2013/10/17

[AWS]VyattaでNATインスタンスを立ててみた

きっかけはこの記事。

[Developers.IO]VYATTA USERS MEETING Autumn 2013(の前半)に参加しました

Vyattaは2年半前に触ったっきり情報を追ってなかったんだけど、AWSのような環境こそVyattaが活きるなぁと思い、AWSの中でNATインスタンスとして立ててみた。
なおAmazonのWebサイトにも記載してあるとおり、NATと言うよりPAT/NAPT/IP masqueradeの動作になる。

(1)準備
VPCの中にSubnetを2つ作り、1つをPublic、1つをPrivateとする。
VPCにInternet Gatewayを作成する。
PublicのRoute TableにVPC内の経路と、デフォルトゲートウェイとしてInternet Gatewayを設定する。
PrivateのRoute TableはVPC内の経路のみ持つ。

こんな感じ。

(2)Create Security Group for NAT Instance
今回はローカルネットワークからのHTTP/HTTPS通信を受け取り、外部に送信する。
なおInbound SSHをAnyにしてあるけど、本来はメンテナンスネットワークのIPアドレス帯をSourceに設定すべき。
Inbound - Local IP Network - 80(HTTP)
           - Local IP Network  - 443(HTTPS)
           - Any                    - 22(SSH)
Outbound - Any                 - 80(HTTP)
              - Any                 - 443(HTTPS)

(3)Launch NAT Instance
[Community AMIs]で「vyatta」で検索すると出てくる「Vyatta Core 6.6 R1 x86_64 rev1」を使う。なお本AMIは@j3tm0t0氏が作成しデプロイされたもので、ありがたく使わせて頂きます。なお当然ですがCommunity AMIは場合によっては悪意あるユーザーによってどんなバックドアが仕込まれてるかわかったもんじゃないので自己責任の利用となります。
VyattaはオフィシャルにVyatta Network OS AMI(有償)もリリースしています。

(4)Change Source/Dest. Check
NAT Instance設定のキモ。EC2ではデフォルトで実行されている「送受信するパケットの送信元あるいは送信先が自分であるかのチェック」を無効にすることで、他ノードからのあるいは他ノードへのIPパケットが自分を経由して通信することを可能にする。
設定場所はここ。

(5)最低限のアクセス認証設定
デフォルトだとUser:vyatta、Password:vyattaで、かつパスワード認証でログイン出来てしまうため、このまま外部から接続出来るようにするのは危険。まずは同一ネットワーク内の別のEC2からSCPで公開鍵を送りつけた後にSSHで接続し、最低限のアクセス認証設定だけ行う。
$ configure
# loadkey /home/vyatta/.ssh/"公開鍵"    ← 公開鍵をLoadする
# set service ssh disable-password-authentication   ← パスワード認証をDisableにする
# commit
# save

(6)Associate Elastic IP for NAT Instance
作成したNAT InstanceにElastic IPを割り当る。これが外部のアクセス先から見えるグローバルIPアドレスになる。

(7)Configure NAT Instance
まずは基本的なホスト名、ドメイン名、タイムゾーン、NTPサーバの設定。
$ configure
# set system host-name "ホスト名" 
# set system domain-name "ドメイン名" 
# set system time-zone Asia/Tokyo
# set system ntp server "NTPサーバ"
# commit

次にキモとなるNATの設定。同一VPCからの通信をmasqueradeでOutboundする。
# set nat source rule 10 outbound-interface eth0
# set nat source rule 10 source address 172.31.0.0/16
# set nat source rule 10 translation address masquerade
# commit  
# save

(8)Operation verification
PrivateのSubnetのRoute Tableに、デフォルトゲートウェイとしてNAT Boxを設定する。
Privateに属したEC2から、NAT Instanceを経由して外部通信してみる。

$ w3m http://www.google.com/


はいOK。

(9)感想
今回はNATインスタンスとして構築したけれど、AWSでだとVPN BOXとして使われることが多いようだ。次回はその辺にチャレンジしたい。



オープンソース・ソフトウェアルータVyatta入門 ――実践ルーティングから仮想化まで (Software Design plus)オープンソース・ソフトウェアルータVyatta入門 ――実践ルーティングから仮想化まで (Software Design plus)
近藤邦昭,松本直人,浅間正和,大久保修一,日本Vyattaユーザー会

技術評論社
売り上げランキング : 19102

Amazonで詳しく見る by AZlink