さくらのクラウドでVyOS使ってみた
Download as PPTX, PDF15 likes16,746 views
さくらのクラウドでVyOS使ってみた
さくらのクラウドでVyOS使ってみた
- 1. (C)Copyright 1996-2014 SAKURA Internet Inc. さくらインターネット研究所 大久保 修一 ohkubo@sakura.ad.jp 2014/7/27 VyOS Users Meeting Japan #1
- 2. • 1980年生まれ • さくらインターネット研究所 所属 • 「さくらのクラウド」のなにか担当 – ネットワークとかストレージとか – \自分が欲しい機能を実装する/ • Interop Tokyo 2014 NOCメンバー(2014/6) – IDCFさん、ビットアイルさんとインタークラウド検 証をやったりしました • JANOG34 LAネットワーク担当(2014/7) – 会場ネットワークの一部でVyOS使いました 2
- 4. 4 富士通 PRIMERGY RX200 S7 Memory 96GB 1台で全ての仮想ルータ、無線コントローラ、 仮想サーバ、SSL VPNを稼働(計15VM)
- 5. 5 ネットワークサーバ ストレージ • 共有グローバルセグメント • 専用グローバルセグメント • スタティックルート • ローカルスイッチ • ロードバランサ、VPCルータ • パケットフィルタ• SSD 20GB~500GB • HDD 40GB~4TB • アーカイブ、ISOイメージ領域 • 1コア/1GB~12コア/128GB • 全42種類 • UNIX系OS各種、Windows IaaSの基本的なリソースを提供 これらの組み合わせで Software-Defined Data Centerを実現! 全ての機能をAPIで 自由に操作可能
- 7. 7 お客様サイト VPCルータ インターネット さくらのクラウド サイト間 IPsec VPN PPTP L2TP/IPsec NAT DHCP Virtual Desktop Infrastructure Web/DB Servers 管理用ネットワーク オフィスネットワーク オンプレミス等
- 11. 11
- 14. 14 100ユーザまで接続可
- 15. 15 4拠点まで
- 16. スタンダードプラン プレミアムプラン 上流側ネットワーク 共有セグメント ルータ+スイッチ 回線帯域の追加機能 × ○ (500Mbps, 1Gbpsに変更可) 付属IPv4アドレス 1個 /28付属 (/27~/24に変更可) IPエイリアス機能 × ○ スタティックNAT機能 × ○ VRRP冗長化機能 × ○ 月額料金 2,571円 5,142円 16 ※ アプライアンス本体のみ税込価格(時間割料金にも対応) ※ 詳細はこちらをご覧ください http://cloud-news.sakura.ad.jp/vpc-router/ ほぼVMの値段です
- 18. クラウド コンパネ 設定情報(JSON) APIサーバ 設定配布サーバ 設定スクリプト 仮想マシンとして クラウド上に起動HTTP,SSH 設定情報(JSON) VPCルータ お客様VPC環境 18
- 19. • 当初、Vyatta Core6.6R1をベースに • 日下部さんの資料を参考に、 • 構成定義のJSONからVyattaのConfigを生成し て自動反映するスクリプトを実験的に作り始め る 19 JSON コントローラ Shell Script
- 20. 20
- 21. • VyOSに移行するしか • VyOS1.0.2で試してみた • Vyattaと同じ設定で動作確認がとれた • 設定スクリプトもそのまま動作した • デフォルトユーザ名の違いくらい? – vyatta → vyos 21
- 23. 23 WRAPPER=/opt/vyatta/sbin/vyatta-cfg-cmd-wrapper $WRAPPER begin $WRAPPER delete nat $WRAPPER set nat source rule 3000 outbound-interface eth0 $WRAPPER set nat source rule 3000 source address !x.x.x.x $WRAPPER set nat source rule 3000 translation address x.x.x.x $WRAPPER set nat destination rule 1000 inbound-interface eth0 $WRAPPER set nat destination rule 1000 destination address x.x.x.x $WRAPPER set nat destination rule 1000 translation address x.x.x.x $WRAPPER set nat source rule 1000 outbound-interface eth0 $WRAPPER set nat source rule 1000 source address x.x.x.x $WRAPPER set nat source rule 1000 translation address x.x.x.x ・・・ $WRAPPER commit $WRAPPER end vyatta-cfg-cmd-wrapperを使って設定投入
- 25. 25 edit interfaces ethernet eth0 set vrrp vrrp-group 1 advertise-interval 5 set vrrp vrrp-group 1 preempt true set vrrp vrrp-group 1 priority 255 set vrrp vrrp-group 1 sync-group VRRP-SYNC set vrrp vrrp-group 1 virtual-address x.x.x.x set vrrp vrrp-group 1 run-transition-scripts backup '/config/scripts/vrrp-state-change.sh' set vrrp vrrp-group 1 run-transition-scripts fault '/config/scripts/vrrp-state-change.sh' set vrrp vrrp-group 1 run-transition-scripts master '/config/scripts/vrrp-state-change.sh' #!/bin/sh ・・・ /opt/vyatta/bin/vyatta-op-cmd-wrapper restart vpn /etc/init.d/xl2tpd stop /etc/init.d/xl2tpd start /etc/init.d/pptpd stop /etc/init.d/pptpd start ・・・ VPN系を一通りrestartする
- 26. • インターフェイスの設定をまとめて投入すると、VRRP仮想IPが 正しく設定されないケースがあった。(keepalived.confにも書か れない) 26 $WRAPPER begin $WRAPPER delete interfaces ethernet eth0 $WRAPPER set interfaces ethernet eth0 address x.x.x.x/28 $WRAPPER set interfaces ethernet eth0 ・・・ $WRAPPER commit $WRAPPER end $WRAPPER begin $WRAPPER delete interfaces ethernet eth1 $WRAPPER set interfaces ethernet eth1 address x.x.x.x/24 $WRAPPER set interfaces ethernet eth1 ・・・ $WRAPPER commit $WRAPPER end インターフェイス毎に 1回1回commitする 感じで回避
- 27. • 当初、vtiを使う前提で進めていた。 – vtiなら、リモート側のPrefixをStatic Routeで書く だけで良さそう • が、vtiを使うとL2TP/IPsecの接続ができないと いう事象が発生。 • 結局、Proxy-IDを個別に設定する方式(従来な がらの設定)で行くことに。 • 詳しい人居たら教えて下さい m(__)m 27
- 28. 28 set vpn ipsec site-to-site peer x.x.x.x tunnel 1 local prefix x.x.x.x/24 set vpn ipsec site-to-site peer x.x.x.x tunnel 1 remote prefix x.x.x.x/16 set vpn ipsec site-to-site peer x.x.x.x tunnel 2 local prefix x.x.x.x/24 set vpn ipsec site-to-site peer x.x.x.x tunnel 2 remote prefix x.x.x.x/16
- 29. • DHCPサーバの動的割当状況の取得(show dhcp server leases)がうまくいかなくて、ソース コードにパッチをあてたりとか。 • VRRP VIPのGARPを定期的に送信するスクリプ トを仕込んだりとか。 29 「VPCルータ」を利用する上では、 難しいことは気にせずに お使いいただけます
- 30. • DMZ構成 • ステートフルファイアウォール – サーバ側のステートレスなパケットフィルタは 実装済 • IPv6対応 • かんたんモード – アドレスとかパラメータの入力を極限まで 削りたい • サイト間IPsec VPNのパラメータ変更 – 現状、AES128、SHA1、PFSあり、に固定 30