はじめまして、新米エンジニアの酒井です。
クラウドをDR目的で使用する際、複数のリージョンを利用することが多いと思います。
そうなると、リージョン間のデータのやりとりをセキュアに行うことを考えるわけですが、
ニフティクラウドではセキュアネットワークが役立ちます。
今回は実際に東西でセキュアネットワークのVPNを張り、どれだけの性能が出るのか検証してみました。
ニフティクラウドでのIPsec VPN
まず、ニフティクラウドではIPsec VPNのサービスが2つあります。 違いはクラウド側の機器で、
- セキュアネットワーク : ソフトウェア
- インターネットVPN(H/W) : ハードウェア
という違いです。セキュアネットワークの利点として
- コントロールパネルから操作できる(セキュアネットワークの作成、サブネットの分割など)
- セキュアネットワーク同士を直接VPN接続できる
があります。 非公開情報をリージョン間でやりとりする場合には、セキュアネットワークを使いましょう。
VPN構成の詳細
今回は以下のような条件で作ることにしました。 ここに書かれている設定は、環境に合わせて変更してください。
セキュアネットワーク名 | ゾーン | CIDR | サブネット名 | サブネットCIDR | VPNゲートウェイ名 |
---|---|---|---|---|---|
sec1 | east-13 | 172.16.0.0/13 | sub1 | 172.17.0.0/16 | vpnGW1 |
sec2 | west-11 | 172.24.0.0/13 | sub2 | 172.25.0.0/16 | vpnGW2 |
VPNの設定としては
接続方式 | 暗号化アルゴリズム | 認証アルゴリズム | 事前共有鍵 |
---|---|---|---|
IPSec | AES256 | SHA1 | Ve0EDqrj |
としました。
接続手順の概要
ここでは、セキュアネットワーク同士を接続する手順の概要を説明します。 スクリーンショット付の詳しい手順についてはとても長くなってしまったので、最後に書いておきます。
手順
まず、片側のセキュアネットワークを作成し、VPNゲートウェイを作成します。
(east-13に作りたいので)東日本リージョンで、セキュアネットワーク(sec1)を作成する。
- セキュアネットワーク名 : sec1
- ゾーン : east-13
- CIDR : 172.16.0.0/13
sec1のサブネットを作成。
- サブネット名 : sub1
- CIDR : 172.17.0.0/16
- セキュアネットワーク : sec1(172.16.0.0/13)
sec1のVPNゲートウェイ(vpnGW1)を作成。作成後、IPを確認。(今回は、xxx.xxx.xxx.xxxとする)
- 基本設定のパラメータ
- VPNゲートウェイ名 : vpnGW1
- 接続方式 : IPSec
- 暗号化アルゴリズム : AES256
- 認証アルゴリズム : SHA1
- 事前共有鍵 : Ve0EDqrj
- 拠点設定は何も設定しない
作成されたら、VPNゲートウェイのIPを確認しておきましょう。
- 基本設定のパラメータ
次に、もう一方のセキュアネットワークを作成し、VPNゲートウェイを作成、接続拠点として、上で作ったVPNゲートウェイを設定します。
(west-11に作りたいので)西日本リージョンで、セキュアネットワーク(sec2)を作成をする。
- セキュアネットワーク名 : sec2
- ゾーン : west-11
- CIDR : 172.24.0.0/13
sec2のサブネットを作成。
- サブネット名 : sub2
- CIDR : 172.25.0.0/16
- セキュアネットワーク : sec2(172.24.0.0/13)
sec2のVPNゲートウェイ(vpnGW2)を作成。作成後、IPを確認。(今回は、yyy.yyy.yyy.yyyとする)
- 基本設定のパラメータ
- VPNゲートウェイ名 : vpnGW2
- 接続方式 : IPSec
- 暗号化アルゴリズム : AES256
- 認証アルゴリズム : SHA1
- 事前共有鍵 : Ve0EDqrj
- 拠点設定(接続先の情報を入力する)
- 拠点名 : east
- IPアドレス : xxx.xxx.xxx.xxx
- CIDR : 172.16.0.0/13
- IPIPトンネルの利用 : チェックしない
こちらも作成されたら、VPNゲートウェイのIPを確認しておきましょう。
最後に、vpnGW1の設定に、今作ったVPNゲートウェイを追加しましょう。
- 基本設定のパラメータ
vpnGW1の拠点設定する。
拠点設定(接続先の情報を入力する)
- 拠点名 : west
- IPアドレス : yyy.yyy.yyy.yyy
- CIDR : 172.24.0.0/13
- IPIPトンネルの利用 : チェックしない
これで、VPNの設定としては終わりです。 次に、サーバーをセキュアネットワーク内に作りましょう。
- east-13で、サーバー作成をします。
- ゾーン、OS、サーバー名を決めたあと、IPアドレスを『IPアドレスを使用しない』とします。
- 次の、セキュアネットワークの設定の選択は『する』を選び、
- セキュアネットワーク : sec1
- サブネット : sub1
- プライベートIPアドレス : 今回は自動を選択 - 以降は通常どおりサーバーを作成します。
- east-11でも同様にサーバー作成します。
以上で、作業完了です。
ベンチマーク
セキュアネットワークが利用できるゾーン間で、iperf3を用いてベンチマークを取ってみました。 基本的にはデフォルトのパラメーターで計測しています。実際のコマンドとしては、以下の通りです。
sh
# server side
iperf3 -s -p 80
# client side
iperf3 -c -p 80 --parallel
ちなみに、pingで計ったレイテンシは
- 東西リージョン間 : 13 ms程度
- 東日本ゾーン間 : 0.88 ms程度
となっています。東日本の中だとかなり良いですね。
さて、ベンチマーク結果はこんな感じになりました。
暗号化アルゴリズム | 並列数 | west-11east-12 | west-11east-13 | east-12 east-13 |
---|---|---|---|---|
AES 128 | parallel 1 | 433 Mbps | 392 Mbps | 596 Mbps |
AES 128 | parallel 5 | 108 Mbps | 109 Mbps | 605 Mbps |
AES 128 | parallel 10 | 61.4 Mbps | 94.1 Mbps | 532 Mbps |
AES 256 | parallel 1 | 337 Mbps | 365 Mbps | 563 Mbps |
AES 256 | parallel 5 | 95.2 Mbps | 102 Mbps | 403 Mbps |
AES 256 | parallel 10 | 59 Mbps | 68.2 Mbps | 410 Mbps |
グラフにするとこんな感じです。
傾向として、
- AES 128の方がAES 256よりも高速 : 鍵が短い方が速い
- 同一リージョンの方が高速 : ネットワークトポロジ的に近い方が速い
- 並列数を増やすと遅くなる : VPNのサーバーの処理の問題
ということがあるようですね。
まとめ
さて、今回はセキュアネットワークのベンチマークを取得しました。
セキュアネットワークを用いることで、自社とニフクラ東西間や、ニフクラの別ID間をVPNで接続することができるようになります。
今回のベンチマーク結果を見ると、東西間でも十分速度が出ている印象です。
データが巨大な場合には差分でバックアップを取るなどの方法を考えなければならない場合もありますが、DR用途としては十分選択肢に挙がるレベルと言えると思います。
ぜひ、セキュアネットワークを使ってDRしましょう!