経路フィルタリングによるマルチクラウドの改善方法

経路フィルタリングによるマルチクラウドの改善方法

  • 2022年5月10日

マルチクラウド ネットワークの最適化をお考えですか。経路フィルタリングが次の一手となる可能性があります。

企業にとって効率化は最重要課題であり、マルチクラウド ネットワークも例外ではありません。マルチクラウドの普及が進む中、2024 年までに 94% の企業がマルチクラウド ネットワークを導入すると予測されています。今こそ、貴社のセットアップを最大限に活用する方法を検討する時期です。ここで登場するのが経路フィルタリングです。これは、クラウド間のデータの移行や格納を効率的に行うためのマルチクラウド機能です。

仕組み

簡単に言うと、経路フィルタリングは、仮想クラウドのルーティング設定と連動して、近隣のルーターから広報されるまたは受信される経路を識別し、トラフィックを許可または拒否 (つまり、パスを許可または経路を終了) して、ネットワーク経路パスを微調整します。典型的な一連の操作では、1 つ以上の IPv4 または IPv6 ネットワーク アドレス (プレフィックス) と、許可または拒否というアクションを含む名前付きプレフィックス フィルター リストを作成することになります。 

次に、ピアごとに、このプレフィックス フィルターやその他のプレフィックス フィルターを、仮想クラウド ルーターとそのピア間の受信または送信データ パスに適用します。これは、どのクラウドに対してどの経路を検出可能にしたいかを直接指定し、残りを無視することで、ネットワーク経路を簡素化し、複数のクラウド間での過負荷やレイテンシを回避するための便利なツールです。

例えば、Amazon Web Services (AWS) では、BGP (Border Gateway Protocol) のグローバル経路 (他のクラウド プロバイダーのプライベート仮想プライベート クラウドを含む) を 100 本まで自社のクラウドに向けて広報することを許可していますが、これを超えると接続が停止される可能性があります。この問題を軽減するために、経路フィルタリングを使用して不要なパスを排除し、この閾値以下にとどめることで、データ移行が途切れることなく流れるようにすることができます。

AWS、Microsoft Azure、Google Cloud Platform などのクラウド プロバイダーは、インターネット上で利用者がとても簡単に接続できるようにしていますが、Megaport が提供するようなプライベート クラウド接続方式を利用すると、利用者が独自のルーティング テーブルとルーティング ポリシーを管理し、各ピア ルーターとの間でトラフィックが希望通りに流れるようにすることが可能です。

ジオデータのスペシャリストである Fugro Roames 社が MCR を使用してデータを制御した事例をご覧ください。

マルチクラウドにもたらされるメリット

経路フィルタリングにより、以下のような主要なメリットがもたらされ、マルチクラウド ネットワークを次のレベルへと高めることができます。

  • さらに細かい制御 - 個々の経路やプレフィックスをフィルタリングすることで、マルチクラウド ネットワークの経路をカスタマイズし、完全にカスタマイズ可能なマルチクラウド体験を実現します。 
  • ネットワーク パフォーマンスの向上 - 繰り返し経路や不要な経路を避け、最も効果的な経路を利用することでネットワークの効率を最大化し、レイテンシを低減して、よりスムーズで高速なネットワークを実現します。
  • セキュリティの強化 - 経路フィルタリングは、ピアリング リンク上で目的の経路のみを許可することで、インターネット上で誤ってトランジット自律システム (AS) になることを防ぎ、ハイジャックなどのサイバー攻撃のリスクを低減し、マルチクラウドをより強固に保護します。

2022 年、マルチクラウドは当たり前の存在になりました。それを使うにはいくつかの方法があります。当社の比較を基にオプションを検討してください。

Megaport Cloud Router の機能としての経路フィルタリング

Megaport Cloud Router (MCR) の経路フィルタリング機能により、マルチクラウド体験の究極の制御が可能になります。MCR を使用すると、クラウド スイート間で広報する経路を簡単に制御でき、ハブアンドスポーク ネットワーク設計 (ピア A と B、A と C の間のルーティングで、ピア B または C に経路を広報しない場合など) を簡素化し、特定のオンプレミス インフラストラクチャをプライベート クラウドに簡単に接続することができます。つまり、あるサブネット上のオフィスが、セカンダリー オフィスのサブネットの存在を広報することなくクラウドとの通信を許可することができ、ネットワークの冗長性を高め、レイテンシやセキュリティ侵害のリスクを低減することができます。

Megaport の MCR 用経路フィルタリング機能では、BGP ネイバーへの経路広報を許可または拒否するための 2 種類の経路フィルターを設定することができます。最初のタイプは BGP ピア フィルターで、経路交換を許可または拒否する BGP ネイバーを指定することができます。2 番目のタイプは BGP プレフィックス フィルターで、経路プレフィックスを使用して IP アドレスの範囲に許可または拒否のフィルターを設定することができます。

最初の方法は、1 対のピア間での一括フィルタリングに理想的です。例えば、AWS、GCP、Azure に接続している場合、すべての経路プレフィックスを AWS にアナウンスし、Azure に対しては GCP のアナウンスを拒否し、AWS に対しては Azure のアナウンスを拒否したい場合があります。下図は、3 つの BCP ネイバー (この例ではさまざまなクラウド接続) が経路フィルタリングを介して相互作用する仕組みを示したものです。

2 番目の方法では、ピアごとに、MCR とピア ルーター間の経路交換をより詳細に制御することができます。この BGP プレフィックス フィルターで、次を作成することができます。

  • ホワイトリストを使用した受信プレフィックス フィルタリング - ホワイトリストに一致しない経路は、可能な限り早い段階で拒否され、MCR では使用されません。
  • ブラックリストを使用した受信プレフィックス フィルタリング - ブラックリストに一致する経路がフィルタリングされます。それ以外のプレフィックスは、MCR のルーティング テーブルに入ることを許可されます。
  • ホワイトリストを使用した送信プレフィックス フィルタリング - プレフィックス リストに一致する経路は BGP ネイバーに広報され、それ以外のすべての経路はフィルタリングされます。
  • ブラックリストを使用した送信プレフィックス フィルタリング。 

Megaport Cloud Router を使用した経路フィルタリングは、カスタマイズが容易であるため、企業のマルチクラウド インフラストラクチャを効率的かつ安全にピアリングするための優れた方法です。クラウド サービス プロバイダー全体の一括フィルタリングや、特定の指示によるマルチクラウド ネットワークのカスタマイズなど、経路フィルタリングは仮想クラウドに対する究極の制御をもたらし、ネットワークの管理を容易にし、将来的な拡張も可能にします。

MCR がマルチクラウド機能にどのような革新をもたらすか、その詳細をご覧ください。

タグ:

関連記事

NaaS を使用してプロビジョニングを簡素化する方法

NaaS を使用してプロビジョニングを簡素化する方法

2021 年のビジネスには、迅速でシンプルなクラウド プロビジョニングが欠かせません – それを実現する鍵が Network as a Service の導入です。

続きを読む
Q-in-Q に関するよくある質問: パート 1

Q-in-Q に関するよくある質問: パート 1

この 2 回に分かれたブログ シリーズでは、VLAN 二重タギングに関する基礎を扱います。VLAN タギングは Q-in-Q とも呼ばれ、IEEE の定義による正式名称は 802.1ad です。 **VLAN タギングとは何ですか?**ネットワーク スイッチには 2 種類のポートがあります。 ほとんどのベンダーは、「トランク ポート」や「アクセス ポート」などの用語を使って区別しています。 アクセス ポートは、1 つの VLAN ID が伝送されるポートで、トランク ポートは複数の VLAN 専用トラフィックを伝送します。 トランク ポートでは、どのトラフィックがどの VLAN ID 内に送信されるかを決定するためのポリシーが必要です。 そこで、VLAN タギング 802.1q を定義する技術規格が開発されました。この規格の VLAN タグには、VLAN ID や、802.1q 規格によって指定されるその他の情報などが含まれています。**802.1q (シングル タグ付き VLAN フレーム) の技術概要はどのようなものですか?**トランク ポートを介して伝送される VLAN に属するイーサネット フレーム (物理層通信伝送装置) には、802.1q ヘッダーが追加されます。 下の図を参照してください。 **Q-in-Q とは何ですか?**Q-in-Q (正式な定義では 802.1ad) は、レイヤー 2 ネットワークを処理する際に柔軟性のある追加レイヤーを提供するために、802.1q (VLAN タギング) に基づいて開発されました。 元々は、ネットワーク サービス プロバイダー (NSP) がトランク ポート機能を柔軟に処理できるように設計されたものですが、同じ VLAN を再利用したいと考える複数の顧客の接続にも対応しています。Q-in-Q トンネリングを利用すると、NSP は、顧客から送受信される既にタグ付けされたトラフィックに別の VLAN タグを追加することで、すべての VLAN トラフィックを 1 つの VLAN に統合できます。追加のタグにより、NSP は異なる顧客のトラフィックを特定して分離することができます。これら 2 つのタグは、イーサネット フレーム内で「内部タグ」および「外部タグ」と呼ばれることがあります。 「内部タグ」には、NSP の顧客のトラフィックに属する VLAN 情報が含まれます。 「外部タグ」には、NSP の VLAN ネットワークに関連する情報が含まれます。元々、Q-in-Q/802.1ad は、NSP が顧客に対して透過的に追加/削除 (いわゆる外部タグの「プッシュ」と「ポップ」) を行うために設計されましたが、1 つの VXC 上でさまざまな VLAN を伝送するために日常的に利用されています。これにより、例えば、Megaport を利用しているパートナーが複数の顧客ネットワークの代理でトラフィックを集約できるようになり、同じアグリケーターを使用している他の顧客が同様のグループの VLAN ID を使用する場合でも、2 つのネットワーク ロケーション間で単一の VXC として透過的に伝送することができます。Q-in-Q フレーム方式 (802.1ad) とは何ですか?

続きを読む
Firewall as a Service (FWaaS) について

Firewall as a Service (FWaaS) について

自宅を誰でも出入り自由にしている人はいないでしょうが、それはネットワークでも同じです。ここでは、Firewall as a Service (FWaaS) がクラウド インフラストラクチャそれ自体のセキュリティ ガードとして機能し、より優れたデータ保護を実現する仕組みを紹介します。 サイバー攻撃がこれまで以上に頻繁かつ高度になっている現在ほど、ネットワーク セキュリティを再考することが重要な時期はありません。クラウドの可能性に気づき、Network as a Service (NaaS) や [Software as a Service](https://azure.microsoft.com/en-gb/resources/cloud-computing-dictionary/what-is-saas/#:~:text=Software as a service (SaaS,from a cloud service provider.) (SaaS) などの「サービスとしての」ソリューションに目を向けてクラウド技術の多くの利点を活用する企業が増える中、ネットワークの保護を支援する別のクラウド ソリューションが登場しています。それは、サービスとしてのインフラストラクチャ (IaaS) であり、具体的には FWaaS (Firewall as a Service) のことです。 「サービスとしての」モデルとは、IT サービスをオンデマンドで、クラウドや Network as a Service Provider (NaaS) を通じて遠隔地から提供することを指します。このようなサービスは、本質的にクラウドネイティブであるため、設備投資がほとんど必要なく、ビジネスの変化するニーズに合わせて拡張することができます。このように、FWaaS は従来のファイアウォールとは異なり、クラウドや NaaS プロバイダーを通じて提供されるため、オンプレミスのインフラストラクチャの設置やハードウェアのメンテナンスは必要ありません。 ネットワーク ファイアウォールは建物の警備員に例えることができ、入館しようとする人物の身元を確認し、許可されていない人の入館を拒否します。ネットワークのファイアウォールも同様の役割を担っており、侵入しようとするトラフィックを検査することで、未知の脅威や不要な脅威からネットワークを保護することができます。 企業のグローバル化や遠隔地化が進む以前は、オフィス内に設置された従来のファイアウォールで十分であり、IT 部門はファイアウォールを本来の設置場所以外に拡張する必要はありませんでした。しかし今日では、ファイアウォールの境界は大きく拡張され、グローバルな労働力の需要に対応するエンドポイントや、ネットワークの境界が明確に定義されていないデバイスが至る所に存在しています。 Firewall as a Service (FWaaS) の仕組み FWaaS は、企業ネットワークとパブリック インターネットとの間に位置し、複数のフィルタリングとセキュリティ対策により、企業のアーキテクチャをサイバー攻撃から保護し、脅威がネットワークに侵入するのを防ぎます。脅威を検知した際の自動対応、完全なイベント記録、侵入防止システム (IPS)、ドメイン ネーム システム (DNS) のセキュリティなど、さまざまな対策が施されています。

続きを読む