2023/08/26 [パブクラネットワーク]専用回線接続(Direct Connect・ExpressRoute・Cloud Interconnect)でのIPsec暗号化

主要3クラウドの専用回線接続(Direct Connect・ExpressRoute・Cloud Interconnect)でのIPsec暗号化機能が揃ってました。

  • 専用回線接続を通しながら
  • VPC/VNETにIPsec接続する
 ためのデザインパターンというかワークアラウンドとして定着しているのですが、そうではなくて、VPC/VNETと接続するための「プライベート接続」上にIPsec VPNを通す手法です。

オンプレミスネットワークからクラウドVPC/VNETまでのエンドツーエンドでの暗号化の現実的な手法としてこれから利用機会が広がりそうです。IPsecのアンダーレイヤがインターネットの場合と異なり「アンダーレイヤからもVPNトンネルからも同じプライベートネットワークのアドレスが広報されること」が扱いにくい構成なのには注意ですね。

Amazonリンク
https://amzn.to/3IrfKWV

コメント

コメントを投稿

このブログの人気の投稿

『マルチクラウドネットワークの教科書』 を書きました

イメージ
『マルチクラウドネットワークの教科書』 翔泳社 『マルチクラウドネットワークの教科書』 を書きました。マルチクラウドネットワークの重要性、設計・構築・運用に必要な技術と要件を解説しました。対象はAWS・Azure・Google Cloud。オンプレミス環境にマルチクラウド環境をネットワーク基盤が統合していくときに必要な知識が網羅できていると思います。 本書は「ネットワーク基盤がマルチクラウド導入を先導する」という思いから、そのときのガイドラインが必要だという動機でスタートした書籍です。複数のパブリッククラウドを併用するマルチクラウドが徐々に広がり始めていますが、マルチクラウドに至るまでの流れをマルチクラウドジャーニーと捉えて、その意義とそれを支えるネットワークを構築・運用していくノウハウを詰め込みました。
続きを読む

AWSのVPCにアサインするアドレス(CIDRブロック)について

 AWSのVPCにアサインするアドレス(CIDRブロック)について纏めます。 原則・前提ルール 以前(VPC登場当初)のルール VPC作成時にCIDRブロックを「/16~/28」の範囲で1つだけ割り当てる 変更できない 2017年8月の拡張以降 VPC作成時にCIDRブロックを最低1つ割り当てる。これを「プライマリCIDRブロック」とする 2つ目以降のCIDRブロックを「追加」することが可能→様々な条件があるので、これは後述します プライマリCIDRブロックは変更、削除できない セカンダリCIDRブロックの削除は、使っていなければ可能。変更は削除、追加 VPCに割り当てできるアドレスについて ソースは こちら です アドレスの範囲 プライベートアドレスレンジ( RFC1918で定義される )から割り当てることを「推奨」。強制ではありません。 10.で始まるアドレスすべて=10.0.0.0/8(10/8と書く場合があります) 172.16.~172.31.で始まるアドレスすべて=172.16.0.0/12(172.16/12) 時折勢い余って172.32.を社内でアサインされていることがありますねw 192.168.で始まるアドレスすべて=192.168.0.016(192.168/16) プライベートアドレスレンジ以外、例えばいわゆる「グローバルアドレス」から割り当てることも可能です。組織内では正規に割り当てられた「グローバルアドレス」を使うこともあるでしょうし、非正規の「勝手グローバルアドレス」をやむなく使っている場合もあります。外部との通信に影響が無い限りは問題はありません。 ただし、たとえ自組織に正規に割り当てられたグローバルアドレスであっても、VPCにアサインした場合はそのままインターネットとの通信に使用することはできず、必ずEIP等のAWSからアサインされたアドレスにNATすることになります。VPCにアサインするのはあくまでも、「LAN/プライベートなアドレス空間として使うアドレス」に限ってください。なお、自組織が正規にアサインされたアドレスをAWS内でインターネットに接続するアドレス(EIP等)として使いたい場合は「 BYOIP/アドレス持ち込み 」を行います。 元々RFC等で用途が決まっている「特
続きを読む

【非ドコモユーザの】電波が届かないキャンプ場対策

小田原市いこいの森キャンプ場 。遊べる川もあってとてもいいところだったんですが、auの電波が届かない(キャンプ場です)。市街地からそう離れている訳でもないのに、 人口カバー率99% の罠ですね。12月までにはカバーされるようですが。 次に行く予定の道志村山伏オートキャンプ場もau圏外というのは、 この本 で調べていました。ドコモしか入らないキャンプ場ってけっこうあるんですよね。このあたりがさすがトップシェア。底力が違います。 最初に結論 これ とLINEモバイルSIM(docomo)で解決しました。自宅と同じSSID設定をしておけばシームレスに繋がるし、まったく問題なしです。記事公開時点で4,000円弱。何度か使えばまぁ、投資効果は十分かと。
続きを読む