ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

DRに必須!?セキュアネットワークのベンチマークを取ってみました

はじめまして、新米エンジニアの酒井です。

クラウドをDR目的で使用する際、複数のリージョンを利用することが多いと思います。
そうなると、リージョン間のデータのやりとりをセキュアに行うことを考えるわけですが、 ニフティクラウドではセキュアネットワークが役立ちます。
今回は実際に東西でセキュアネットワークのVPNを張り、どれだけの性能が出るのか検証してみました。

東西間でのVPN

ニフティクラウドでのIPsec VPN

まず、ニフティクラウドではIPsec VPNのサービスが2つあります。 違いはクラウド側の機器で、

  • セキュアネットワーク : ソフトウェア
  • インターネットVPN(H/W) : ハードウェア

という違いです。セキュアネットワークの利点として

  • コントロールパネルから操作できる(セキュアネットワークの作成、サブネットの分割など)
  • セキュアネットワーク同士を直接VPN接続できる

があります。 非公開情報をリージョン間でやりとりする場合には、セキュアネットワークを使いましょう。

VPN構成の詳細

今回は以下のような条件で作ることにしました。 ここに書かれている設定は、環境に合わせて変更してください。

セキュアネットワーク名 ゾーン CIDR サブネット名 サブネットCIDR VPNゲートウェイ名
sec1 east-13 172.16.0.0/13 sub1 172.17.0.0/16 vpnGW1
sec2 west-11 172.24.0.0/13 sub2 172.25.0.0/16 vpnGW2

VPNの設定としては

接続方式 暗号化アルゴリズム 認証アルゴリズム 事前共有鍵
IPSec AES256 SHA1 Ve0EDqrj

としました。

接続手順の概要

ここでは、セキュアネットワーク同士を接続する手順の概要を説明します。 スクリーンショット付の詳しい手順についてはとても長くなってしまったので、最後に書いておきます。

手順

まず、片側のセキュアネットワークを作成し、VPNゲートウェイを作成します。

  1. (east-13に作りたいので)東日本リージョンで、セキュアネットワーク(sec1)を作成する。

    • セキュアネットワーク名 : sec1
    • ゾーン : east-13
    • CIDR : 172.16.0.0/13 2.png
  2. sec1のサブネットを作成。

    • サブネット名 : sub1
    • CIDR : 172.17.0.0/16
    • セキュアネットワーク : sec1(172.16.0.0/13)
  3. sec1のVPNゲートウェイ(vpnGW1)を作成。作成後、IPを確認。(今回は、xxx.xxx.xxx.xxxとする)

    • 基本設定のパラメータ
      • VPNゲートウェイ名 : vpnGW1
      • 接続方式 : IPSec
      • 暗号化アルゴリズム : AES256
      • 認証アルゴリズム : SHA1
      • 事前共有鍵 : Ve0EDqrj
    • 拠点設定は何も設定しない

    10.png

    作成されたら、VPNゲートウェイのIPを確認しておきましょう。 11.png: IPの確認

次に、もう一方のセキュアネットワークを作成し、VPNゲートウェイを作成、接続拠点として、上で作ったVPNゲートウェイを設定します。

  1. (west-11に作りたいので)西日本リージョンで、セキュアネットワーク(sec2)を作成をする。

    • セキュアネットワーク名 : sec2
    • ゾーン : west-11
    • CIDR : 172.24.0.0/13
  2. sec2のサブネットを作成。

    • サブネット名 : sub2
    • CIDR : 172.25.0.0/16
    • セキュアネットワーク : sec2(172.24.0.0/13)
  3. sec2のVPNゲートウェイ(vpnGW2)を作成。作成後、IPを確認。(今回は、yyy.yyy.yyy.yyyとする)

    • 基本設定のパラメータ
      • VPNゲートウェイ名 : vpnGW2
      • 接続方式 : IPSec
      • 暗号化アルゴリズム : AES256
      • 認証アルゴリズム : SHA1
      • 事前共有鍵 : Ve0EDqrj
    • 拠点設定(接続先の情報を入力する)
      • 拠点名 : east
      • IPアドレス : xxx.xxx.xxx.xxx
      • CIDR : 172.16.0.0/13
      • IPIPトンネルの利用 : チェックしない

    13.png

    こちらも作成されたら、VPNゲートウェイのIPを確認しておきましょう。 16.png

    最後に、vpnGW1の設定に、今作ったVPNゲートウェイを追加しましょう。

  4. vpnGW1の拠点設定する。

    • 拠点設定(接続先の情報を入力する)

      • 拠点名 : west
      • IPアドレス : yyy.yyy.yyy.yyy
      • CIDR : 172.24.0.0/13
      • IPIPトンネルの利用 : チェックしない

      17.png

これで、VPNの設定としては終わりです。 次に、サーバーをセキュアネットワーク内に作りましょう。

  1. east-13で、サーバー作成をします。
    • ゾーン、OS、サーバー名を決めたあと、IPアドレスを『IPアドレスを使用しない』とします。
    • 次の、セキュアネットワークの設定の選択は『する』を選び、
      • セキュアネットワーク : sec1
      • サブネット : sub1
      • プライベートIPアドレス : 今回は自動を選択   - 以降は通常どおりサーバーを作成します。
  2. east-11でも同様にサーバー作成します。

以上で、作業完了です。

ベンチマーク

セキュアネットワークが利用できるゾーン間で、iperf3を用いてベンチマークを取ってみました。 基本的にはデフォルトのパラメーターで計測しています。実際のコマンドとしては、以下の通りです。

sh # server side iperf3 -s -p 80 # client side iperf3 -c -p 80 --parallel ちなみに、pingで計ったレイテンシは

  • 東西リージョン間 : 13 ms程度
  • 東日本ゾーン間 : 0.88 ms程度

となっています。東日本の中だとかなり良いですね。

さて、ベンチマーク結果はこんな感じになりました。

暗号化アルゴリズム 並列数 west-11east-12 west-11east-13 east-12 east-13
AES 128 parallel 1 433 Mbps 392 Mbps 596 Mbps
AES 128 parallel 5 108 Mbps 109 Mbps 605 Mbps
AES 128 parallel 10 61.4 Mbps 94.1 Mbps 532 Mbps
AES 256 parallel 1 337 Mbps 365 Mbps 563 Mbps
AES 256 parallel 5 95.2 Mbps 102 Mbps 403 Mbps
AES 256 parallel 10 59 Mbps 68.2 Mbps 410 Mbps

グラフにするとこんな感じです。
AES128とAES

傾向として、

  • AES 128の方がAES 256よりも高速 : 鍵が短い方が速い
  • 同一リージョンの方が高速 : ネットワークトポロジ的に近い方が速い
  • 並列数を増やすと遅くなる : VPNのサーバーの処理の問題

ということがあるようですね。

まとめ

さて、今回はセキュアネットワークのベンチマークを取得しました。
セキュアネットワークを用いることで、自社とニフクラ東西間や、ニフクラの別ID間をVPNで接続することができるようになります。
今回のベンチマーク結果を見ると、東西間でも十分速度が出ている印象です。 データが巨大な場合には差分でバックアップを取るなどの方法を考えなければならない場合もありますが、DR用途としては十分選択肢に挙がるレベルと言えると思います。
ぜひ、セキュアネットワークを使ってDRしましょう!