スキップしてメイン コンテンツに移動

[AWS]VyattaでNATインスタンスを立ててみた

きっかけはこの記事。

[Developers.IO]VYATTA USERS MEETING Autumn 2013(の前半)に参加しました

Vyattaは2年半前に触ったっきり情報を追ってなかったんだけど、AWSのような環境こそVyattaが活きるなぁと思い、AWSの中でNATインスタンスとして立ててみた。
なおAmazonのWebサイトにも記載してあるとおり、NATと言うよりPAT/NAPT/IP masqueradeの動作になる。

(1)準備
VPCの中にSubnetを2つ作り、1つをPublic、1つをPrivateとする。
VPCにInternet Gatewayを作成する。
PublicのRoute TableにVPC内の経路と、デフォルトゲートウェイとしてInternet Gatewayを設定する。
PrivateのRoute TableはVPC内の経路のみ持つ。

こんな感じ。

(2)Create Security Group for NAT Instance
今回はローカルネットワークからのHTTP/HTTPS通信を受け取り、外部に送信する。
なおInbound SSHをAnyにしてあるけど、本来はメンテナンスネットワークのIPアドレス帯をSourceに設定すべき。
Inbound - Local IP Network - 80(HTTP)
           - Local IP Network  - 443(HTTPS)
           - Any                    - 22(SSH)
Outbound - Any                 - 80(HTTP)
              - Any                 - 443(HTTPS)

(3)Launch NAT Instance
[Community AMIs]で「vyatta」で検索すると出てくる「Vyatta Core 6.6 R1 x86_64 rev1」を使う。なお本AMIは@j3tm0t0氏が作成しデプロイされたもので、ありがたく使わせて頂きます。なお当然ですがCommunity AMIは場合によっては悪意あるユーザーによってどんなバックドアが仕込まれてるかわかったもんじゃないので自己責任の利用となります。
VyattaはオフィシャルにVyatta Network OS AMI(有償)もリリースしています。

(4)Change Source/Dest. Check
NAT Instance設定のキモ。EC2ではデフォルトで実行されている「送受信するパケットの送信元あるいは送信先が自分であるかのチェック」を無効にすることで、他ノードからのあるいは他ノードへのIPパケットが自分を経由して通信することを可能にする。
設定場所はここ。

(5)最低限のアクセス認証設定
デフォルトだとUser:vyatta、Password:vyattaで、かつパスワード認証でログイン出来てしまうため、このまま外部から接続出来るようにするのは危険。まずは同一ネットワーク内の別のEC2からSCPで公開鍵を送りつけた後にSSHで接続し、最低限のアクセス認証設定だけ行う。
$ configure
# loadkey /home/vyatta/.ssh/"公開鍵"    ← 公開鍵をLoadする
# set service ssh disable-password-authentication   ← パスワード認証をDisableにする
# commit
# save

(6)Associate Elastic IP for NAT Instance
作成したNAT InstanceにElastic IPを割り当る。これが外部のアクセス先から見えるグローバルIPアドレスになる。

(7)Configure NAT Instance
まずは基本的なホスト名、ドメイン名、タイムゾーン、NTPサーバの設定。
$ configure
# set system host-name "ホスト名" 
# set system domain-name "ドメイン名" 
# set system time-zone Asia/Tokyo
# set system ntp server "NTPサーバ"
# commit

次にキモとなるNATの設定。同一VPCからの通信をmasqueradeでOutboundする。
# set nat source rule 10 outbound-interface eth0
# set nat source rule 10 source address 172.31.0.0/16
# set nat source rule 10 translation address masquerade
# commit  
# save

(8)Operation verification
PrivateのSubnetのRoute Tableに、デフォルトゲートウェイとしてNAT Boxを設定する。
Privateに属したEC2から、NAT Instanceを経由して外部通信してみる。

$ w3m http://www.google.com/


はいOK。

(9)感想
今回はNATインスタンスとして構築したけれど、AWSでだとVPN BOXとして使われることが多いようだ。次回はその辺にチャレンジしたい。



オープンソース・ソフトウェアルータVyatta入門 ――実践ルーティングから仮想化まで (Software Design plus)オープンソース・ソフトウェアルータVyatta入門 ――実践ルーティングから仮想化まで (Software Design plus)
近藤邦昭,松本直人,浅間正和,大久保修一,日本Vyattaユーザー会

技術評論社
売り上げランキング : 19102

Amazonで詳しく見る by AZlink

コメント

このブログの人気の投稿

リモートワークは仕組みじゃなくて文化です

ここ最近、コロナウイルス関連の報道が数多くあるが、その中でも多くの企業がリモートワークを推奨するという記事やプレスリリースが注目を浴びている。それ自体はもちろん大変望ましい。不要な対面での接点を減らすことで感染リスクを抑えることが出来るし、通勤ラッシュや首都圏への経済集中も抑制出来るからだ。 だがちょっと待ってほしい。リモートワークというのは社員が在宅で働くことだけを指すのではない。 社員が在宅で働いても出社時と同じパフォーマンスが出ること をリモートワークというのだ。だからこの記事のタイトルで「リモートワークは仕組みじゃなくて文化です」と書いた。 弊社がリモートワークを導入したのは2011年の東日本大震災がきっかけだけれど、9年経った今、どのようにリモートワークを運用して、そしてパフォーマンスを維持しているかを共有したいと思う。以下のことが文化として根付けば、その会社のメンバーはリモートワークでもオフィスでも同じようなパフォーマンスが発揮出来るはずだ。 1.勤怠を厳密に管理しない え、だってダルくないすか。管理するの。何時に働き始めて何時に働き終わったかなんて関係ないっしょ。大事なのは働いた結果のアウトプットであり、働いた時間なんか問題じゃない。 2.休憩も厳密に管理しない え、だってダルくないすか。管理するの。何時に休憩し始め(ry 3.工数を厳密に管理しない え、だ(ry 4.目に見えるアウトプットを意識する 当然のことながら、仕事は結果が全てであり、結果が出なければどこで何時間働いたって意味がない。そして結果というのは目に見えなければ意味がない。 だからこそ、アウトプットを出すこと、アウトプットを評価することに徹底的にこだわる。それはドキュメントかもしれないし、お客様やパートナーとコミュニケーションするためのメールかもしれないし、社内の改善活動かもしれないし、メンバーへのフォローかもしれないし、ブログかもしれないし、Slackでの発言かもしれない。 とにかく目に見えないものは周りも認められない。目に見えるアウトプットしか評価されないし、そのために徹底的にアウトプットするんだ、という意識を社内でしっかりと作ることが重要。 5.コミュニケーションコストを意識する どんなに頑張っても、オンラインのコミ

これで完璧!本当に役立つテレワークマナー

コロナ禍によってテレワークを導入する企業が増えた昨今、皆様いかがお過ごしでしょうか。僕は4連休明けでダルかったので有給を取得し妻とデートしてきました。イェーイ。 さて、 弊社 も今年2月以降は全社員完全テレワークに移行しました。弊社は2011年からテレワークを導入し各自が自由に活用していたため、特に大きな問題も無くテレワーク体制に移行したのですが、全社員完全テレワークは初めての状況であり、幾つかの課題が発生しました。特に、その状況下でも新しく入社する社員がいますので、これまで社内で培ってきた暗黙の了解が共有出来ないことは大きな課題でした。 ということで、本記事では、弊社のテレワークマナーについてご紹介したいと思います。皆さんのご参考になれば幸いです。 業務の開始と終了はチャットで宣言する これはオフィス出社時でもテレワークでも変わらないのですが、業務開始時と業務終了時にはSlackで宣言しています。弊社ではこれを開店/閉店と呼んでいます。 気をつけて頂きたいのは、これは 報告ではなく共有である ということです。業務開始と業務終了を共有しておくことで、同僚が相談したり依頼をしたりできる時間を把握出来ます。この共有をしておかないと、業務開始前や業務終了後にMentionがバンバン飛んで来るかもしれません。もちろん飛んできたからって怒るメンバーはいないのですが、お互いちょっとした気遣いが出来るように、自分が働いている時間は共有しておくと良いでしょう。 これは休憩時間も同様です。昼休みにのんびりゲームしているときにスマホがブーブー鳴っていたら気が散るかもしれません。休憩開始と終了をSlackで宣言することでゆっくり休憩することが出来ます。休憩中は Display name の後ろに「休憩中」等と付けておくのも良いでしょう。 マイクとスピーカーはPC内蔵のものを使わない PCの性能は以前と比べて格段に上がっていますが、残念ながらマイクとスピーカーはそうではありません。マイクについては音質は向上しているものの、指向性が無いために周囲の音を拾ってしまいます。そしてPC操作時には、どうしても打鍵音がダイレクトに響いてしまいます。またスピーカーは、まぁ正直全く駄目です。音楽を聞くのにさえ向いていないのに、音声のやり取りなんか出来るわけがない。 マイクとスピーカーは必ず別に用意しましょ

ネガティブなフィードバックをする時に意識したい7つのこと

僕は現在は取締役兼事業本部長という立ち位置でお仕事させて頂いてますが、元々はエンジニアで、かつピープルマネージメントを15年以上しておりました。僕がマネジメントしたメンバーは合算すると200人以上になります。正直に言えば、楽しいことはたくさんあったけれど、もちろん辛いことも多々経験していまして、特にメンバーに対してネガティブなフィードバックをすることは大きな苦しみの一つです。 最近、自分の部署の若いマネージャーから、ネガティブなフィードバックを上手に行うことが難しく課題に感じている、という声があったので、僕の経験をまとめてみました。 ポジティブなフィードバックをセットにして伝える どんな人にとっても、悪い話を聞くことは楽しい経験ではありません。悪い話だけを聞き続けると、不愉快な感情が理性を覆い隠してしまいます。しかしフィードバックとは叱ることではなく、どのように改善していくかを議論するためのきっかけであり、感情的になることはマイナスに働きます。ネガティブなフィードバックを伝える時は、ポジティブなフィードバックをセットに、出来れば先に伝えます。良い点がない人はいません(そんな人は採用していないはずです)から、必ず褒めるポイント、褒めるべきアウトプットがあるはずです。ポジティブなフィードバックをセットすることで、相手の感情のバランスを取ることが出来ます。 ネガティブな内容を責めるのではなく事実として伝える 上述の通り、フィードバックの目的は叱責ではなく改善なので、「なんで出来ないんだ」とか「どうして出来なかったんだ」ではなく、事実としてのネガティブな現状を正確に伝えることが重要です。例えそれが叱責に値する内容であったとしても、どちらか一方が感情的になると必ずもう片方も感情的になるので、冷静に正しく事実のみを伝えます。 期待値を提示する ネガティブなフィードバックには、必ずあるべき姿、こちらが期待していた姿があるはずなので、それを伝えます。その際には一方的に伝えるのではなく、こちらの期待値を根拠と併せて伝え、その上で一緒にその期待値の妥当性を議論します。この期待値のすり合わせをしないと、メンバー本人の振り返りも生まれず、改善のためのアクションも「言われたからやる」だけになってしまいます。 なぜネガティブな結果になったのかをヒアリングする 人それぞれ様々な事情や環境がある