こんにちは!ソラコム ソリューションアーキテクトの渡邊(ニックネーム: dai)です。
SORACOM Discovery 2024で発表された VPG(Virtual Private Gateway)の Type-F2 はもう試されましたか。このブログでは、前回の ソラコムのエンジニア 松本(ニックネームはysk “ユウスケ”) の「閉域網内の双方向通信がもっと簡単に、新しいVPG Type-F2が登場しました」ブログに続き、VPG の “ユウスケーす”、もとい、”ユースケース” をアップデートしてご紹介します!
VPGにおける、現行のTypeの一覧と、Type-F2 の特徴
まずは VPG の各 Type について、簡単におさらいです。
VPG の各Typeは最大収容可能回線数が大きく異なります。ベースとなる考え方は、ご検討中のIoTシステムの回線数です。
- 1,000 回線以下の場合は Type-E
- 1,001 〜 100,000 回線以下の場合は Type-F
- 100,001 回線以上の場合は Type-G
以上のようにお考え下さい。また、各種オプション機能や特殊な用途によっても変わってきます。
例えば、お客様ネットワークとのプライベート接続が必要な場合や、SIMベースルーティングが必要な場合には Type-F、プライベート接続されたネットワーク内で常時双方向のIP通信やルーティング設定が必要な場合には Type-F2、大規模案件で特殊なネットワーク要件や大容量データを扱う場合には Type-G が適しています。
VPG Type-F2 の作り方
では、VPG Type-F2 を作ってみましょう。と言っても、ユーザードキュメントを見ながら進めるだけで簡単に作れますので、詳しくはそちらを参照ください。ここではVPG Type-F2作成の際に気をつけておきたい点などをご紹介したいと思います。
VPG Type-F2の作成手順では、ASNの設定が新たに追加されています。
ASN (Autonomous System Number) とは、BGP (Border Gateway Protocol) ルーティングにおいて使用される一意の識別子です。AS (Autonomous System) は、単一のネットワークまたは一連のネットワークを指し、同一の管理ポリシーの下で動作するネットワークを表します。
これは、SORACOM Canal / Door / Direct でお客様のVPC(Virtual Private Cloud)やオンプレミスネットワークを接続する際に、BGPを介してルーティング情報を交換するための情報です。既にお使いのネットワークでASNを使用している場合、それらと重複しない番号をここで設定する必要があります。
お客様ネットワークとのプライベート接続 を行う場合は、VPGの作成に続いて各種閉域サービスのセットアップが必要です。
- SORACOM Canal(カナル)ー Amazon VPC Peering もしくは AWS Transit Gateway による閉域接続
- SORACOM Door(ドア)ー IPSec VPN による閉域接続
- SORACOM Direct(ダイレクト)ー 専用線によるクラウド・オンプレミス接続
SORACOM Canalでは、VPG Type-F2 向けに、Transit Gateway VPC アタッチメント接続 と Transit Gateway ピアリング接続 が新たに追加されました。ソラコムのTransit Gatewayに対して、Transit Gateway アタッチメント接続をするか、Transit Gateway ピアリング接続をするか選択してください。
ここからは、ユースケースに沿って、VPG Type-F2 の特徴を活かした使いこなしのポイントを見ていきましょう。
【ユースケース1】Type-F (Gate C2D) からの移行
VPG Type-F2 が登場したことで、「今使っているVPGからの移行が必要か?」という疑問があるかと思います。多くのお客様では「現行の VPG をそのままお使い頂く」が答えです。ただし、冒頭のブログでも触れられている通り GatePeer 分の運用コストを削減できる可能性があるため、Type-F で Gate C2D をご利用されているケースでは、VPG Type-F2 への移行を検討する価値があります。
VPG Type-F から Type-F2 への以降手順は、以下のようになります。VPGを新たに作り直す形で、現在の VPG Type-F から 直接アップグレードはできません。
- ステップ 1: 移行先の VPG Type-F2 を作成し、移行元と同じ設定を適用する (固定グローバルIPアドレスオプションの移行が必要な場合にはお問い合わせください)
- ステップ 2: 対向の Amazon VPC やネットワークを設定する
- ステップ 3: 移行元の SIM グループを複製する (グループに関連づけられた監視設定は複製されないのでご注意ください)
- ステップ 4: 移行先の SIM グループで利用する VPG を設定する
- ステップ 5: 移行する IoT SIM の一部について移行先の SIM グループに所属させる
- ステップ 6: セッションを再確立して IoT SIM が利用する VPG を切り替える
- ステップ 7: 他の IoT SIM についても順次移行する
- ステップ 8: 移行元の GatePeer と VPG を削除する
注意点として、ステップ 2 で移行元と移行先の2つのVPGが同時にお客様ネットワークへ接続されることがあります。
移行元と移行先で VPG のデバイスサブネット に異なるアドレスレンジを使用している場合、お客様ネットワーク側で適切にルーティング設定をすることで同時接続が可能です。しかし、同一のアドレスレンジを使用している場合は、宛先が重複し適切にルーティングできません。移行の際は後者のケースが多いと思いますので、メンテナンスの期間を確保し、サービス中断を前提に移行作業を計画してください(前者のケースでも ステップ 6 で一時的なセッション切断が必要です)。
【ユースケース2】IPアドレスを使用したデバイスへのリモートアクセス
次に紹介するのは、VPG Type-F2 の特徴である常時双方向のIP通信を利用したケースです。
VPG Type-F や Type-G において、お客様ネットワークとのプライベート接続を行った場合、デバイスのIPアドレスは VPG による CGNAT (Carrier Grade NAT) が行われ、VPG IP アドレスレンジ としてお客様ネットワークに見えていました。VPG Type-F2 ではこの CGNATが取り除かれ、VPG に接続する IoT SIM の IP アドレス がそのままお客様ネットワークに見えるようになります。つまり、デバイスが実際に保持しているIPアドレスを使用してデバイスを識別したり、IPベースのプロトコルを使ったり、リモートアクセスを行ったりできるようになります。このようなケースでは、VPG Type-F2 が最適です。
注意点として、IoT SIM の IPアドレス割り当て方式があります。
ここに記載の通り、デフォルトではIPアドレスは自動的に割り当てられるため、再接続時にIPアドレスが変わる可能性があります。IPアドレスを使ったリモートアクセスを行う際に、別のデバイスへ接続してしまうことを避けるため、デバイスLAN設定のIPアドレスマップ機能を利用してIMSIごとにIPアドレスを固定することができます。
【ユースケース3】プライベート接続によるデータ通信(双方向通信なし)
では、リモートアクセスなどの双方向通信が必要ない場合はどうでしょう。このケースの目的は、秘匿性の高いデータを扱うためにお客様ネットワークとのプライベート接続のみを必要としているケースです。
VPGをご利用する目的が、閉域ネットワークでのデータの秘匿のみの場合には、従来の VPG Type-F をご利用頂くのが最適です。VPG Type-F2 の特徴は CGNATが無いことですが、センシティブなデータを扱う場合、閉域網内であってもデバイスへのIPアドレスによるアクセスが自由に行えることは望ましくないことが多いためです。
一時的にリモートアクセスが必要な場合は、Gate D2D や SORACOM Napter を利用できます。
次に、料金面でも比較してみましょう。
料金表を見ると、VPG Type-F と Type-F2 では基本料金が異なります。お客様ネットワークへの接続は、SORACOM Canal では接続方法により一部違いがありますが、SORACOM Door / Direct やオプションの費用は同じです。そのため、基本料金が安い VPG Type-F を利用するのが良いでしょう。
【ユースケース4】インターネットへのアクセス
最後によく頂くお問い合わせとして、インターネットへのアクセスが必要となるケースをご紹介したいと思います。
これは VPG Type-F と Type-F2 での違いはあまり無いので、これまで見てきたリモートアクセス(双方向通信)の有無や、SIMベースルーティングの有無を基準に選べば良いのですが、お客様ネットワークとの接続方法によって最適な構成が変わってきます。
AWSを含むネットワークアーキテクチャのベストプラクティスとして、インターネットに向かうすべてのネットワークトラフィックに共通検査ポイントを 1 つ使用するというものがあります。平たく言うと、例えば、Network Firewall や Packet Inspection を行う際に、複数のネットワークから個々にインターネットアクセスすると、セキュリティやコストの面でデメリットが大きいため、インターネットアクセスを一元化するのが望ましい、ということです。
VPG は作成時に「インターネットゲートウェイ」の設定を選択できますが、作成後に設定を変更できないため、インターネットアクセスの一元化を考慮したネットワーク設計が必要です。
- VPG Type-E の場合、インターネットアクセス設定は「ON」固定です。
- VPG Type-F / Type-F2 / Type-G の場合、お客様ネットワーク側でインターネットアクセスが必要なければインターネットゲートウェイを「ON」にしても構いません。しかし、お客様ネットワーク側からもインターネットアクセスが必要な場合は、インターネットゲートウェイを「OFF」にして、インターネットアクセスの一元化をご検討ください。
お客様ネットワークからインターネットアクセスさせるためには、VPG を通過するすべてのトラフィックをお客様ネットワークへルーティングする必要があります。VPG のインターネットゲートウェイ設定を「OFF」にしつつ、Type-F では SORACOM Junction Redirection を利用できますが、VPG Type-F2 ではデフォルトルート (0.0.0.0) の設定が必要です。
まとめ
新しくリリースされた VPG Type-F2 の特徴をもとに、 VPG のよくあるユースケースをアップデートしました。
VPG Type-F2 は、Public Beta としてまだ生まれたばかりのサービスです。お客様のフィードバックをもとに進化を続けていきたいと考えていますので、ぜひ様々なユースケースからのフィードバックをお寄せください!
― ソラコム 渡邊 (dai)