はじめに

　Amazon CloudFrontは、Webコンテンツをスピーディかつ効率的にデリバリすることを可能にする、CDN (Contents Delivery Network) のマネージドサービスです。
　このようなCloudFrontですが、本記事は構成、機能、性能、セキュリティ、信頼性、運用性の観点で整理してみました。

• はじめに
• 構成
• 機能
• 性能
• セキュリティ
• 信頼性
• 運用性
• まとめ
• おわりに

構成

　ユーザがディストリビューション (=エッジ) が持つドメインへリクエストし、キャッシュヒットした場合はそのままレスポンスしますが、キャッシュミスした場合はビヘイビア (=ルール) に従いオリジンにリクエストし、データをキャッシングのうえ、ユーザにレスポンスする、というフローとなります。

　構成は1つのドメインにつき1つのディストリビューションを作成し、1つのディストリビューションにつき複数のオリジンとビヘイビアを定義します。オリジンはAPI gateway、Media Package、S3、Elastic Load Balancer、MediaStoreが選択可能です。その他、ディストリビューションはWAF、ビヘイビアはCloudFlontの前後でCloudFront FunctionもしくはLambda@Edgeの処理を実行するオプションが選択可能です。

　下記の例では、xxxxxxxxxxxxxx.cloudfront.netというドメインのディストリビューションを作成し、API Gateway、Application Load Balancer、S3のオリジンを定義し、/api/*パスの場合はAPI Gatewayへ、/alb/*パスの場合はALBへ、それ以外はS3へリクエストするビヘイビアを定義した構成です。

機能

　キャッシングは、キャッシュポリシー、オリジンリクエストポリシー、レスポンスヘッダーポリシーの組み合わせで制御します。ユーザはカスタムポリシーも作成できますが、特殊な要件が無いようならAWSマネージドポリシーから選択すればOKかと思います。

　キャッシュTTLは、オリジンとCloudFrontで制御することが可能です。
　オリジンで制御する場合、オリジン環境次第で変わりますが、例えばS3の場合はオブジェクトのメタデータにcache-control: max-age=Xを設定します。CloudFrontで制御する場合、上記の通りキャッシュポリシーで最大TTL、最小TTL、デフォルトTTLを設定します。
　両方とも設定した場合、オリジンよりCloudFrontの方が優先されるためご注意下さい。

性能

　エッジ (CloudFront)・オリジン (S3/API Gateway) の静的・動的コンテンツにcurlコマンドを実行し、全体処理時間 (time_total) と最初の転送までの時間 (time_starttransfer) を計測した結果は以下の通り。動的コンテンツより静的コンテンツの方が短縮される時間は大きいことが分かります。

for i in `seq 1 10`;\
do curl -s -o /dev/null -w\
 "time_tolal: %{time_total} / time_starttransfer: %{time_starttransfer}\n"\
 https://xxxxxxxxxxxxxx/;\
done

　エッジ (CloudFront) のコンテンツに圧縮オプションを付与したcurlコマンドを実行し、ダウンロードサイズ (size_download) を計測した結果は以下の通り。非圧縮よりGzip圧縮、Gzip圧縮よりBrotli圧縮の方がサイズは小さいことが分かります。

curl -s -o /dev/null -w "size_download: %{size_download}"\
 https://xxxxxxxxxxxxxx/compress.txt
curl -s -o /dev/null -H 'Accept-Encoding:gzip' -w "size_download: %{size_download}"\
 https://xxxxxxxxxxxxxx/compress.txt
curl -s -o /dev/null -H 'Accept-Encoding:br' -w "size_download: %{size_download}"\
 https://xxxxxxxxxxxxxx/compress.txt

セキュリティ

　オリジンへのリクエストに対して、ソースをCloudFrontだけに制御することが可能です。

• S3の場合、CloudFrontのオリジンでOAC (Origin Access Control) を作成・設定
  S3のバケットポリシーでOAC設定時にコピー可能なポリシーを設定

• API Gatewayの場合、API Gatewayのリソースでメソッドを選択のうえAPIキー必須を設定
  CloudFrontのオリジンでカスタムヘッダとしてX-API-Keyを設定

　ユーザからのリクエストに対して、アクセスできる・できない国を制御することが可能です。

• CloudFrontのディストリビューションのセキュリティでアクセスできる・できない国を設定

　ユーザからのリクエストに対して、署名付きCookieで制御することが可能です。

• CloudFrontのパブリックキーで公開鍵^(注4)を設定のうえキーグループを作成
• CloudFrontのビヘイビアでビューワアクセス制限のためのキーグループを選択
• オリジンで秘密鍵^(注4)により署名付きCookieを作成するように設定
  (注4) 公開鍵・秘密鍵はOpenSSHなどで別途作成しておく

　オリジンへのリクエストに対して、フィールドレベル暗号化で暗号化することが可能です。

• CloudFrontのフィールドレベル暗号化でプロファイルを作成・設定
• CloudFrontのビヘイビアでフィールドレベル暗号化の設定IDを入力。
• オリジンでデータを複合するように設定

信頼性

　プライマリオリジンがダウンしたりアクセスできない場合でも、セカンダリオリジンへリクエストのうえコンテンツをデリバリし、サービスの可用性を向上させます。

• CloudFrontのオリジンでプライマリオリジンとセカンダリオリジンを作成
• CloudFrontのオリジンでプライマリオリジン、セカンダリオリジン、フェイルオーバー基準としてエラーコードを選択のうえオリジングループを作成
• CloudFrontのビヘイビアでオリジングループを設定

　オリジンがダウンしたりアクセスできない場合、予め準備されたエラーページを表示することで、ユーザに不用意な情報を提供することを防ぎます。

• CloudFrontのエラーページでエラーコード、レスポンスファイルパス、レスポンスコードを選択のうえカスタムエラーレスポンスを作成

運用性

　CloudFrontのメトリクスをモニタリングすることが可能です。

• CloudFrontのモニタリングでリクエスト数、データ転送サイズ、エラーレート、キャッシュヒットレート、オリジンレイテンシーなどのメトリクスを表示

まとめ

　CloudFrontについて構成、機能、性能、セキュリティ、信頼性、運用性の観点で紹介しました。
本記事内容は、AWS workshop studioでも体験できますので是非お試し下さい。

おわりに

　CloudFrontを設計・構築される方にとって、本記事内容がご参考になりますと幸いです。

ランキング参加中

ネットワーク（Network）

はじめに

　証明書は自分で触れる機会が少ないため、勉強がてらAWS ALBのサーバ/クライアント認証について検証してみました。本記事は、検証で整理できた処理および実装フローを記載してます。

• はじめに
• 処理フロー
• 実装フロー
  • 事前準備
  • サーバ認証
  • クライアント認証
• まとめ
• おわりに

処理フロー

　下記のSSLハンドシェイクの流れで、サーバおよびクライアントの真正性を証明します。
その他、暗号化による盗聴の防止や、電子署名による改ざん防止にも有効です。

1. クライアントからサーバへSSL/TLS通信をリクエスト。
2. サーバからクライアントへサーバ証明書を送付。
3. クライアントはルート証明書を用いてサーバ証明書を確認 (サーバ認証)。
4. クライアントからサーバへクライアント証明書を送付。
5. サーバはルート証明書を用いてクライアント証明書を確認 (クライアント認証)。
6. クライアントとサーバ間で共通鍵の鍵交換を実施。
7. クライアントとサーバ間でSSL/TLS通信を実施。

実装フロー

　下記の構成をベースに、ALBのサーバ認証/クライアント認証を実装するフローを説明します。
処理フローで言うところのサーバはALB、クライアントはUserが該当します。

事前準備

　サーバ認証/クライアント認証の成否を確認するためのWebサーバを構築します。

1. VPCを作成
   
   • VPC×1、Private Subnet×2、Public Subnet×2、Route Table×2を作成。
   • Route Tableの1つはPrivate Subnet×2、もう1つはPublic Subnet×2へ関連付け。
2. EC2 Instanceを作成
   
   • 下記のユーザデータが設定されたEC2 Instance×2、Security Group×1を作成。
     (NATGWを作成する等し、一時的にインターネットに接続する必要あり。)

#!/bin/bash
yum install httpd -y
systemctl start httpd.service
systemctl enable httpd.service
touch /var/www/html/index.html
echo "web1" | tee -a /var/www/html/index.html

　※最後の一文は、2つ目のEC2 Instanceでは"web1"を"web2"に変更して下さい。

サーバ認証

　サーバ認証で必要となるドメインや証明書を取得・作成のうえデプロイします。

1. Route53でホストゾーンを作成
   
   • ドメイン名は、取得済みドメインを入力。ドメインは、ドメイン管理サービスを提供する「お名前.com」で取得。
   • タイプは、パブリックホストゾーンを入力。
   • その他は、デフォルトのままでOK。
   • ホストゾーンが作成できたら、トラフィックのルーティング先をNSレコードとして、ドメイン管理サービスに登録。

Route53 画面

ドメイン管理サービス画面

2. ACMでサーバ証明書を作成
   • 証明書をインポートする場合
     • Linux上で下記のコマンドを実行し、秘密鍵/証明書、CSRファイルを作成。作成中に求められるCommon Nameは取得済みドメイン、それ以外は初期値でOK。
     • 証明書本文は、証明書の中身を転記。
     • 証明書のプライベートキーは、秘密鍵の中身を転記。
     • その他は、デフォルトのままでOK。

# 秘密鍵を作成
openssl genrsa -out private.key
# CSRファイルを作成
openssl req -new -key private.key -out server.csr
# 証明書を作成
openssl x509 -req -days 365 -in server.csr -signkey private.key -out server.crt

• ブラウザがGoogle Chromeの場合、ERR_CERT_AUTHORITY_INVALIDメッセージで認証が失敗しますが、Subject Alternative Nameパラメータで解決します。

# 秘密鍵を作成
openssl genrsa -out private.key
# CSRファイルを作成
openssl req -new -key private.key -out server.csr
# EXTファイルを作成
echo "subjectAltName = DNS:<取得済みドメイン>" > san.txt
# 証明書を作成
openssl x509 -req -days 365 -in server.csr -signkey private.key -out server.crt -extfile san.txt

• 証明書をリクエストする場合
  • 証明書タイプは、パブリック証明書を選択。
  • ドメイン名は、取得済みドメインを入力。
  • 検証方法は、DNS検証を選択。
  • その他は、デフォルトのままでOK。
  • サーバ証明書が作成できたら、ドメイン所有者を確認するためRoute53にCNAMEレコードを登録。

ACM 画面

Route53 画面

3. ALBを作成
   • ターゲットグループを作成。
     • ターゲットタイプは、インスタンスを選択。
     • ターゲットグループ名は、任意の文字列を入力。
     • ターゲットのプロトコルはHTTPを選択し、ポートは80を入力。
     • VPCは、作成済みVPCを選択。
     • ターゲットは、作成済みEC2 Instance×2を選択。
     • その他は、デフォルトのままでOK。
   • ロードバランサ―名は、任意の文字列を入力。
   • スキームは、インターネット向けを選択。
   • VPCは、作成済みVPCを選択。
   • サブネットは、作成済みPublic Subnetを選択。
   • セキュリティグループは、作成済みSecurity Groupを選択。
   • リスナーのプロトコルはHTTPSを選択し、ポートは443を入力。
   • デフォルトアクションは作成済みターゲットグループを選択。
   • デフォルトSSL/TLSサーバ証明書は、作成済みサーバ証明書を選択。
   • その他は、デフォルトのままでOK。
   • ALBが作成できたら、ALBのDNSをALIASレコードとして、Route53にを登録。

ALB 画面

Route53 画面

4. IGWを作成
   • IGWを作成し、作成済みVPCにアタッチ。
   • Public Subnetへ関連付けたRoute Tableで0.0.0.0/0のターゲットとしてIGWを登録。
   • Private Subnetへ関連付けたRoute Tableで0.0.0.0/0のターゲットとしてALBを登録。

5. サーバ認証を確認
   • 証明書をリクエストした場合
     • ブラウザで「https://<取得済みドメイン>/」へアクセス。
     • 保護された通信で「web1」もしくは「web2」を表示。

• 証明書をインポートした場合
  • ブラウザで「https://<取得済みドメイン>/」へアクセス。
  • 保護されていない通信で「web1」もしくは「web2」を表示。

• 今回のような自己証明書の場合、下記のような画面が表示されることがありますが、詳細情報を表示のうえ、取得済みドメインにアクセスするを選択。

クライアント認証

　クライアント認証で必要となる証明書を作成のうえデプロイします。

1. S3 Bucketを作成
   • Linux上で下記のコマンドを実行し、ルート/クライアントの秘密鍵/証明書、CSRファイルを作成。作成中に求められるCommon Nameは取得済みドメイン、それ以外は初期値でOK。
   • バケット名は、任意の文字列を入力。
   • バケットのバージョニングは、有効を選択。
   • S3 Bucketが作成できたら、CAバンドル (複数のルート/中間証明書を含むファイルですが、今回はルート証明書のみ) をアップロード。

# ルート秘密鍵を作成
openssl genrsa -out root.key
# クライアント秘密鍵を作成
openssl genrsa -out client.key
# CSRファイルを作成
openssl req -new -key client.key -out client.csr
# ルート証明書を作成
openssl req -new -x509 -days 365 -key root.key -out root.pem
# クライアント証明書を作成
openssl x509 -req -days 365 -in client.csr -CA root.pem -CAkey root.key -set_serial 01 -out client.pem

2. ALBを修正
   • トラストストアを作成。
     • トラストストアの名前は、任意の文字列を入力。
     • 認証局バンドルは、作成済みS3 Bucketにアップロード済みCAバンドルを選択。
     • その他は、デフォルトのままでOK。
   • 相互認証 (mTLS) は、チェックを付けたうえでトラストストアで検証を選択。
   • トラストストアは、作成済みトラストストアを選択。
   • その他は、デフォルトのままでOK。

3. クライアント認証を確認
   • Linux上で下記のコマンドを実行し、「web1」もしくは「web2」を表示。

curl --key client.key --cert client.pem https://<取得済みドメイン>.com/
web1

まとめ

　AWS ALBのサーバ認証/クライアント認証の処理および実装フローを紹介しました。

おわりに

　AWS ALBのサーバ認証/クライアント認証を行われる方にとって参考になりますと幸いです。

ランキング参加中

ネットワーク（Network）

はじめに

　昨年ご紹介したAWS DirectConnectパートナーのチェックポイントですが、BGPパラメータあたりがフワッとした書きっぷりでしたので、実際どう設計するか整理してみました。
　本記事は、AWSハイブリッド接続のBGPパラメータ設計で必要な情報を纏めています。

• 本記事で説明すること
  • DirectConnect(PrivateVIF/TransitVIF)上のBGPパラメータ設計
  • Site-to-Site VPN上のBGPパラメータ設計
    ※ Site-to-Site VPN over DirectConnect(TransitVIF/PublicVIF)もコチラへ含まれます。

• 本記事で説明しないこと
  • DirectConnect(PublicVIF)上のBGPパラメータ設計
  • TGW Connectアタッチメント上のBGPパラメータ設計
  • 仮想ルータ～オンプレミスルータ間のBGPパラメータ設計
  • インターネット上のBGPパラメータ設計
    ※ DirectConnect(PublicVIF)上のBGPパラメータ設計は私が利用しないので割愛します汗

• はじめに
• BGPとは
• BGPパラメータ設計
  • 1. BGPトポロジ
  • 2. BGPメトリック
  • 3. BGPタイマー
• まとめ
• おわりに

BGPとは

　「IPネットワーク上で通信するために必要なルート情報を動的に更新するプロトコルの一つ」とだけ覚えとけば、AWS利用上で困らないと思います(NEの風上にも置けぬ奴と言われそうですが...汗)。
公式サイトで詳しくは説明されていますので、ご興味がある方は是非ご覧下さいませ。

BGPパラメータ設計

　BGPトポロジ、BGPメトリック、BGPタイマーの切り口で考えると理解しやすいかなと思います。こちらの切り口で、DirectConnect冗長構成(パートナー機器なし)、DirectConnect冗長構成(パートナー機器あり)、DirectConnect/Site-to-Site VPN冗長構成の各パターンを見ていきたいと思います。

1. BGPトポロジ

　BGPスピーカーにASNを設定し、BGPピアリングを構成します。

• ASNは64512～65535の範囲より、TGW/VGW、DXGW、パートナー機器、ユーザ機器に違う値を設定してeBGPを構成し、冗長化されたユーザ機器に同じ値を設定してiBGPを構成します[1]。
• BGPピアアドレスは、DirectConnectの場合10.0.0.0/8、172.16.0.0/12、192.168.0.0/16より[2]、Site-to-Site VPNの場合169.254.0.0/16の一部より[3]、/30で設定します。
• BGP認証キーは、ユーザ側で任意の文字列を設定するか、AWS側で自動的に生成します。
  
  AWS Black Belt Online Seminar - AWS Direct Connect - QA
  [1] https://aws.amazon.com/jp/blogs/news/webinar-bb-awsdirectconnect-2021/
  DirectConnect ユーザガイド
  [2] https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html
  Site-to-Site VPN ユーザガイド
  [3] https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNTunnels.html
  

2. BGPメトリック

　BGPピアリングごとのメトリックを設定し、BGPルーティングを制御します。

• 原則として、AWS→オンプレミス通信はAS Path、オンプレミス→AWS通信はLocal Preferenceをユーザ機器に設定のうえ制御します[1]。
• AS PathでなくBGPコミュニティをユーザ機器に設定のうえ制御することもできます。ただし、パートナー機器がAWS定義のBGPコミュニティへ対応していない、パートナー定義のBGPコミュニティのみ対応しているなどの場合もあり、パートナーへ確認する必要があります[2]。
• その他、ASオーバーライドなどがパートナー機器で有効化されてないか、パートナーへ確認する必要があります。
  
  AWS Black Belt Online Seminar AWS Direct Connect
  [1] https://d1.awsstatic.com/webinars/jp/pdf/services/20210209-AWS-Blackbelt-DirectConnect.pdf#page=60
  [2] https://d1.awsstatic.com/webinars/jp/pdf/services/20210209-AWS-Blackbelt-DirectConnect.pdf#page=62

3. BGPタイマー

　BGPピアリングごとのタイマーなどを設定し、BGPフェイルオーバータイムを制御します。

• タイマーはデフォルトでキープアライブ30s、ホールドタイマ90sとなります。CISCO機器等ではホールドタイマが20s以下の場合は警告が表示されます[1]。
• BFDはデフォルトでポーリング間隔300s、リトライ回数3回となります。接続がDirectConnectであり、かつユーザ機器が対応している場合のみ設定できます[2]。
• その他、Graceful RestartはBFDと併用すると、BGPフェイルオーバータイムが長くなる可能性があるため注意が必要です[3]。
  
  AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
  [1] https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf#page=27
  [2] https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf#page=25
  [3] https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf#page=26

まとめ

　AWSハイブリッド接続のBGPパラメータは、以下の切り口で考えると理解しやすいです。

• BGPスピーカーにASNを設定し、BGPピアリングを構成します。
• BGPピアリングごとのメトリックを設定し、BGPルーティングを制御します。
• BGPピアリングごとのタイマーなどを設定し、BGPフェイルオーバータイムを制御します。

おわりに

　AWS ハイブリッド接続のBGPパラメータを設計される方々にとって、本記事がご参考になりますと幸いです。

ランキング参加中

ネットワーク（Network）

はじめに

　ここ最近、TGW Connectアタッチメント接続するための検証環境を構築することが多々ありますが、この度CFn提供待ちに痺れを切らして、カスタムリソースを作ったので本記事を書きました。
　カスタムリソースは可読性や保守性を考えると使いどころが難しいですが、もし作成される場合には本記事を一例としてご参考にしていただけますと幸いです。

• はじめに
• TGW Connectアタッチメント接続構成
• カスタムリソースの概要
• カスタムリソースの作成
  • VPC
  • TGW
  • EC2
  • カスタムリソース
• つまづきポイントと解決方法
  • CloudFormation/Lambdaのコーディング
  • CloudFormation/Lambdaのトラブルシュート
• まとめ
• おわりに

TGW Connectアタッチメント接続構成

　TGW～仮想アプライアンスをBGP over GRE接続する場合、Connectアタッチメントを利用します。Connectアタッチメントは、以下の流れで作成します。

1. TGW～VPC(仮想アプライアンスあり)をVPCアタッチメントで接続する
2. トランスポートアタッチメント(GREトンネルアドレスをルーティングするため)としてVPCアタッチメントを指定し、Connectアタッチメントを作成する
3. さらにConnectアタッチメント内にConnectピアを作成し、GREおよびVPNを定義する

　以下の構成を作成する場合、TGW、TGWルートテーブル、VPCアタッチメント、ConnectアタッチメントまでCFnカバーされていますが、ConnectピアのみCFnカバーされていない状況です。
　ちなみに、VPCアタッチメントはGREトンネルアドレスをルーティングするためにAttachする必要がありますが、Association & Propagationする必要はありません。

　CFnロードマップ上、2022.06にカバレッジラベル付与、2023.03にResearching遷移、2023.08にComming Soon遷移、と間も無くカバーされる気もしますが、コレばかりは何とも言えないですね...

カスタムリソースの概要

　それでは、どのようにCFnカバーされていないリソースを構築自動化するのでしょうか。
　CFnはLambdaやSNSを呼び出すカスタムリソースという機能があり、呼び出されたLambdaやSNSで自由度の高いロジックを実装することが可能となっています。
　例えば、CFnカバーされていないConnectピアを作成するLambdaを作成し、カスタムリソースからLambdaを呼び出すといった使い方も考えられます。

　一見すると便利そうですが、IaCの優位点である可読性や保守性が下げてしまう可能性もあります。個人的には、カスタムリソース検討時に以下のチェックポイントで確認するように心掛けてます。

• 更新頻度はほぼなく繰り返し利用するか
• サービス提供するため利用者の作業負担を抑えたいか
• 部分的手動やshell+aws cliで代替できないか

　その他のカスタムリソースに関する詳細な情報は、CloudFormationのユーザガイドをご参照下さい。個人的には、MarketplaceでAMIと一緒に提供されているテンプレートを読む等も勉強になりました。

カスタムリソースの作成

　それでは、以下のミニマム構成(VPC、TGW、EC2、カスタムリソース)を作成していきます。
カスタムリソースは作成時のみ実装し、更新時・削除時が実装できていないためご留意下さい。

VPC

　VPC、Subnet、RouteTableなどを作成します。Route宛先のVPCアタッチメント作成は時間がかかるため、DependsOnにVPCアタッチメントを設定し待機させます。

{
  "Resources" : {
    "Vpc" : {
      "Type" : "AWS::EC2::VPC",
      "Properties" : {
        "CidrBlock" : "10.0.0.0/16",
        "Tags" : [ { "Key" : "Name", "Value" : "vpc" } ]
      }
    },
    "VpcSubnet" : {
      "Type" : "AWS::EC2::Subnet",
      "Properties" : {
        "VpcId" : { "Ref" : "Vpc" },
        "CidrBlock" : "10.0.1.0/24",
        "AvailabilityZone" : { "Fn::Select": [ 0, { "Fn::GetAZs": "" } ] },
        "Tags" : [ { "Key" : "Name", "Value" : "vpc-subnet" } ]
      }
    },
    "VpcRtb" : {
      "Type" : "AWS::EC2::RouteTable",
      "Properties" : {
        "VpcId" : { "Ref" : "Vpc" },
        "Tags" : [ { "Key" : "Name", "Value" : "vpc-rtb" } ]
      }
    },
    "VpcSubnetRouteTableAssociation" : {
      "Type" : "AWS::EC2::SubnetRouteTableAssociation",
      "Properties" : {
        "SubnetId" : { "Ref" : "VpcSubnet" },
        "RouteTableId" : { "Ref" : "VpcRtb" }
      }
    },
    "VpcRtbRoute" : {
      "Type": "AWS::EC2::Route",
      "Properties": {
        "RouteTableId" : { "Ref" : "VpcRtb" },
        "DestinationCidrBlock" : "192.168.1.0/24",
        "TransitGatewayId" : { "Ref" : "Tgw" }
      },
      "DependsOn" : "TgwVpcAttach"
    }
  }
}

TGW

　TGW、RouteTable、VPCアタッチメント、Connectアタッチメントなどを作成します。前述の通り、VPCアタッチメントはAssociation & Propagationしないようにします。

{
  "Resources" : {
    "Tgw" : {
      "Type": "AWS::EC2::TransitGateway",
      "Properties": {
        "AmazonSideAsn" : 64512,
        "DefaultRouteTableAssociation" : "disable",
        "DefaultRouteTablePropagation" : "disable",
        "TransitGatewayCidrBlocks" : [ "192.168.1.0/24" ],
        "Tags" : [ { "Key" : "Name", "Value" : "tgw" } ]
      }
    },
    "TgwRtb" : {
      "Type" : "AWS::EC2::TransitGatewayRouteTable",
      "Properties" : {
        "TransitGatewayId" : { "Ref" : "Tgw" },
        "Tags" : [ { "Key" : "Name", "Value" : "tgw-rtb" } ]
      }
    },
    "TgwVpcAttach" : {
      "Type": "AWS::EC2::TransitGatewayAttachment",
      "Properties": {
        "SubnetIds": [ { "Ref" : "VpcSubnet" } ],
        "TransitGatewayId": { "Ref" : "Tgw" },
        "VpcId": { "Ref" : "Vpc" },
        "Tags" : [ { "Key" : "Name", "Value" : "tgw-vpc-attach" } ]
      }
    },
    "TgwConnectAttach" : {
      "Type": "AWS::EC2::TransitGatewayConnect",
      "Properties": {
        "Options" : { "Protocol" : "gre" },
        "TransportTransitGatewayAttachmentId": { "Ref" : "TgwVpcAttach" },
        "Tags" : [ { "Key" : "Name", "Value" : "tgw-connect-attach" } ]
      }
    },
    "TransitGatewayRouteTableAssociation" : {
      "Type": "AWS::EC2::TransitGatewayRouteTableAssociation",
      "Properties": {
        "TransitGatewayAttachmentId" : { "Ref" : "TgwConnectAttach" }, 
        "TransitGatewayRouteTableId" : { "Ref" : "TgwRtb" }
      }
    },
    "TransitGatewayRouteTablePropagation" : {
      "Type": "AWS::EC2::TransitGatewayRouteTablePropagation",
      "Properties": {
        "TransitGatewayAttachmentId" : { "Ref" : "TgwConnectAttach" }, 
        "TransitGatewayRouteTableId" : { "Ref" : "TgwRtb" }
      }
    }
  }
}

EC2

　EC2、ENI、SecurityGatewayなどを作成します。EC2はMarketplaceからCatalyst 8000Vを起動し、ユーザーデータでGREおよびBGP設定を行います。

{
  "Resources" : {
    "RouterSg" : {
      "Type" : "AWS::EC2::SecurityGroup",
      "Properties" : {
        "GroupName" : "router-sg",
        "GroupDescription" : "router-sg",
        "VpcId" : { "Ref" : "Vpc" },
        "SecurityGroupIngress" : [ { "IpProtocol" : "-1", "FromPort" : "-1",  "ToPort" : "-1",  "CidrIp" : "10.0.0.0/8" } ],
        "SecurityGroupEgress" : [ { "IpProtocol" : "-1", "FromPort" : "0", "ToPort" : "65535", "CidrIp" : "0.0.0.0/0" } ],
        "Tags" : [ { "Key" : "Name", "Value" : "router-sg" } ]
      }
    },
    "RouterEni" : {
      "Type" : "AWS::EC2::NetworkInterface",
      "Properties" : {
        "GroupSet" : [ { "Ref" : "RouterSg" } ],
        "SubnetId": { "Ref" : "VpcSubnet" },
        "PrivateIpAddress" : "10.0.1.254",
        "SourceDestCheck" : "false",
        "Tags" : [ { "Key" : "Name", "Value" : "router-eni" } ]
      }
    },
    "Router" : {
      "Type" : "AWS::EC2::Instance",
      "Properties" : {
        "InstanceType" : "t3.medium",
        "ImageId" : { "Fn::FindInMap" : [ "RouterAmi", { "Ref" : "AWS::Region" }, "AmiId" ] },
        "NetworkInterfaces": [ { "DeviceIndex": "0", "NetworkInterfaceId": { "Ref" : "RouterEni" } } ],
        "UserData" : { "Fn::Base64" : { "Fn::Join" : ["", [
          "ios-config-1=\"interface GigabitEthernet1\"\n",
          "ios-config-2=\" ip address 10.0.1.254 255.255.255.0\"\n",
          "ios-config-3=\"interface Tunnel1\"\n",
          "ios-config-4=\" ip address 169.254.6.1 255.255.255.248\"\n",
          "ios-config-5=\" tunnel source GigabitEthernet1\"\n",
          "ios-config-6=\" tunnel destination 192.168.1.1\"\n",
          "ios-config-7=\"ip route 192.168.1.0 255.255.255.0 10.0.1.1\"\n",
          "ios-config-8=\"router bgp 65000\"\n",
          "ios-config-9=\" timer bgp 10 30\"\n",
          "ios-config-10=\" neighbor 169.254.6.2 remote-as 64512\"\n",
          "ios-config-11=\" neighbor 169.254.6.2 ebgp-multihop\"\n",
          "ios-config-12=\" neighbor 169.254.6.3 remote-as 64512\"\n",
          "ios-config-13=\" neighbor 169.254.6.3 ebgp-multihop\"\n"
        ] ] } },
        "Tags" : [ { "Key" : "Name", "Value" : "router" } ]
      }
    }
  }
}

カスタムリソース

　Lambda、Role、カスタムリソースなどを作成します。LambdaはBoto3でConnectピアを作成し、Roleは最小権限の原則よりCloudWatchログ出力、Connectピア作成のみ認可します。

{
  "Resources" : {
    "TgwConnectPeerCreatorRole" : {
      "Type" : "AWS::IAM::Role",
      "Properties" : {
        "AssumeRolePolicyDocument" : {
          "Version": "2012-10-17",
          "Statement": [ {
            "Effect": "Allow",
            "Principal": { "Service" : [ "lambda.amazonaws.com" ] },
            "Action": [ "sts:AssumeRole" ]
          } ]
        },
        "Path" : "/",
        "ManagedPolicyArns" : [ "arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole" ],
        "Policies" : [ {
          "PolicyName": "TgwConnectPeerCreatorPolicy",
          "PolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [ {
              "Effect": "Allow",
              "Action": [ "ec2:CreateTransitGatewayConnectPeer" , "ec2:CreateTags" ],
              "Resource": "*"
            } ]
          }
        } ]
      }
    },
    "FunctionCreateTgwConnectPeer" : {
      "Type" : "AWS::Lambda::Function",
      "Properties" : {
        "Code" : {
          "ZipFile" : { "Fn::Join": [ "", [
            "import json\n",
            "import boto3\n",
            "import cfnresponse\n",
            "def lambda_handler(event, context):\n",
            "  try:\n",
            "    client = boto3.client('ec2')\n",
            "    response = client.create_transit_gateway_connect_peer(\n",
            "      TransitGatewayAttachmentId='" , { "Ref" : "TgwConnectAttach" } , "',\n",
            "      TransitGatewayAddress='192.168.1.1',\n",
            "      PeerAddress='10.0.1.254',\n",
            "      BgpOptions={'PeerAsn':65000},\n",
            "      InsideCidrBlocks=['169.254.6.0/29'],\n",
            "      TagSpecifications=[{\n",
            "        'ResourceType':'transit-gateway-connect-peer',\n",
            "        'Tags':[{'Key':'Name','Value':'tgw-connect-attach-peer'}],\n",
            "      }],\n",
            "      DryRun=False\n",
            "    )\n",
            "    cfnresponse.send(event, context, cfnresponse.SUCCESS, {})\n",
            "  except Exception as e:\n",
            "    cfnresponse.send(event, context, cfnresponse.FAILED, {})"
          ] ] }
        },
        "Handler": "index.lambda_handler",
        "Role": { "Fn::GetAtt" : [ "TgwConnectPeerCreatorRole", "Arn" ] },
        "Runtime": "python3.9",
        "Timeout": 60
      }
    },
    "CustomCreateTgwConnectPeer" : {
      "Type" : "Custom::FunctionCreateTgwConnectPeer",
      "Properties" : {
        "ServiceToken" : { "Fn::GetAtt" : [ "FunctionCreateTgwConnectPeer", "Arn" ] }
      }
    }
  }
}

つまづきポイントと解決方法

　テンプレートは直ぐに作成できたわけでなく、スタック作成・更新・削除を繰り返し試行することで作成できました。ここでは自らのつまづきポイントと解決方法をご紹介します。

CloudFormation/Lambdaのコーディング

　今日びググったら多くのサンプルを手に入れることは容易いですが、マイナーな設定と遭遇した場合は王道な調査方法が分かってないと立往生します。
　苦労したポイントは、CFnのリソースの構造、IAMポリシーのアクション、Boto3のメソッドの引数あたりですが、下記サイトで解決することができました。

• AWS CloudFormationテンプレートリファレンス
  https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/template-reference.html
• AWS サービス認可リファレンス
  https://docs.aws.amazon.com/ja_jp/service-authorization/latest/reference/reference.html
• Boto3 ドキュメンテーション
  https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/index.html

CloudFormation/Lambdaのトラブルシュート

　大抵CloudFormationはCloudFormationイベント、LambdaはCloudWatchログを確認することにより問題判明できてましたが、それでも理解不能なエラーメッセージは出てきます。
　その時に解決の糸口になったのがCloudTrailイベント履歴でした。一つ一つのAPIログが確認でき、CloudWatchログより有益な情報が得られる場合がありました。

まとめ

　Connectピアのカスタムリソースを作成し、Connectアタッチメント接続がフル自動化できました。 カスタムリソースは可読性や運用性が失われる可能性もあるため十分検討したうえでご利用下さい。

　今回ご紹介したコードは下記ページをご参照下さいませ。

おわりに

　AWS TGW Connectアタッチメント接続に限らずカスタムリソースを利用される方にとって、本記事がご参考になりますと幸いです。

ランキング参加中

ネットワーク（Network）