Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS×VPN
Search
Shinya Omori
September 13, 2020
Technology
0
720
AWS×VPN
JAWS SONIC 2020
https://jawssonic2020.jaws-ug.jp/
Shinya Omori
September 13, 2020
Tweet
Share
More Decks by Shinya Omori
See All by Shinya Omori
OCIjp_Oracle AI World_Recap
shinpy
1
190
OCI Cloud Native アーキテクチャ from 他社クラウド_移行の秘訣 v2
shinpy
1
59
AWS案件で得たナレッジ紹介_20240920
shinpy
0
100
OCI Cloud Native アーキテクチャ from 他社クラウド_移行の秘訣
shinpy
0
220
Oracle Cloud Infrastructure Advent Calendar 2023- Cloudii -
shinpy
0
220
OCIJP#33_NetworkFirewall
shinpy
0
590
OCIと歩んだ2年間
shinpy
0
440
Cloudiiブログで実践するOCI
shinpy
0
58
ウェブ地図「地理院地図」with Fastly
shinpy
0
440
Other Decks in Technology
See All in Technology
Amazon Athena で JSON・Parquet・Iceberg のデータを検索し、性能を比較してみた
shigeruoda
1
170
dbtとAIエージェントを組み合わせて見えたデータ調査の新しい形
10xinc
6
1.4k
【SORACOM UG Explorer 2025】さらなる10年へ ~ SORACOM MVC 発表
soracom
PRO
0
170
「タコピーの原罪」から学ぶ間違った”支援” / the bad support of Takopii
piyonakajima
0
150
Okta Identity Governanceで実現する最小権限の原則
demaecan
0
190
AI機能プロジェクト炎上の 3つのしくじりと学び
nakawai
0
130
オブザーバビリティと育てた ID管理・認証認可基盤の歩み / The Journey of an ID Management, Authentication, and Authorization Platform Nurtured with Observability
kaminashi
1
1.1k
[re:Inent2025事前勉強会(有志で開催)] re:Inventで見つけた人生をちょっと変えるコツ
sh_fk2
1
890
ざっくり学ぶ 『エンジニアリングリーダー 技術組織を育てるリーダーシップと セルフマネジメント』 / 50 minute Engineering Leader
iwashi86
5
2.8k
JAWS UG AI/ML #32 Amazon BedrockモデルのライフサイクルとEOL対応/How Amazon Bedrock Model Lifecycle Works
quiver
1
100
AIの個性を理解し、指揮する
shoota
2
420
アウトプットから始めるOSSコントリビューション 〜eslint-plugin-vueの場合〜 #vuefes
bengo4com
3
1.8k
Featured
See All Featured
Building Applications with DynamoDB
mza
96
6.7k
Navigating Team Friction
lara
190
15k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
23
1.5k
[RailsConf 2023] Rails as a piece of cake
palkan
57
5.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.6k
Why Our Code Smells
bkeepers
PRO
340
57k
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
132
19k
How to Ace a Technical Interview
jacobian
280
24k
The Power of CSS Pseudo Elements
geoffreycrofte
80
6k
We Have a Design System, Now What?
morganepeng
53
7.8k
Stop Working from a Prison Cell
hatefulcrawdad
272
21k
Transcript
“ AWS× VPN" JAWS-UG会津
2 ⼤森 信哉 @shinpy 株式会社アトミテック クラウド事業 を担当 福島県会津若松市 在住(フル・リモート) ※超運動不⾜中
インフラエンジニア兼エバンジェリスト 好きなサービス:S3
3 @Cloudii_jp https://cloudii.jp/ ※近⽇リニューアル予定!! ハッシュタグ #Cloudii Cloudii Blog AWS案件も取り扱ってます!!
4 会津⽀部 JAWS-UG 会津 第1回 勉強会 • 2013年8⽉10⽇開催 https://peatix.com/event/15727?lang=ja 発⾜からなんだかんだで7年!!
5 会津⽀部 (吉田 真吾さんより)
6 “ AWS × VPN " • コロナ情勢もあり、リモートワークが増えた • ⾃宅からクラウド環境へセキュアに接続したい
• 安価で⼿軽にクライアント・リモートVPN環境を構築したい ※UTMまではいらない、、、 • OpenVPNを採⽤ ※ (https://openvpn.net/ ) GPLライセンスで公開されているオープンソースのVPNソフトウェア
7 • スタートアップ企業からVPN環境構築依頼(初OpenVPN) • ⽇本とヨーローッパ諸国のエンジニアが利⽤する環境にVPNしたい • ⼈数は少ないので、EC2(Amazon Linux)にOpenVPNを設定しコストを抑える • フランクフルト・リージョンに1⽇で環境構築
最初の案件 public subnet AWS Cloud VPC EC2 OpenVPNサーバー Internet Internet gateway private subnet SV等 【お客様】 K2 Vision 合同会社 様 モバイルサービス開発とビッグデータ 分析の基盤構築やコンサルの仕事をメ インに活動 https://k2-vision.jp/about.html
8 「公式サイトから抜粋」 AWS Client VPN は、オンプレミスネットワーク内の AWS リソースに安全にアクセス できるようにする、クライアントベースのマネージド VPN
サービスです。クライア ント VPN を使⽤すると、OpenVPN ベースの VPN クライアントを使⽤して、どこか らでもリソースにアクセスできます。 https://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/what-is.html • ある程度の接続数がある。 • VPNサーバーをマネージドにしたい。 • 証明書もAWS内で管理したい。 • 少しでもGUIが欲しい。 AWS Client VPN AWS Client VPN
9 AWS Client VPNを⾒てみよう(´・Д・)」
10 subnet AWS Cloud VPC WEB01 WEB02 Internet Internet gateway
Client VPN Endpoint AWS Certificate Manager サーバー証明書 クライアント証明書 10.11.0.0/16 10.11.0.0/24 172.18.0.0/16 10.11.0.100/24 10.11.0.110/24 subnet 10.11.1.0/24 WEB03 10.11.1.10/24 NAT Gateway Internet 今回準備した仮構成 • 2つのサブネットに接続許可 • WEB01への接続NG • WEB03のようにプライベート サブネット環境にも接続許可 • スプリットトンネル:有効 VPNユーザー
11 ⽐較ポイント OpenVPN サーバー AWS Client VPN vs 1.構築難易度 ※個⼈的主観
• どちらかといえばAWS Client VPNのほうが敷居が低い • 初めての⽅はGUIあると優しいかも? ※画⾯が更新されると(ry その時はCLI対応しておく • 公式マニュアルが分かりやすい • AWS強者の⽅々がブログ等でUPされているので参考になる 2.構築速度 • ベースとなるサーバー構築が不要で、⼿軽に構築できる ※慣れですが、、、 OpenVPN サーバー AWS Client VPN vs
12 ⽐較ポイント OpenVPN サーバー AWS Client VPN vs 3.コスト ※個⼈的主観
• AWS Client VPNはマネージドなだけあって、OpenVPNサーバー 単体よりは割⾼になる。 • マネージド・サービスにすることにより運⽤コストは下がる • パターンによりコストが変わってくる ※VPNクライアント接続数、接続先サブネット数、運⽤⼿間等 OpenVPN サーバー AWS Client VPN vs 4.詳細な要件対応 • AWS Client VPNでは提供していない利⽤⽅法が出てきた時の適 応性はOpenVPNサーバー単体のほうが勝っている。 • どんなパターン例があるかは⼀例を次のスライドで紹介
13 「接続ユーザ毎に接続サーバへのより詳細な接続制限をする」 ※接続ユーザー毎にログイン画⾯を変更したいという要望 • ユーザーAはWEBサーバーの「TCP/81」へのみ接続OK • ユーザーBはWEBサーバーの「TCP/82」へのみ接続OK 「設定⽅法」 • ユーザー毎にVPN接続時に配布するIPを予め予約
• OpenVPNサーバーのiptablesで接続制限設定 ユーザーA ユーザーB WEBサーバー ( 10.11.1.10 ) OpenVPN サーバー OpenVPNでの詳細要件パターン例 ・ユーザーA専⽤画⾯を閲覧 ・VPN IP=172.18.0.10を配布 172.18.0.10のVPNクライアントは 「http://10.11.1.10:81」のみ接続可 ・ユーザーA専⽤画⾯を閲覧 ・VPN IP=172.18.0.10を配布 172.18.0.10のVPNクライアントは 「http://10.11.1.10:82」のみ接続可
14 まとめ • 要件やコストを考慮しながら「AWS Client VPN」or「OpenVPNサーバー」を決定 • 運⽤コスト削減したい!マネージド!=「AWS Client VPN」
• より詳細な設定をしたい!他クラウドでも設定継承して利⽤したい!=「OpenVPNサーバー」 • ネット上に⽂献も沢⼭あるので検討の⼀つとして、「OpenVPN」を (´・Д・)」
ご清聴ありがとうございました(´・Д・)」 JAWS-UG会津