azure de vyatta
DESCRIPTION
JAPAN VYATTA USER MEETING 2013 SPRING. Sample configuration of IPsec connection with Vyatta to Windows Azure Virtual Networks. and Demonstration Windows Azure to SAKURACloud InterConnect using Vyatta.TRANSCRIPT
☁Azure de Vyatta Director CTOJAZUG / Microsoft MVP for Windows AzureKazumi Hirose - [email protected]
このスライドは公開しましたhttp://www.slideshare.net/kazumihirose
今回の Vyatta の検証と設定例は、アライドテレシス株式会社、株式会社 pnop 、日本マイクロソフトの共同検証によって、得られたノウハウをフィードバックしています。
アライドテレシス株式会社• 国内メーカーなので安心の日本語、豊富な設定事例やマニュアル• ネットワーク機器専業 25 年、トラブルにも豊富なノウハウで対応• メーカーによる Windows Azure の検証実施と情報提供• サポートエンジニアの手厚い電話対応• 専用機器である堅牢性、安定性
インフラエンジニア、ネットワークエンジニアの皆様、是非採用ご検討いただけましたら幸いです。
謝辞
About me廣瀬 一海 ( ひろせかずみ )Facebookhttp://www.facebook.com/kazumi.hirose
インフラ、ネットワーク、プログラム、仮想化などOS も言語も問わず雑食エンジニア。個人的には、 Debian が好き。クラウドもどこでも何でも使います。
pnop についてhttp://www.facebook.com/pnop.inc
クラウドソリューションプロバイダー、高負荷環境やプラットフォーム相互運用、大規模事例の技術供与などクラウド技術専門集団、最近の事例ではコミケ WEB カタログなど
Debian GNU/Linuxpnop.inc
Windows Azure
「
デプロイ王子
」
ロケ地 : シアトル・タコマ国際空港
Today’s Agenda• Windows Azure Virtual Network について• 時間があればデモ
Windows Azure VNクラウドの中にプライベートネットワークを構成する
Windows Azure VN の概要・仮想レイヤ 2 ネットワークを任意のリージョン内に構成・任意のサブネットのプライベート IP アドレスをインスタンスに割り当て可能・構成済みの仮想ネットワークに IPsec でサイトto サイトの接続が可能
用例• パブリッククラウドとプライベートクラウドのハイブリッ
ド運用• オンプレミスの Active Directory のレプリカや、インスタ
ンスをドメインに参加させる事で ID とリソースのアクセスコントロール運用や管理が可能
• リモート監視とトラブルシューティング用ネットワークとして
• クラウドサービス (PaaS) や仮想マシン (IaaS) の連携内部ネットワークとして
• クラウド to クラウドの連携用ネットワークとして
Windows Azure VN の作成以下、参考資料で、今日は割愛します。
アライドテレシス株式会社 / Windows Azure 仮想ネットワークの IPsec 接続設定例http://www.allied-telesis.co.jp/solution/cloudvpn/solution.html
Think IT / PaaS も IaaS もオンプレミスもいいとこ取り!!Windows Azure Virtual Networks で合わせワザ一本!!http://thinkit.co.jp/story/2012/10/03/3732
IPsec コンセントレーターの要件 1ルーター間の認証方式 事前共有鍵IKE 交換モード Main モードDiffie-Hellman ( Oakley )グループ
Group2 (1024 MODP)
ISAKMP メッセージの暗号化方式 AES-128
ISAKMP メッセージの認証方式 SHA-1
ISAKMP SA の有効期限(時間) 28800 秒( 8 時間)起動時の ISAKMP ネゴシエーション 行わない( Respond )DPD もしくは IKEキープアライブ 無し
SA モード トンネルモードセキュリティープロトコル ESP (暗号化+認証)暗号化方式 AES-128
認証方式 SHA-1
IPsec SA の有効期限 ( 時間 ) 3600 秒 (1 時間 )PFS 無し
IKE フェーズ 1 ( ISAKMP SA のネゴシエーション)
IKE フェーズ 2 ( IPsec SA のネゴシエーション)
IPsec コンセントレーターの要件 2• NAT トラバーサルが可能である事• グローバル IPv4 アドレスを有している事• 上位のネットワーク、またはファイアウォールで
UDP500/UDP4500/ESP を許可している事• VPNヘッダの付与とカプセル化以前にパケットのフ
ラグメント修正処理が可能である事( MSS値 1350 )
• 事前共有鍵の長さが 32文字以上に対応する事
デモンストレーションさくらのクラウド (石狩 )<-->Windows Azure (East Asia)
試験環境について
デモの様子 ( イメージ )外側の RDP
Windows Azure のインスタンス
内側の RDP
さくらのクラウドのインスタンス
コンフィグについて以下の URL に掲載しました。
Vyatta core 6.5R1 Sample CONFIGhttp://sdrv.ms/ZbPBNP
参考資料NVGRE: Network Virtualization using Generic Routing Encapsulationhttp://tools.ietf.org/html/draft-sridharan-virtualization-nvgre-02
6. クラウドコンピューティングセキュリティVXLAN/ NVGRE によるネットワーク分離http://www.ipa.go.jp/security/fy23/reports/tech1-tg/b_06.html
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~http://www.slideshare.net/harutama/nifty-16012318
Global Windows Azure Boot CAMP
2013/04/27 ( Sat )世界中 60 か所の Windows Azure コミュニティで勉強会をこの日に同時開催します。ご参加お待ちしております。\ (^o^)/
Windows Azure Boot Camp JP ( 日本の方はこちら )http://atnd.org/event/globalazure2013
Ask the Speaker ☁ご清聴ありがとうございました不明な点などがありましたら、是非話しかけてください。