィックのルーティング (0.0.0.0/0など) はサポートされていません。この場合、SRE 管理トラフィックを無効にするインターネットゲートウェイを削除する必要があります。

ハードウェア VPN デバイスを使用して AWS VPC をリモートネットワークに接続する方法については、Amazon VPC の「VPN 接続」ドキュメントを参照してください。

4.1. VPN 接続の作成

以下の手順に従って、Amazon Web Services (AWS) OpenShift Dedicated クラスターを、お客様のオンサイトのハードウェア VPN デバイスを使用できるように設定できます。

前提条件

  • ハードウェア VPN ゲートウェイデバイスモデルおよびソフトウェアバージョン (例: Cisco ASA バージョン 8.3 を実行)。Amazon VPC のネットワーク管理者ガイドを参照して、お使いのゲートウェイデバイスが AWS でサポートされているかどうかを確認します。
  • VPN ゲートウェイデバイスのパブリック静的 IP アドレス。
  • BGP または静的ルーティング: BGP の場合は、ASN が必要です。静的ルーティングの場合は、1 つ以上の静的ルートを設定する必要があります。
  • オプション: VPN 接続をテストするための到達可能なサービスの IP およびポート/プロトコル。

4.1.1. VPN 接続の設定

手順

  1. OSD AWS Account Dashboard にログインし、VPC Dashboard に移動します。
  2. Your VPCs をクリックし、 OpenShift Dedicated クラスターが含まれる VPC の名前および VPC ID を特定します。
  3. VPC Dashboard から Customer Gateway をクリックします。
  4. Create Customer Gateway をクリックし、これに分かりやすい名前を付けます。
  5. ルーティング方法 (Dynamic または Static) を選択します。
  6. Dynamic の場合は、表示されるフィールドに BGP ASN を入力します。
  7. VPN ゲートウェイエンドポイント IP アドレスに貼り付けます。
  8. Create をクリックします。
  9. 仮想プライベートゲートウェイが意図されている VPC に割り当てられていない場合は、以下を実行します。

    1. VPC Dashboard で Virtual Private Gateway をクリックします。
    2. Create Virtual Private Gatewayをクリックし、これに分かりやすい名前を付け、Create をクリックします。
    3. デフォルトの Amazon デフォルト ASN のままにします。
    4. 新たに作成したゲートウェイを選択し、Attach to VPC をクリックし、これを以前に指定したクラスター VPC に割り当てます。

4.1.2. VPN 接続の確立

手順

  1. VPC ダッシュボードから、Site-to-Site VPN Connections をクリックします。
  2. Create VPN Connection をクリックします。

    1. これに分かりやすい名前タグを指定します。
    2. 以前に作成した仮想プライベートゲートウェイを選択します。
    3. Customer Gateway で、Existingを選択します。
    4. 名前でカスタマーゲートウェイデバイスを選択します。
    5. VPN が BGP を使用する場合は Dynamic を選択し、それ以外の場合は Static を選択します。静的 IP CIDR を入力します。複数の CIDR がある場合は、各 CIDR を Another Rule として追加します。
    6. Create をクリックします。
    7. VPN のステータスが Available に変更するまで待機します (約 5 分から 10 分)。
  3. 作成したばかりの VPN を選択し、Download Configuration をクリックします。

    1. ドロップダウンリストから、カスタマーゲートウェイデバイスのベンダー、プラットフォーム、およびバージョンを選択し、Download をクリックします。
    2. Generic ベンダー設定は、プレーンテキスト形式で情報を取得する場合にも利用できます。
注記

VPN 接続が確立されたら、Route Propagation をセットアップしてください。セットアップしない場合、VPN が予想通りに機能しない可能性があります。

注記

VPC サブネット情報をメモします。これは、リモートネットワークとして設定に追加する必要があります。

4.1.3. VPN ルート伝播の有効化

VPN 接続を設定したら、必要なルートが VPC のルートテーブルに追加されるように、ルートの伝播が有効にされていることを確認する必要があります。

手順

  1. VPC Dashboard で、Route Tables をクリックします。
  2. OpenShift Dedicated クラスターが含まれる VPC に関連付けられたプライベートルートテーブルを選択します。

    注記

    クラスターによっては、特定の VPC に複数のルートテーブルがある場合があります。明示的に関連付けられたサブネットが多数あるプライベートのルートテーブルを選択します。

  3. Route Propagation タブをクリックします。
  4. 表示されるテーブルに、以前に作成した仮想プライベートゲートウェイが表示されます。Propagate column の値を確認します。

    1. Propagate が Noに設定されている場合には、Edit route propagation をクリックして、仮想プライベートゲートウェイの名前の横にある Propagate チェックボックスにチェックを入れ、Save をクリックします。

VPN トンネルを設定し、AWS がこれを Up として検出すると、静的ルートまたは BGP ルートは自動的にルートテーブルに追加されます。