Embed Size (px)
Citation preview
2015/2/26 Kazunori Inaba
2015.2.26
第14回 JAWS-UG札幌 勉強会
Windows Server + VPNのAWS移行事例
稲葉 一紀@札幌
1
2015/2/26 Kazunori Inaba
稲葉 一紀 (Kazunori Inaba)
サーバーインフラ専門のフリーランスエンジニア@札幌
屋号:稲葉サーバーデザイン
http://inaba-serverdesign.jp/
おもにアプリ開発企業・エンジニア向けに
セキュリティ・可用性・性能・拡張性を考慮した
ちょっと気の利いた
サーバーインフラ構成設計・設定・や既存システムの性能改善調査・支援
を行います。
2
自己紹介(1)
自己紹介(2)
2015/2/26 Kazunori Inaba
IaaSクラウドの比較調査など
• IaaSクラウド比較'14http://www.slideshare.net/kazunoriinaba/20140411-iaascloud
• NAVERまとめ【クラウドサーバーサービス(IaaS)比較まとめ】http://matome.naver.jp/odai/2141128309524837601
3
2015/2/26 Kazunori Inaba
• 札幌ライブ情報 公開中http://seesaawiki.jp/w/sapporo_rock_live/
明日の札幌でやるライブ
4
自己紹介(3)
はじめに
2015/2/26 Kazunori Inaba
• オンプレミスのWindows Server + VPN環境をAWSに移行した事例をご紹介します。
• スライドは後日SlideShareにアップします。
http://www.slideshare.net/kazunoriinaba/
5
移行前の構成(オンプレミス)
2015/2/26 Kazunori Inaba 6
• 商品取引システム• データセンターにWindows Server 1台• IIS + Webアプリケーション + SQL Server
移行前の構成(オンプレミス)
2015/2/26 Kazunori Inaba 7
• お客様拠点とデータセンターはVPN Site-to-Site接続インターネットにアクセスできないクローズドネットワーク環境
移行前の問題
2015/2/26 Kazunori Inaba
• プレスリリースに伴うアクセス増に耐えられない(かも)。
• サーバーが1台で冗長性がない。
⇒ AWSに移行したい!
8
移行後の構成(AWS)
2015/2/26 Kazunori Inaba 9
• WebサーバーはELB + EC2 x 2台で冗長化。
移行後の構成(AWS)
2015/2/26 Kazunori Inaba 10
• DBはRDS for SQL Serverを使用。• 東京リージョンではSQL Serverの
Multi-AZは非対応なのでシングル構成。
移行後の構成(AWS)
2015/2/26 Kazunori Inaba 11
• 画像はS3から配信してWebサーバーへのアクセス負荷を軽減。
移行後の構成(AWS)
2015/2/26 Kazunori Inaba 12
• お客様本社とAWS VPCをVPN接続。
移行後の構成(AWS)補足
2015/2/26 Kazunori Inaba
• Webサーバーのバックアップは、クラスメソッド製「ソンナコトモアロウカト」を使用。• Developers.IO 1クリックで毎日スナップショットを自動取得 ソンナコトモアロウカト編
http://dev.classmethod.jp/cloud/aws/aws-cfn-advent-calendar-2013-snapshot/
• お客様本社とAWS VPCをVPN接続。• 営業所からはNTT Com. VPNで本社を経由してAWSにアクセスできるので、すべての拠点と
AWSをVPN接続する必要はない。
13
新たに用意したもの・依頼したこと
2015/2/26 Kazunori Inaba
• AWSアカウントとAWSサーバー環境
• お客様環境とAWS VPCをVPN接続するための機器・回線• お客様社内に設置するVPNルーター Yamaha RTX1200
• お客様インターネット接続環境(フレッツ光など)
• お客様インターネット接続プロバイダ+固定IPアドレス
• お客様環境 NTT Com. VPNルーターの設定変更• Static Routingの追加
Dst: AWS側 172.16.0.0/16 → GW: Customer Gateway 192.168.1.250
14
VPN接続設定
2015/2/26 Kazunori Inaba
• AWS VPC Connectionの設定• AWS Management Consoleのウィザードに従って設定。
• Route Tableの追加
• Dst: お客様ネットワーク 192.168.0.0/16 → GW: Virtual Private Gateway
• ルータ機種を指定してルータ機器に合わせたConfigをダウンロードできる。
→必要に応じて変更し、ルーターに適用する。
• VPN接続は、AWS Documentほかネット上に多くの情報があるので難しくない。• ルータ実機がない場合は、さくらのクラウドやIDCFクラウドなどのソフトウェアルーターVyOSと接続して実験することも可能。
15
発覚した問題(1) – RDSの名前解決
2015/2/26 Kazunori Inaba
「お客様営業所PCのWindowsアプリからDBにアクセスできない」
16
■原因
• クローズドネットワーク環境でDNSキャッシュサーバーにアクセスできない
→RDS Endpointの名前解決ができなかった。
xxx.ap-northeast-1.rds.amazonaws.com
→ 172.16.9.x
発覚した問題(1) – RDSの名前解決
2015/2/26 Kazunori Inaba
「お客様営業所PCのWindowsアプリからDBにアクセスできない」
17
■対処
• AWS VPC内にAmazon LinuxDNS キ ャ ッ シ ュ サ ー バ ー(bind)を用意した。
• お客様営業所PCで、このDNSサーバーを参照するよう設定。
• 冗長化のため2台用意。
• t2.micro x 2台で、月4,000円程度。
※ お 客 様 本 社 ル ー タ ー(192.168.1.250)をDNSサーバーとして指定すればうまくいったかも。
発覚した問題(2) – Windows Serverの不具合
2015/2/26 Kazunori Inaba
納品から3か月後、、、
「サーバーのうち1台をWindow Update後、再起動をかけたら起動しなくなった」
→サーバーは起動しているが「Instance Status Checks」がエラーの状態。
ネットワークが疎通していないもよう。
※Webサーバー2台で冗長化していたので、幸いにも商品取引システムはダウンしなかった。
18
発覚した問題(2) – Windows Serverの不具合
2015/2/26 Kazunori Inaba
「Window Update後、再起動をかけたら起動しなくなった」
■原因
• EC2 Windows Server 2014 R2の不具合Amazon EC2 インスタンス上で Windows Server 2012 R2 をご利用のお客様へ重要なご案内
http://aws.amazon.com/jp/windows/2012r2-network-drivers/
「2014/9/10より前に作成された Windows Server 2012 R2 AMIを使用した
インスタンスでは、EC2ネットワークドライバが無効化され、インスタンスを
再起動後にネットワーク接続が失われます。」
19
発覚した問題(2) – Windows Serverの不具合
2015/2/26 Kazunori Inaba
「Window Update後、再起動をかけたら起動しなくなった」
■対処
• バックアップ(スナップショット)からの復旧→ NG
このスナップショットはネットワークドライバが無効化されたサーバーのものなので、やはりネットワークが不通。
• 新しいWindows Server 2012 R2インスタンスを作成し、元のサーバーボリュームをマウントしてデータを復旧。
• 残り1台のサーバーは、AWSが用意した不具合解消スクリプトで対処した。
※ 2014/9/10以前のWindows Server 2012 R2 AMIを使用したEC2インスタンスで運用している方は注意してください!!
20
発覚した問題(2) – Windows Serverの不具合
2015/2/26 Kazunori Inaba
(参考)
• Windows Serverのスナップショットからのリカバリー方法• Windows ServerはスナップショットからAMIを作成できないことに注意。
• スナップショットからEBSボリュームを作成。
→新しいインスタンスを作成してから、EBSボリュームを付け替える。
• AWS Windows Serverのバックアップ自動化とリカバリー
http://inaba-serverdesign.jp/blog/20140326/aws_windows_server_backup.html
21
まとめ(1)
2015/2/26 Kazunori Inaba
• オンプレミスのWindows Server + VPN環境をAWSに移行した事例をご紹介しました。
• お客様拠点間接続で既にVPNサービスを利用していれば、それもうまく流用して複数拠点からAWSへのVPNアクセスが実現できる。
• RDS Endpointの名前解決のため、DNSキャッシュサーバーが必要。
• EC2 Windows Server 2012 R2の不具合に注意。• クラウドに移行してオンプレミス時と同じOS、同じバージョンのサーバーを用意しても、AWS(やクラウドサービス各社特有)の問題はあり得る。
22
まとめ(2)
2015/2/26 Kazunori Inaba
• 設計、仕様については、AWSに問い合わせると担当の方が相談にのってくれる(はず)。• 今回、ネットワーク構成やRDS Endpointの名前解決について、アドバイスをいただいた。
• AWSアカウント作成時に連絡が来ることもあるので、コネクションを作っておくとよい。
• 迅速な障害対応などは、AWSサポート契約が必要。
23
![[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAWS移行を成功に導くセキュリティソリューション-](https://img.pdfslide.tips/doc/110x75/558d257cd8b42a21638b45d1/aws-summit-2012-5-securing-your-journey-to-the-cloud-aws.jpg)
![アマゾンウェブサービスを使用したサイト間 VPN - CiscoAWS接続のリモート識別子を入力します。これはAWS サイト間VPN接続の[Tunnel Details]に表](https://img.pdfslide.tips/doc/110x75/61171a5414a80a78fe2cb685/fffffcfe-vpn-cisco-awscffffeoeaws.jpg)
![スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521](https://img.pdfslide.tips/doc/110x75/55beb0f4bb61eba36c8b46c0/-awsaws3skyhopper150521.jpg)
![[AWS Summit 2012] クラウドデザインパターン#4 CDP VPC移行編](https://img.pdfslide.tips/doc/110x75/558d23bcd8b42a600a8b478d/aws-summit-2012-4-cdp-vpc.jpg)
![スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521](https://img.pdfslide.tips/doc/110x75/55beb112bb61eb9e6c8b4663/-awsaws3150521.jpg)
