経路フィルタリングによるマルチクラウドの改善方法
- Cloud networking
- 2022年5月10日
マルチクラウド ネットワークの最適化をお考えですか。経路フィルタリングが次の一手となる可能性があります。
企業にとって効率化は最重要課題であり、マルチクラウド ネットワークも例外ではありません。マルチクラウドの普及が進む中、2024 年までに 94% の企業がマルチクラウド ネットワークを導入すると予測されています。今こそ、貴社のセットアップを最大限に活用する方法を検討する時期です。ここで登場するのが経路フィルタリングです。これは、クラウド間のデータの移行や格納を効率的に行うためのマルチクラウド機能です。
仕組み
簡単に言うと、経路フィルタリングは、仮想クラウドのルーティング設定と連動して、近隣のルーターから広報されるまたは受信される経路を識別し、トラフィックを許可または拒否 (つまり、パスを許可または経路を終了) して、ネットワーク経路パスを微調整します。典型的な一連の操作では、1 つ以上の IPv4 または IPv6 ネットワーク アドレス (プレフィックス) と、許可または拒否というアクションを含む名前付きプレフィックス フィルター リストを作成することになります。
次に、ピアごとに、このプレフィックス フィルターやその他のプレフィックス フィルターを、仮想クラウド ルーターとそのピア間の受信または送信データ パスに適用します。これは、どのクラウドに対してどの経路を検出可能にしたいかを直接指定し、残りを無視することで、ネットワーク経路を簡素化し、複数のクラウド間での過負荷やレイテンシを回避するための便利なツールです。
例えば、Amazon Web Services (AWS) では、BGP (Border Gateway Protocol) のグローバル経路 (他のクラウド プロバイダーのプライベート仮想プライベート クラウドを含む) を 100 本まで自社のクラウドに向けて広報することを許可していますが、これを超えると接続が停止される可能性があります。この問題を軽減するために、経路フィルタリングを使用して不要なパスを排除し、この閾値以下にとどめることで、データ移行が途切れることなく流れるようにすることができます。
AWS、Microsoft Azure、Google Cloud Platform などのクラウド プロバイダーは、インターネット上で利用者がとても簡単に接続できるようにしていますが、Megaport が提供するようなプライベート クラウド接続方式を利用すると、利用者が独自のルーティング テーブルとルーティング ポリシーを管理し、各ピア ルーターとの間でトラフィックが希望通りに流れるようにすることが可能です。
ジオデータのスペシャリストである Fugro Roames 社が MCR を使用してデータを制御した事例をご覧ください。
マルチクラウドにもたらされるメリット
経路フィルタリングにより、以下のような主要なメリットがもたらされ、マルチクラウド ネットワークを次のレベルへと高めることができます。
- さらに細かい制御 - 個々の経路やプレフィックスをフィルタリングすることで、マルチクラウド ネットワークの経路をカスタマイズし、完全にカスタマイズ可能なマルチクラウド体験を実現します。
- ネットワーク パフォーマンスの向上 - 繰り返し経路や不要な経路を避け、最も効果的な経路を利用することでネットワークの効率を最大化し、レイテンシを低減して、よりスムーズで高速なネットワークを実現します。
- セキュリティの強化 - 経路フィルタリングは、ピアリング リンク上で目的の経路のみを許可することで、インターネット上で誤ってトランジット自律システム (AS) になることを防ぎ、ハイジャックなどのサイバー攻撃のリスクを低減し、マルチクラウドをより強固に保護します。
2022 年、マルチクラウドは当たり前の存在になりました。それを使うにはいくつかの方法があります。当社の比較を基にオプションを検討してください。
Megaport Cloud Router の機能としての経路フィルタリング
Megaport Cloud Router (MCR) の経路フィルタリング機能により、マルチクラウド体験の究極の制御が可能になります。MCR を使用すると、クラウド スイート間で広報する経路を簡単に制御でき、ハブアンドスポーク ネットワーク設計 (ピア A と B、A と C の間のルーティングで、ピア B または C に経路を広報しない場合など) を簡素化し、特定のオンプレミス インフラストラクチャをプライベート クラウドに簡単に接続することができます。つまり、あるサブネット上のオフィスが、セカンダリー オフィスのサブネットの存在を広報することなくクラウドとの通信を許可することができ、ネットワークの冗長性を高め、レイテンシやセキュリティ侵害のリスクを低減することができます。
Megaport の MCR 用経路フィルタリング機能では、BGP ネイバーへの経路広報を許可または拒否するための 2 種類の経路フィルターを設定することができます。最初のタイプは BGP ピア フィルターで、経路交換を許可または拒否する BGP ネイバーを指定することができます。2 番目のタイプは BGP プレフィックス フィルターで、経路プレフィックスを使用して IP アドレスの範囲に許可または拒否のフィルターを設定することができます。
最初の方法は、1 対のピア間での一括フィルタリングに理想的です。例えば、AWS、GCP、Azure に接続している場合、すべての経路プレフィックスを AWS にアナウンスし、Azure に対しては GCP のアナウンスを拒否し、AWS に対しては Azure のアナウンスを拒否したい場合があります。下図は、3 つの BCP ネイバー (この例ではさまざまなクラウド接続) が経路フィルタリングを介して相互作用する仕組みを示したものです。
2 番目の方法では、ピアごとに、MCR とピア ルーター間の経路交換をより詳細に制御することができます。この BGP プレフィックス フィルターで、次を作成することができます。
- ホワイトリストを使用した受信プレフィックス フィルタリング - ホワイトリストに一致しない経路は、可能な限り早い段階で拒否され、MCR では使用されません。
- ブラックリストを使用した受信プレフィックス フィルタリング - ブラックリストに一致する経路がフィルタリングされます。それ以外のプレフィックスは、MCR のルーティング テーブルに入ることを許可されます。
- ホワイトリストを使用した送信プレフィックス フィルタリング - プレフィックス リストに一致する経路は BGP ネイバーに広報され、それ以外のすべての経路はフィルタリングされます。
- ブラックリストを使用した送信プレフィックス フィルタリング。
Megaport Cloud Router を使用した経路フィルタリングは、カスタマイズが容易であるため、企業のマルチクラウド インフラストラクチャを効率的かつ安全にピアリングするための優れた方法です。クラウド サービス プロバイダー全体の一括フィルタリングや、特定の指示によるマルチクラウド ネットワークのカスタマイズなど、経路フィルタリングは仮想クラウドに対する究極の制御をもたらし、ネットワークの管理を容易にし、将来的な拡張も可能にします。