セキュリティ対策からクラウド間接続まで
Vyatta――クラウド時代の仮想ルータ活用術：実践編

松本直人
日本Vyattaユーザー会　運営委員
さくらインターネット研究所　上級研究員
2010/12/8

クラウドとクラウドをつなぐ「クラウドブリッジ」

　Vyattaには最近、クラウドとクラウドなどをLAN間接続する「クラウドブリッジ」（Layer 2 Bridging）機能が加わりました。

　これはOpenVPNによる相互接続で実現され、ルータそれぞれのeth1インターフェイスに接続されるネットワークは同一LANとして見えるようになります。これにより、セグメント分割やルーティング設定などの作業から解放され、より柔軟に、クラウド環境や自社データセンター設備との間で設定を共有することができます。

図1　クラウドブリッジ機能

　注意点としては、shared-secret-key-fileで示される鍵ファイルは事前に相互で共有しておき、それをお互いで利用するようにしましょう。またVMwareなどの仮想化環境で利用する場合には、対応する仮想スイッチのプロパティ中のセキュリティ欄にある「無差別モード」を「承諾」にするなどの変更が必要なことに注意しましょう（注）。

R-A # set interfaces bridge br0 R-A # set interfaces ethernet eth1 bridge-group bridge br0 R-A # set interfaces openvpn vtun0 bridge-group bridge br0 R-A # set interfaces openvpn vtun0 mode site-to-site R-A # set interfaces openvpn vtun0 remote-host B.B.B.B R-A # run vpn openvpn-key generate /root/key R-A # set interfaces openvpn vtun0 shared-secret-key-file /root/key R-B # set interfaces bridge br0 R-B # set interfaces ethernet eth1 bridge-group bridge br0 R-B # set interfaces openvpn vtun0 bridge-group bridge br0 R-B # set interfaces openvpn vtun0 mode site-to-site R-B # set interfaces openvpn vtun0 remote-host A.A.A.A R-B # set interfaces openvpn vtun0 shared-secret-key-file /root/key ← R-Aと同じファイル

クラウドブリッジ機能の設定

注：このモードが「拒否」の場合、クラウドブリッジ機能が不完全に動作します。

【関連記事】 ゼロ円でできるインターネットVPN http://www.atmarkit.co.jp/flinux/special/openvpn/openvpna.html

IPv6による各種設定も可能

　VyattaはIPv4だけでなく、IPv6にも対応しています。IPv6によるルーティングやファイアウォール設定も、以下のとおり、IPv4と同様に行うことができます。

# set interfaces ethernet eth0 address 2001:db8:a::1/64 # set interfaces ethernet eth1 address 2001:db8:b::2/64 # delete system ipv6 disable-forwarding # set protocols static route6 ::/0 next-hop 2001:db8:a::99/64 # set firewall ipv6-name FWv6 default-action reject # set firewall ipv6-name FWv6 rule 66 source address 2001:db8:a::0/64 # set firewall ipv6-name FWv6 rule 66 action accept # set interfaces ethernet eth0 firewall in ipv6-name FWv6 # commit # save # run show firewall -------------------------------------------------------------------------------- IPv6 Firewall "FWv6": Inactive - Not applied to any interfaces, zones or for content-inspection. (State Codes: E - Established, I - Invalid, N - New, R - Related) rule action source destination proto state ---- ------ ------ ----------- ----- ----- 666 ACCEPT 2001:db8:a::0/64 ::/0 all any 10000 REJECT ::/0 ::/0 all any #

IPv6の設定例

　IPv6ルーティングプロトコルとしては、RIPng、BGP4+、OSPF3などもサポートしています。昨今のIPv4アドレス枯渇対策の1つとして、いろいろと実験してみるといいかもしれません。仮想ルータの手軽さはこんなところにも役立ちます。

Vyattaならではの柔軟な拡張性

　VyattaはベースとなるOSにLinuxを採用しています。このため既存ルータとは異なり、さまざまな機能を後から自由に追加することが可能なのです。

　Linuxコマンドを追加するには、まずパッケージレポジトリのコマンドを入力し、パッケージを追加していきます。サーバ管理者の方にはおなじみの方法だと思います。ここではパケットをリアルタイムにモニタリングするvnStatを追加してみました。

$ configure # set system package repository lenny components main # set system package repository lenny url http://cdn.debian.net/debian # set system package repository lenny distribution lenny # commit # save # sudo aptitude update # sudo apt-get install vnstat # vnstat -l -i eth0 Monitoring eth0... (press CTRL-C to stop) rx: 12.91 kB/s 44 p/s tx: 44.25 kB/s 51 p/s</pre>

vnStatを追加

　このようにVyattaは、既存ルータ製品よりも高い柔軟性と拡張性を備えた、オープンソースによるルータソフトウェアであるともいえます。

　昨今のクラウドコンピューティング環境においては、物理的なハードウェアの制約を受けることなく自由に拡張可能な仮想ルータや仮想アプライアンスの存在が欠かせません。ルータやサーバの垣根なく、クラウドコンピューティング環境を自由自在に扱うためのスキルの1つとしてVyattaの扱い方を覚えていくと、これからの運用方法の幅も広がってくるでしょう。

　以上で、Vyattaの基本的な機能と設定方法の紹介を終わります。仮想化が浸透するこれからの時代に向けて、ぜひ試してみてください。ご拝読、誠にありがとうございました。

Vyatta――クラウド時代の仮想ルータ活用術：実践編
	設定投入のおさらい ルータと同じように設定できるファイアウォール機能 DoS対策機能でリソースを一括保護
	クラウドとクラウドをつなぐ「クラウドブリッジ」 IPv6による各種設定も可能 Vyattaならではの柔軟な拡張性

「Master of IP Network総合インデックス」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）