こんにちは、HESの川添です。
今月から新たにデータセンターとクラウドをつなぐVPN接続の刷新プロジェクトに参加しています。
最初に聞いたときは「VPNってリモート接続のやつ?」くらいの理解しかなかったのですが、
実際に関わってみると、まだ参画して2週間ほどですが、ネットワークの仕組みを学ぶのにとても良い経験になっております。
今回は、現場で学んだ内容を自分の中で整理するという意味をふまえて記事にしたいと思います。
どんなプロジェクト?
今いる現場では、依頼会社が借りているデータセンターとクラウド環境を安全につなぐ仕組みを新しい機器に置き換えてVPNを構成する作業です。
これまでは「VMware SD-WAN」という仕組みでつないでいましたが、今後は「Fortigate」の機器を使ってVPNを構成する予定です。
そもそも「VPN接続」って何をしているのか改めて調べました。
VPN(Virtual Private Network)は、日本語では「仮想専用通信網」と訳され、
遠く離れた2つの拠点(例:会社のデータセンターとクラウド)を、「カプセル化」などの技術を用いることで、拠点間をいわば仮想の専用線で結び、安全に情報をやり取りすることができるようにする仕組みです。
たとえば:
[データセンター] ──(インターネット)── [クラウド]
このままだと、通信内容が誰でも見られてしまう可能性があります。
そこでVPNを使うと、
[データセンター] ==(暗号化トンネル)== [クラウド]
のように、「他の人が見られない専用の通路」を作ることができます。
参考:https://www.nttpc.co.jp/column/network/whats_vpn.html
VMware SD-WANって何?
「VMware SD-WAN」は、VPNを自動でつないでくれる便利な仕組みです。
- どの経路が速いかを自動で選んでくれる
- 通信が止まったら別の回線に切り替えてくれる
- 管理画面で全部まとめて操作できる
つまり、VPNを簡単に・柔軟に運用できるネットワーク自動化ツールです。
参考:https://blogs.vmware.com/vmware-japan/2020/08/sdwan-cloud1.html
Fortigateって何?
Fortigate(フォーティゲート)は、ファイアウォール(通信を守る装置)です。
でも最近のFortigateはそれだけでなく、VPNの接続もできる多機能な機器です。
たとえば:
- IPsec VPN(暗号化通信)を張る
- 通信を許可/ブロックするポリシーを設定
- 障害時に自動で切り替える(HA構成)
- ログを記録して監視する
つまり、VPNを含む複数のセキュリティ機能を統合的に扱えるUTM製品です。
参考:https://www.hitachi-solutions.co.jp/fortinet/function/fortigate/
どんな構成になるの?
今回のプロジェクトでは、
片方の拠点(データセンター)にはFortigate 80Fという小型の機器を置き、
もう片方のクラウド側ではFortigateの仮想版(Fortigate VM)を使います。
仮想版とは?
実物の機械ではなく、サーバーの中にソフトウェアで機器を動かすイメージです。
VPNの接続方法としては「IPsec(アイピーセック)」という暗号化の仕組みを使って、
両方のFortigateをつなぎます。
なぜ機器を入れ替えるの?
案件の資料を見たり、先輩社員から話を聞くと今まで使っていた仕組み(VMware SD-WAN)に以下のようないくつか課題があったそうです。
-今後のサポートが終了予定。
-値段や提供元の変更があり、継続が難しい。
-保守(サポート対応)がしにくい。
上記のような理由から長く安定して使えるFortigateに切り替えようという流れになったとのことです。
疑問に思ったこと
作業を進める中で、ふとこんな疑問が浮かびました。
「データセンターは物理のFortigateを置くのに、なぜクラウド側は同じFortigateを入れないんだろう?」と思い、気になって先輩社員に「クラウド側も同じ物理の機器を入れないんですか?」と聞いてみたところ、「クラウド環境だから」と教えていただきました。
その時に、「あ、そうか」と腑に落ちました。クラウドというのは仮想環境の上で動く世界。
実際に物理機器を置くことはできず、物理のベアメタル以外はすべて仮想化された仕組みで構成されている。
私は入社してからの約一年半、主にデータセンター(DC)案件を担当してきました。
実際に現場に行ってラックにサーバーや機器が並んでいるのを見たこともあり、「機器を設置して動かす」というのが当たり前の世界でした。
ですが、先輩から説明を聞いた瞬間、これまで自分が記事で書いてきた
「ベアメタル」「仮想サーバー」「ハイパーバイザー」などの内容が一気につながりました。
つまりクラウド側では、「Fortigateのソフトウェア版(Fortigate-VM)」を
ベアメタルサーバーの上で仮想的に動かすことで同じ機能を実現しているということ。
一方で、データセンター側は物理的な設備を持っているため、
Fortigate 80Fという実機をラックに設置して動かすことができる。
こうして考えると、クラウドの中では「機械を置く」のではなく、「ソフトで動かす」というのは単なる違いではなく、クラウドの本質そのものなんだなと感じました。
クラウドは「物理的な制約を仮想化で解決する」世界。
この仕組みがあるからこそ、物理機器を置けない環境でも
オンプレミス(データセンター)と同じようにFortigateを動かせるんだと納得できました。
単なる「物理と仮想の違い」という理解から、
「クラウドの仕組みだからこそ仮想Fortigateが必要になる」という理解に変わった瞬間でした。
今私がやっていること
IBM Cloud側ではベアメタルサーバーの上にRHEL9を構築し、
その中でFortigateの仮想版(Fortigate-VM)を動かす構成になっています。
私はこのうち、RHEL9の構築部分を担当しており、
KVMの導入やネットワーク設定など、Fortigateが動くための土台づくりを進めています。
以前にベアメタルサーバーやベアメタル型ハイパーバイザーについて記事を書いたことで、
今の自分がどの部分を担当しているのかをイメージできるようになりました。
ブログを続けていてよかったなと思いました。
まとめ
今回のVPN刷新案件は、自分にとって「ネットワークの世界への入り口」でした。
最初は専門用語ばかりで戸惑いましたが、
仕組みを図で理解していくうちに、「なるほど、こうやって会社のシステムは安全につながっているんだ」と実感できるようになりました。
今後も、現場で学んだことを少しずつブログに残していこうと思います。
Discussion