インストールガイド / アマゾン ウェブ サービス(AWS)編
ここでは、パブリッククラウドサービスのアマゾン ウェブ サービス(AWS)環境上に、本製品をセットアップする手順を説明します。
以下の説明には、AWS固有の用語が多く含まれています。AWSの各種用語や概念、より詳細な情報については、AWSのドキュメントを参照してください。
手順概要
本製品をAWS上にセットアップする大まかな手順は次のとおりです。
- Amazonマシンイメージの作成
本製品のVHDイメージファイルをAmazon EC2にアップロードし、Amazonマシンイメージ(以下、AMI)を作成します。
- インスタンスの作成
作成したAMIから本製品のインスタンス(仮想マシン)を作成します。
- SSH接続設定
PuTTYなどのSSHクライアントを使用してSSH経由で本製品のインスタンスにアクセスします。
- AWSとユーザーネットワークの接続
AWSとユーザーネットワーク間をIPsec VPNで接続し、AWS上の本製品とユーザーネットワーク上のAMF対応機器が安全に通信できるようにします。
Amazonマシンイメージの作成
AWS EC2上に本製品のインスタンス(仮想マシン)を作成するには、仮想マシンのテンプレートであるAmazonマシンイメージ(AMI)を作成しておく必要があります。
ここでは、AWSに本製品のVHDイメージファイルをアップロードし、AMIを作成する方法を説明します。
このプロセスが必要なのは本製品の初回インストール時だけです。AWS上で本製品の使用を開始した後で、本製品のファームウェアを更新するときには、software-upgradeコマンドを使用します(「ファームウェアの更新」参照)。
前提条件
AMIを作成するには、以下のものが必要です。
- Linux(UbuntuまたはDebian)が動作するインターネットに接続可能なPC(本マニュアルではOSとしておもにUbuntuを使用)。
Windows PCは未サポートです。
- Amazon EC2とAmazon S3のFull Access権限を持つAWS APIキー(AKIDとSAK、APIを利用するためのIDとパスワード)。
このキーの作成方法は次節「AWSのAPIキーの作成」で説明しています。
- 本製品のCDに収録されているVHDイメージファイル(AMIの元となるディスクイメージファイル)
- 本製品のCDに収録されているPYファイル(VHDイメージファイルからAMIを作成する時に必要なPythonアップロードスクリプトファイル)
- Amazon EC2 APIツール(コマンドラインからEC2に対する各種操作を行うためのツール)
APIキーの作成
AMIを作成するには、AWSのAPIキーが必要です。
APIキーを作成するには、ユーザーアクセスと暗号化キーの管理サービス「Identity and Access Management(以下、IAM)」の実行権限を持っている必要があります。詳細はAmazon社のユーザーガイドを参照してください。
- AWSマネジメントコンソールのホーム画面メニュー一覧から [Identity and Access Management] を選択します。
- ナビゲーションウィンドウで、 [ユーザー] を選択します。
- IAMユーザー名を選択します(チェックボックスではありません)。
- [認証情報] タブで、 [アクセスキーの作成] をクリックします。
- [ユーザーのセキュリティ認証情報を表示] をクリックし、認証情報を確認してください。
認証情報は、次のように表示されます。
- [認証情報のダウンロード] をクリックします。
- アクセスキーは安全な場所に保管してください。
- 作成したキーは一回しかダウンロードできません。また、キーをメールなどで送信したりしないように注意してください。
- AWSまたはAmazon.comから問い合わせが来ても、キーの情報を渡さないでください。Amazon社の正規代表者でも、キーを求めてくることはありません。
- これでAWS APIキーの作成は完了です。
必要なパッケージのインストール
Linux(UbuntuまたはDebian)PCに必要なパッケージをインストールします。
AWSに本製品のVHDイメージファイルをアップロードしてAMIを作成するには、以下のパッケージが必要です。
- Python version 2.7
- Ec2-api-tools
- boto3
- Python-pip
たとえば、Ubuntu上でこれらをインストールするには以下のコマンドを入力します。
ubuntu@ubuntu-pc:~/tmp$ sudo apt-get install ec2-api-tools
ubuntu@ubuntu-pc:~/tmp$ sudo apt-get install python2.7
ubuntu@ubuntu-pc:~/tmp$ sudo apt-get install python-pip
ubuntu@ubuntu-pc:~/tmp$ sudo pip install boto3
VHDイメージファイルとPythonスクリプトファイルの準備
PC上に一時フォルダーを作成し、本製品のCDに収録されているVHDイメージファイル「vaa-5.4.7-1.1.vhd」とPythonスクリプト「vaaUploadScript.py」をコピーしてください。
ここでは、次の確認画面例にあるとおり、ログインユーザーのホームディレクトリー直下の tmp フォルダーにこれらのファイルを置いたものとします。
ubuntu@ubuntu-pc:~/tmp$ ls -l
total 432268
-rw-r--r-- 1 ubuntu ubuntu 442629632 4月 8 13:19 vaa-5.4.7-1.1.vhd
-rwxrwxr-x 1 ubuntu ubuntu 7206 4月 8 13:19 vaaUploadScript.py
VHDイメージファイルのアップロードとAMIの作成
VHDイメージファイルをAWSにアップロードしてAMIを作成するには、Pythonスクリプト「vaaUploadScript.py」を使用します。
同スクリプトは以下の引数を取ります。
スクリプト引数
| image |
vaa-5.4.7-1.1.vhd |
インポートする本製品のVHDイメージファイル |
| name |
vaa-5.4.7 |
AMI名 |
| --region |
ap-northeast-1 |
使用するAWSリージョン
※リージョンの例はAmazon社のユーザーガイドを参照してください。 |
| --bucket |
vaa.upload |
一時的にVHDファイルをアップロードするAWS S3バケット。存在しない場合は、バケットは自動的に作成されます。 |
| --akid |
AKIDABCDF |
APIキーのアクセスキーID(EC2とS3へのアクセス用) |
| --sak |
SAKABCDF |
APIキーのシークレットキー(EC2とS3へのアクセス用) |
VHDイメージファイルは、一時的にAWS S3バケットにアップロードされます。
S3の使用で発生する料金についてはAmazon社のユーザーガイドを参照してください。
バケット名はS3全体で一意でなくてはなりません(他のS3ユーザーが使っているバケット名は使用できません)。バケット名の命名規則についてはAmazon社のユーザーガイドを参照してください。
次に実行例を示します。
ubuntu@ubuntu-pc:~/tmp$ ./vaaUploadScript.py vaa-5.4.7-1.1.vhd vaa-5.4.7 --region ap-northeast-1 --bucket vaa.upload --akid AKIDABCDF --sak SAKABCDF
import_volume: image='vaa-5.4.7-1.1.vhd' image_format='VHD' size=None
import_volume: Uploading disk image
import_volume: ec2-import-volume vaa-5.4.7-1.1.vhd --format VHD --bucket vaa.upload --region ap-northeast-1 --availability-zone ap-northeast-1a
import_volume: Disk image uploaded import-vol-fg1bguyh
volume_conversion: task_id='import-vol-fg1bguyh'
volume_conversion: Converting disk image to EBS volume...
volume_conversion: Conversion complete
volume_conversion: Deleting uploaded disk image
volume_conversion: ec2-delete-disk-image --task import-vol-fg1bguyh --region ap-northeast-1
volume_conversion: Volume imported vol-bbb34d45
create_snapshot: volume_id='vol-bbb34d45'
create_snapshot: Creating snapshot vaa-5.4.6
create_snapshot: Snapshot created snap-0fd95c30
create_snapshot: Deleting volume vol-bbb34d45
register_image: snapshot_id='snap-0fd95c30'
register_image: Creating AMI
register_image: {'VirtualizationType': 'hvm', 'RootDeviceName': '/dev/sda1', 'BlockDeviceMappings': [{'DeviceName': '/dev/sda1', 'Ebs': {'SnapshotId': 'snap-0fd95c30', 'VolumeType': 'gp2'}}], 'Name': 'vaa-5.4.7', 'Architecture': 'i386'}
register_image: AMI created ami-0b392b65
本製品が正常にAWSにアップロードされたときは、以下のメッセージが表示されます。
register_image: AMI created ami-XXXXXXX
また、アップロードされたAMIはAWSリージョンで見ることができます。
インスタンスの作成
次に、本製品のインスタンス(仮想マシン)を作成するための手順について説明します。
前提条件
インスタンスを作成するためには、テンプレートとなるAMIが必要です。
以下では、前述の「Amazonマシンイメージの作成」はすでに完了しているものと仮定しています。
また、ネットワーク構成、SSHキー、アクセス制御などは事前の検討、計画が必要ですが、これらも完了している前提で進めます。
インスタンスの作成手順
ここでは、まだインスタンスを作成していない新規のアカウントを使う前提で手順を説明します。
EC2ダッシュボード画面で、 [インスタンスの作成] をクリックします。
1. AMIファイルの選択
ベースマシンとして使用することができる別のマシンのオプションのリストを開きます。
[マイAMI] を選択し、前述の「インストール」の章で作成した本製品のAMIを選択します。
2. インスタンスタイプの選択
起動するインスタンスタイプを選択して、 [次の手順: 環境設定インスタンスの詳細の設定] をクリックしてください
本製品は32bitのインスタンスタイプをサポートしています。本マニュアルの例ではt2.microを使用していますが、ご使用の際はt2.mediumまたはc3.largeをご使用ください。
3. インスタンスの詳細の設定
インスタンスの詳細を設定する上でいくつかの注意点があるため、以下の手順をよく読み設定してください。
3-1. VPCの作成
本製品を使用するために新しいVPCを作成します。
AWSでは、多くの仮想マシンインスタンスネットワークの構成方法について紹介しています。Amazon Virtual Private Cloud(以下、VPC)については、Amazon社のユーザーガイドを参照してください。
デフォルト設定のAWSは、新しいアカウント上の仮想マシン用に設定された172.31.0.0/16のVPCをすでに持っていますが、このサブネットはAMFが同じエリア内のAMFノード間の内部通信に使用するデフォルトのマネージメントサブネットであるため、使用しないでください。デフォルトのVPCを使用する必要がある場合は、本製品と同じエリア内のすべてのAMFノードが異なるAMFサブネットを使用するように再構成する必要があります。本製品の起動時に、AWSから172.31.0.0/16範囲内のIPアドレスを受信検出した場合、自動的にAMFマネージメントサブネットを10.255.0.0/16に変更します。また、同一エリア内の他のAMFノードは、このサブネットを使用するように再構成する必要があります。AMFマネージメントサブネットの詳細については、本マニュアルの「アライドテレシスマネージメントフレームワーク(AMF)」/「導入」編を参照してください。デフォルトVPCの詳細については、Amazon社のユーザーガイドを参照してください。
AWSでは、RFC1918で指定されているように、プライベートアドレスの範囲内でのVPCの作成を推奨しています。プライベートアドレスを使う場合、お客様ご自身のネットワークで使用しているプライベートアドレスと重複しないVPC設定を確認してください。
3-1-1. [新しいVPCの作成] をクリックします。
下記画面では「非VPC」という注が表示されていますが、デフォルトVPCを削除していない限りこちらは表示されません。また、本設定ではデフォルトVPCは削除する必要はありません。
3-1-2. 新しいウィンドウが開きますので、 [VPCの作成] をクリックします。
3-1-3. [VPCの作成] ウィンドウが表示されたら、 [ネームタグ] にVPCの名前を入力し、本製品で使用するための [CIDRブロック] を割り当て、 [作成] をクリックします。
3-1-4. 画面左側のメニューから、 [VPC] を選択し、設定されたVPCの詳細が正しいことを確認します。
3-1-5. 次に、画面左側のメニューから、 [サブネット] を選択し、 [サブネットの作成] をクリックします。
3-1-6. [サブネットの作成] ウィンドウが表示されたら、 [サブネットの作成] を選択し、必要な情報を入力後、 [作成] をクリックします。
サブネットをVPCと同じサイズにする必要はありません。詳細はAmazon社のユーザーガイドを参照してください。
3-1-7. [状態] の表示が「available」となっていることを確認します。
3-2. インターネットゲートウェイの作成と設定
VPCは、デフォルトではインターネットに接続されていません。
VPC・インターネット間の通信を可能にするには、以下の手順でインターネットゲートウェイを作成してVPCにアタッチし、VPCのルートテーブルにデフォルトルートを設定する必要があります。
3-2-1. 画面左側のメニューから、 [インターネットゲートウェイ] を選択し [インターネットゲートウェイの作成] をクリックします。
3-2-2. [インターネットゲートウェイ] ウィンドウが表示されたら、 [ネームタグ] に任意の名前を付け、 [作成] をクリックします。
作成したインターネットゲートウェイは、どのサブネットにも接続されていない状態です。
3-2-3. 作成したインターネットゲートウェイを選択して右クリックし、 [VPCにアタッチ] を選択します。
3-2-4. [VPCにアタッチ] ウィンドウが表示されたら、前述の「VPCの作成」で作成したVPCを選択し、 [アタッチ] をクリックします。
3-2-5. [状態] の表示が「attached」となっていることを確認します。
インターネットゲートウェイは現在、VPC用に構成されていますが、ルーティングテーブルに設定されたデフォルトルートはまだありません。
3-2-6. デフォルトルートの追加や、ルーティングテーブルを編集するには以下のようにします。
3-2-6-1. 画面左側のメニューから、 [ルートテーブル] を選択し [ルートテーブルの作成] をクリックします。
3-2-6-2. [ルートテーブル] ウィンドウが表示されたら、 [ネームタグ] に任意の名前を付け、 [作成] をクリックします。
3-2-6-3. 次に、作成したルートテーブルの項目にチェックを入れます。その後、画面下部の [ルート] タブをクリックし、 [編集] ボタンをクリックします。
3-2-6-4. 「別のルートの追加」をクリックすると、新しいルートが追加できるようになり、 [送信先] 欄に「0.0.0.0/0」を入力し、 [ターゲット] 欄は空欄をクリックすると予測で出てくる該当項目を選択し、 [保存] をクリックします。
3-2-6-5. 下図のようにルートが追加されますので、 [Main-VPC-Route-Table] を選択し、「メインテーブルとして設定」をクリックしてください。
3-2-7. 作成したVPCを選択します。
作成したVPCは、手順3-2-6-5の後に前述の「VPCの作成」の [ステップ3 インスタンスの詳細の設定] 画面に戻り、新しいVPCのネットワーク範囲を設定するために、下図赤枠部分の更新ボタンをクリックすると、本製品の設定手順において選択できるようになります。左のドロップダウンメニューから作成したVPCを選択してください。
3-2-8. [サブネット] でサブネット範囲を設定し、 [自動割り当てパブリックIP] のドロップダウンメニューを、 [サブネット設定を使用(無効)] から [有効化] に変更します。
以前作成したサブネットは、VPCで自動設定されます。ない場合は、画面下部 [サブネット] のドロップダウンメニューから選択します。
インスタンスのIPアドレスを固定設定するには、次の2つの方法がありますが、2を推奨します。
- インスタンス(AW+)側でIPアドレスを設定
- AWSで設定
AWS上のAMF Cloudは、起動時にeth0でDHCPクライアントが自動的に有効になるため、AmazonのDHCPサーバーから上記手順で設定したプライマリIPを受信することができます。
3-2-9. インスタンスの詳細を確認し、 [次の手順: ストレージの追加] をクリックします。
4. ストレージの追加
ストレージは追加せず、デフォルトのままで [次の手順: インスタンスのタグ付け] をクリックします。
5. インスタンスのタグ付け
[値] の欄に適切なインスタンスの名前を入力し、 [次の手順: セキュリティーグループの設定] をクリックします。
AWSは、インスタンスに多くの異なる名前あるいは記述を持つ「タグ」を提供します。
6. セキュリティーグループの設定
[セキュリティーグループ名:] と [説明:] を確認し、 [確認と作成] をクリックします。
インスタンスへのSSHアクセスは、必要なIPアドレスからのみに限定してください。
VPC内に多数のサーバーがあり、特定IPアドレスからのトラフィックだけを許可したい場合は、さらにVPCサブネットをカバーするルールを作成する必要があります。そうでなければ、それらはまたブロックされます。
7. インスタンス作成の確認
すべてのインスタンスの設定を確認し、[作成]をクリックします。
8. SSHキーペアの設定
- [既存のキーペアを選択するか、新しいキーペアを作成します。] ウィンドウが表示されたら、最初のドロップダウンメニューから [新しいキーペアを作成する] を選択します。
- 次に、 [キーペア名] の欄にキーペアの名前を入力し、 [キーペアのダウンロード] をクリックしたら、 [インスタンスの作成] をクリックします。キーペア(パブリックキーとプライベートキー)を作成し、PEM(プライバシー強化メール)と呼ばれる形式でキーのダウンロードを開始します。
プライベートキーファイルは安全な場所に保存してください。AWSから再度プライベートキーをダウンロードすることはできません。保存したプライベートキーファイルを利用して本製品にSSH接続する方法については、次節「SSH接続設定」をご覧ください。
9. インスタンスの起動
SSHキーペアがダウンロードされたら、 [インスタンスの表示] をクリックします。インスタンスの最初の起動が完了するまでに数分かかることがあります。
ステータスは、EC2ダッシュボードの [インスタンス] から確認することができます。
AWSは、インスタンスにアクセスするための仮想コンソールを提供していません。インスタンスの制御はSSHでのみ可能です。ただし、AMF Cloudの内部コンソールに出力されたメッセージを読み取り専用のログとして閲覧することは可能です。これには、本製品のインスタンスを選択して右クリックし、 [インスタンスの設定] から [システムログの取得] を選択します。
読み取り専用のログが表示されます。
読み取り専用のログファイルが情報を含んでいない場合は、数分待ち、かつリフレッシュしてみてください。
ログファイルはリアルタイムで更新されず、AWSによってセットされたリフレッシュタイマーに従います。
本製品のパブリックIPアドレスを設定した場合は、pingを実行してください。pingが失敗した場合は、デフォルトルートがルーティングテーブルにあり、VPCのインターネットゲートウェイが正しく設定されていることを確認し、本製品に適用されるセキュリティールールのICMPを許可します。詳細はAmazon社のユーザーガイドを参照してください。
これで本製品のAMFが正常に起動し、実行されていることを確認することができました。
次の章では以下についての説明をします。
- マシンがリモートアクセスできるようにSSHキーを設定します。
- セキュアな接続のための本製品間のIPsecトンネル、およびローカルAMFネットワークを設定します。
SSH接続設定
AWSではインスタンス(仮想マシン)へのコンソールアクセスを提供していないため、AWS上にセットアップした本製品の設定、管理はSSH(Secure Shell)経由で行う必要があります。
ここでは、SSHクライアントとしてWindows用の「PuTTY」およびUbuntu(Linux)のsshコマンドを使う場合を例に、SSHキーペアを利用した公開鍵認証で本製品のCLIにアクセスする方法を説明します。
なお、SSHキーペアは設定済みであると仮定とします(前述の「SSHキーペアの設定」参照)。
SSHキーペア
データの暗号化に使うキーと復号化(解読)に使うキーが異なる暗号方式を「非対称暗号」といい、その方式で使われる2つのキーをまとめてキーペア(公開鍵ペア)と呼びます。
非対称暗号では、キーペアの一方のキーで暗号化されたデータは、ペアのもう一方のキーでしか解読できません。
SSHでは、この性質を利用した「公開鍵認証」をサポートしており、この認証方式で使用するキーペアをSSHキーペアと呼びます。
SSHキーペアは次の2つのキーで構成されます。
- パブリックキー(公開鍵)
パブリックキーは秘密にしておく必要がないキーです。
SSHの公開鍵認証では、ユーザーのパブリックキーをあらかじめアクセス先のホスト(サーバーなど)にインストールしておきます。
パブリックキーは公開可能なため、複数のホストに同じパブリックキーをインストールしても問題ありません。
本製品では、インスタンス作成時に設定したキーペアのパブリックキーが、最初の起動時にmanagerユーザー用のパブリックキーとして自動的にインストールされるため、該当パブリックキーとペアになったプライベートキーを用いて、リモートから本製品にmanagerユーザーとしてログインすることができます。
- プライベートキー(秘密鍵)
プライベートキーは、その所有者が安全に保管し、絶対他者には公開すべきでないキーです。
プライベートキーは、パブリックキーで暗号化されたデータを復号化できる唯一のキーであるため、SSH公開鍵認証においてサーバーはこの性質を利用し、アクセスしてきたユーザーがサーバーにインストールされたパブリックキーとペアになった適切なプライベートキーを保有しているかどうか判断し、その結果にもとづいてアクセスを許可または拒否します。
SSH経由で本製品のインスタンスにアクセスするには、インスタンス作成時に入力したパブリックキーに対応するプライベートキーを使用して認証を受けるようSSHクライアントソフトウェアを設定する必要があります。
「PuTTY」を使用したSSH経由での本製品へのアクセス
以下では、Windows用の代表的なSSHクライアントである「PuTTY」にSSHプライベートキーをインポートし、本製品にSSH接続するための方法を説明します。
より詳細な内容についてはAmazon社やPuTTYのユーザーガイドを参照してください。
前提条件
次のURLからPuTTYをダウンロードしてインストールします。
http://www.chiark.greenend.org.uk/~sgtatham/putty/
MSI形式のインストーラーやZIPアーカイブにはPuTTYと付属ユーティリティーがすべて含まれていますが、個々のプログラムを個別にダウンロードすることもできます。その場合は最低限下記のプログラムをダウンロードしてください。
- putty.exe(SSH接続に使います)
- puttygen.exe(PEM形式プライベートキーファイルをPuTTYが扱えるPPK形式に変換するために使用します)
PuTTYgenによるプライベートキーの形式変換
PuTTYはAWSからダウンロードしたPEM形式のプライベートキーを扱えないため、最初に「PuTTYgen」というユーティリティーを使ってPPK形式に変換する必要があります。
- PuTTYgenの起動
以下のいずれかの方法でPuTTYgenを起動してください。
- [スタート] メニューで [すべてのプログラム] > [PuTTY] > [PuTTYgen] をクリック
- 「ファイル名を指定して実行」で「c:\Program Files\PuTTY/puttygen.exe」を入力
PuTTY Key Generatorウィンドウが表示されます。
- PEM形式プライベートキーファイルの読み込み。
[Conversions] > [Import Key] をクリックします。
PEM形式プライベートキーファイルの場所をたずねるウィンドウが表示されるので、AWSからダウンロードしたPEM形式プライベートキーファイルを指定して [開く] をクリックします。
PuTTYgenは、指定されたプライベートキーを読み込むと、上図「Key」枠内にPEMファイルに格納されている各種情報(パブリックキー、プライベートキーの指紋、キーコメントなど)を表示します。
- キーコメントの修正
わかりやすさのため、 [Key comment]欄のコメントをデフォルトの「Imported-openssh-key」から、前述の「SSHキーペアの設定」 で指定したキ―ペアの名前に変更してください。
- パスフレーズの設定
[オプション] [Key passphrase]欄にプライベートキーを保護するためのパスフレーズを入力します。
ここでパスフレーズを設定しておけば、万一他者がプライベートキーを入手しても、パスフレーズを入力しない限りプライベートキーを使うことはできません。
- PPK形式プライベートキーファイルの書き出し
上図の [Save private key] ボタンをクリックします。
新しいウィンドウが開くので、PPK形式プライベートキーの保存先とファイル名を指定してください。
これで、PuTTYで使える形式のプライベートキーがファイルに保存されました。
PuTTYとPPKプライベートキーを使って本製品にSSH接続する
- PuTTYを開くと下図のようなウィンドウが表示されますので、 [Host Name] 欄に「manager@(本製品インスタンスサーバーのパブリックIPアドレス)」を入力します。
- 次に左側のパネルにある [Connection] の [SSH] から「Auth」をクリックします。
- [Authentication parameters] > [Private key file for authentication: ] > [Browse] をクリックし、さきほど(PEMファイルから変換して)保存したプライベートキーのPPKファイルを指定してロードした後、本製品インスタンスへのSSHセッションを開始するために、 [Open] をクリックします。
- 本製品のインスタンスに接続するのが初めての場合は、接続先のホストを信頼するかどうかを尋ねるセキュリティアラートダイアログボックスが表示されます。
- これで、SSHによる本製品への接続が完了し、AlliedWare PlusのCLI画面が表示されます。
Ubuntu(Linux)のSSHクライアントを使って本製品にSSH接続する
以下では、多くのLinuxおよびUNIXライク環境で標準的なOpenSSHのSSHクライアント(sshコマンド)を使用して本製品にSSH接続する方法を説明します。
詳細については、sshコマンドのマニュアルページを参照してください。
- コマンドシェル上で、インスタンス作成時にAWSからダウンロードしたプライベートキーファイルのある場所にカレントディレクトリーを移動します。
ubuntu@ubuntu-pc:~/tmp$ cd ~/.ssh
セキュリティー上の理由から、プライベートキーファイルのパーミッションがファイル所有者にのみ読み込み可に設定されていることを確認してください。
プライベートキーファイルのパーミッションを推奨設定に変更するには、「chmod 400 ファイル名」を入力します。
ubuntu@ubuntu-pc:~/.ssh$ chmod 400 vaa-atkk-test.pem
ubuntu@ubuntu-pc:~/.ssh$ ls -la vaa-atkk-test.pem
-r-------- 1 vaa vaa 1696 Feb 15 15:06 vaa-atkk-test.pem
- 次のコマンドで本製品にSSH接続します。-iオプションで指定する vaa-atkk-test.pem はAWSでのキーペア作成時にダウンロードしたPEMファイル、manager はAW+上のユーザー名、XX.XXX.XX.XXXは本製品インスタンスのパブリックIPアドレスです。
ubuntu@ubuntu-pc:~/.ssh$ ssh -i vaa-atkk-test.pem manager@XX.XXX.XX.XXX
- 初めてサーバー(本製品)に接続するときは、サーバーのパブリックキー(ホスト鍵)を確認するよう求められますので、「yes」を入力し、 [Enter] キーを押します。
The authenticity of host 'XX.XXX.XX.XXX (XX.XXX.XX.XXX)' can't be established.
ECDSA key fingerprint is 7f:4e:5c:04:e2:bc:b1:dc:e5:27:b4:86:17:33:9c:0c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'XX.XXX.XX.XXX' (ECDSA) to the list of known hosts.
- これで、SSHによる本製品への接続が完了し、AlliedWare PlusのCLI画面が表示されます。
Last login: Mon Jul 31 05:27:39 UTC 2017 from xx.x.xxx.xx
AlliedWare Plus (TM) 5.4.7 XX/XX/XX XX:XX:XX
ip-172-30-0-139>
その他
本製品でのSSHサーバーおよびクライアント機能の詳細については、本マニュアルの「Secure Shell」を参照してください。
AWSとユーザーネットワークの接続
ユーザーネットワークから本製品を利用するためには、AWS(VPC)とユーザーネットワークを接続する必要があります。
これは、AWS(VPC)のVPN接続機能とユーザーネットワーク上のVPNルーターを使って両者間にIPsecトンネルを構築することで実現します。
ここでは、VPNルーターとして弊社のAT-AR4050S(以下、「ARルーター」)を使う場合を例に、AWSとユーザーネットワークをIPsec VPNで接続する方法を説明します。
なお、以下の説明は、前述の「インスタンスの作成」で説明されているゲートウェイが設定されていることを前提としています。
AWS(VPC)におけるVPN用語についての詳細は、Amazon社のユーザーガイドを参照してください。
AWS上でのIPsecトンネルの設定
AWSとユーザーネットワークの間でVPN接続を行うために必要なAWS側のコンポーネントは次のとおりです。
- 仮想プライベートゲートウェイ - AWS側の仮想VPNルーター
- VPN接続 - AWSとユーザーネットワークのVPN接続に必要な情報をまとめたもの
以下、それぞれの設定方法を説明します。
仮想プライベートゲートウェイの作成
AWS側のVPNルーターである仮想プライベートゲートウェイを作成します。
- VPCダッシュボードから [VPN接続] を選択し、 [仮想プライベートゲートウェイ] をクリックします。
- 「仮想プライベートゲートウェイの作成」ウィンドウが表示されますので、 [ネームタグ] 欄に適切なゲートウェイ名を入力し、 [作成] をクリックします。
- 作成した仮想プライベートゲートウェイは、どのサブネットにも接続されていない状態です。
- 作成した仮想プライベートゲートウェイを選択して右クリックし、 [VPCにアタッチ] を選択します。
- 前述の「インスタンスの作成」の「VPCの作成」で作成したVPCを選択し [アタッチ] をクリックします。
VPN接続の作成
VPCダッシュボードから [VPN接続] を選択し、 [VPN接続の作成] をクリックします。
- 下図のように [VPN接続の作成] ウィンドウが表示されますので、 [ネームタグ] 欄に適切なVPN接続名を入力します。
- [カスタマーゲートウェイ] 欄では、カスタマーゲートウェイを作成していない場合は入力し、 [IPアドレス] 欄には、ローカルAMFネットワークへの内部アクセスを提供するVPNルーターのパブリックIPアドレスを入力します。
- [BGP ASN] 欄は、デフォルトの65000(プライベートASN)のままでかまいません。
- [ルーティングオプション] 欄では、「静的」を選択します。スタティックルーティングは、ローカルAMFネットワークにIPsec VPN全体での接続性を確立するために使用されます。
- どのスタティックIPプレフィックスを通知するかは、トンネルを介して本製品によってアクセス可能にするプライベートユーザーネットワーク(プライベートAMFネットワーク)内の、任意のサブネットが通知されるべきです。この設定は、このVPNトンネルインターフェースを経由して、ネットワークへのスタティックルートを作成することになります。ここでは1つのスタティックプレフィックスだけを付加することができます。作成完了後、プレフィックスを追加することができます。
- 最後に「作成」をクリックします。
- VPN接続の作成が完了すると、以下のようにVPN接続が表示され、 [状態] が [available] になります。
スタティックIPプレフィックスの追加
ARルーターからトンネル経由でAWSへの通信(pingなど)を行いたい場合は、AWS側のVPNゲートウェイにトンネル上で使われているリンクローカルアドレスの範囲を教えてあげる必要があります。そうしないと、ARルーターからAWSにはパケットが届いても、戻りのパケットがVPNゲートウェイで捨てられてしまうためです。
これは、静的ルートとしてリンクローカルプレフィックスを追加することで対応できます。
作成したVPN接続で使用されているリンクローカルアドレスは、次項「IPsecトンネル設定 / ルーティング設定」で調べることができます。
下図は、VPNインターフェースを経由するすべてのトンネルのリンクローカルトラフィックを指定した例です。
VPCダッシュボードから [VPN接続] を選択し、作成したVPN接続を選択し、 [静的ルート] タブから、 [編集] をクリックし、IPプレフィックスを追加し、 [保存] をクリックします。
ルート伝達の有効化
VPNスタティックIPプレフィックス(スタティックルート)が、正しくルーティングテーブルにインストールされるためには、ルート伝達を有効にする必要があります。それ以外の場合は、VPNスタティックルートトラフィックは、正しくルーティングされないことがあります。
下図のようにVPCダッシュボードから [ルートテーブル] を選択し、 [ルート伝達] タブから、 [編集] をクリックし、 [伝達] にチェックを入れて [保存] をクリックします。
ARルーター側でのIPsecトンネル設定
次にユーザーネットワーク側のVPNルーターである、ARルーターのIPsec設定について説明します。
構成図は、前述の「AWSとユーザーネットワークの接続」を参照してください。
また、前述のAWS側のIPsecトンネル設定は、完了していることを前提とします。
AWSの設定が完了すると、特定の機器向け、あるいは、汎用的な設定サンプルファイルをダウンロードできます。
以下では、Cisco Systems社のISRシリーズの設定サンプルファイルをもとに、AR4050Sの設定を行う方法を説明します。
汎用的な設定サンプルではなく、ISRシリーズ用の設定サンプルをもとにするのは、後者のほうがAR4050Sの設定に近いためです。
- VPCダッシュボードから [VPN接続] を選択し、 [設定のダウンロード] をクリックします。
- Cisco Systems社のISRシリーズの設定をダウンロードします。
ダウンロードした設定サンプルには多くのセクションがありますが、本マニュアルでは重要な部分だけを抜粋し、ISRシリーズ用とAR4050S用の設定を対比する形で示していきます。
重要なものは次のセクションです。
- カスタムISAKMPプロファイル
- キー
- カスタムIPSECプロファイル
- トンネルピアへのプロファイル割り当て
- トンネル
ISAKMP プロファイル設定(Ciscoでの「Policy」)
■ Cisco自動生成設定
crypto isakmp policy 200
encryption aes 128
authentication pre-share
group 2
lifetime 28800
hash sha
exit
■ AlliedWare Plus設定
crypto isakmp profile AWS-ISAKMP-Phase-1
transform 1 integrity sha1 encryption aes128 group 2
Lifetime 28800
dpd-interval 10
Version 1 mode main ← Ciscoでは両方のモード(aggressive、main)を自動的に試みます。AlliedWare Plusでは、手動で設定する必要があります。
This is because by default Alliedware Plus attempts IKE version 2
exit
■ AR4050SのCLIにおける実際の設定手順
awplus# configure terminal ↓
Enter configuration commands, one per line. End with CNTL/Z.
awplus(config)# crypto isakmp profile AWS-ISAKMP-Phase-1 ↓
awplus(config-isakmp-profile)# transform 1 integrity sha1 encryption aes128 group 2 ↓
awplus(config-isakmp-profile)# lifetime 28800 ↓
awplus(config-isakmp-profile)# dpd-interval 10 ↓
awplus(config-isakmp-profile)# version 1 mode main ↓
awplus(config-isakmp-profile)# end ↓
awplus#
■ 設定内容の確認方法
show isakmp profileコマンド
ISAKMP Profile: AWS-ISAKMP-Phase-1
Version: IKEv1
Mode: Main
Authentication: PSK
Expiry: 8h
DPD Interval: 10s
DPD Timeout: 150s
Transforms:
Integrity Encryption DH Group
1 SHA1 AES128 2
ISAKMP事前共有鍵設定
■ Cisco自動生成設定
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the
! tunnel endpoints.
!
crypto keyring keyring-vpn-4234d12b-0
local-address 172.16.0.1
pre-shared-key address 10.0.0.1 key
j3mqY_4dtzOHG7uP9mREjNkQxyeqnmEc
exit
■ AlliedWare Plus設定
crypto isakmp key j3mqY_4dtzOHG7uP9mREjNkQxyeqnmEc address 10.0.0.1
■ AR4050SのCLIにおける実際の設定手順
awplus(config)# crypto isakmp key j3mqY_4dtzOHG7uP9mREjNkQxyeqnmEc address 10.0.0.1 ↓
■ 設定内容の確認方法
awplus# show isakmp key ↓
Hostname/IP address Key
----------------------------------------------------
10.0.0.1 j3mqY_4dtzOHG7uP9mRE
jNkQxyeqnmEc
awplus#
AWSピアへのカスタムISAKMPプロファイル割り当て
AWSピアに、ISAKMP設定を静的に割り当てる必要がある場合、わずかにCiscoの設定とは異なります。
■ AlliedWare Plus設定
crypto isakmp peer address 10.0.0.1 profile AWS-ISAKMP-Phase-1
■ AR4050SのCLIにおける実際の設定手順
awplus(config)# crypto isakmp peer address 10.0.0.1 profile AWS-ISAKMP-Phase-1 ↓
■ 設定内容の確認方法
awplus# sh isakmp peer ↓
Peer Profile (* incomplete) Key
---------------------------------------------------------------------
10.0.0.1 AWS-ISAKMP-Phase-1 PSK
IPsec設定
■ Cisco 自動生成設定
#2: IPsec Configuration!
! The IPsec transform set defines the encryption, authentication, and
IPsec
! mode parameters.
!
crypto IPsec transform-set IPsec-prop-vpn-4234d12b-0 esp-aes 128 espsha-
hmac
mode tunnel
exit
■ AlliedWare Plus設定
カスタムIPsecプロファイルの作成
crypto IPsec profile AWS-IPSEC-Phase-2
Transform 1 protocol esp integrity sha1 encryption aes128
Pfs 2
Lifetime seconds 3600
Exit
■ AR4050SのCLIにおける実際の設定手順
awplus(config)# crypto IPsec profile AWS-IPSEC-Phase-2 ↓
awplus(config-IPsec-profile)# transform 1 protocol esp integrity sha1 encryption aes128 ↓
awplus(config-IPsec-profile)# pfs 2 ↓
awplus(config-IPsec-profile)# lifetime seconds 3600 ↓
awplus(config-IPsec-profile)# exit ↓
awplus(config)# exit ↓
awplus#
■ 設定内容の確認方法
awplus# show IPsec profile AWS-IPSEC-Phase-2 ↓
IPsec Profile: AWS-IPSEC-Phase-2
Replay-window: 32
Expiry: 1h
PFS group: 2
Transforms:
Protocol Integrity Encryption
1 ESP SHA1 AES128
トンネル設定
-------------
! #3: Tunnel Interface Configuration
!
! A tunnel interface is configured to be the logical interface
associated
! with the tunnel. All traffic routed to the tunnel interface will be
! encrypted and transmitted to the VPC. Similarly, traffic from the VPC
! will be logically received on this interface.
■ Cisco 自動生成設定
interface Tunnel1
ip address 169.254.XX.XX 255.255.255.252
ip virtual-reassembly
tunnel source 172.16.0.1
tunnel destination 10.0.0.1
tunnel mode IPsec ipv4
tunnel protection IPsec profile IPsec-vpn-4234d12b-0
! This option causes the router to reduce the Maximum Segment Size of
! TCP packets to prevent packet fragmentation.
ip tcp adjust-mss 1387
no shutdown
exit
■ AlliedWare Plus設定
Interface tunnel1
mtu 1436
Ip address 169.254.XX.XX/30
tunnel source 172.16.0.1
tunnel destination 10.0.0.1
tunnel mode IPsec ipv4
tunnel protection IPsec profile AWS-IPSEC-Phase-2
ip tcp adjust-mss 1387
■ AR4050SのCLIにおける実際の設定手順
awplus(config)# int tunnel1 ↓
awplus(config-if)# mtu 1434 ↓
awplus(config-if)# ip address 169.254.XX.XX/30 ↓
awplus(config-if)# tunnel source 172.16.0.1 ↓
awplus(config-if)# tunnel destination 10.0.0.1 ↓
awplus(config-if)# tunnel mode IPsec ipv4 ↓
awplus(config-if)# tunnel protection IPsec profile AWS-IPSEC-Phase-2 ↓
awplus(config-if)# ip tcp adjust-mss 1387 ↓
awplus(config-if)# end ↓
■ 設定内容の確認方法
awplus# sh ip int b ↓
Interface IP-Address Status Protocol
eth1 unassigned admin up running
eth2 unassigned admin up down
lo unassigned admin up running
vlan1 unassigned admin up down
vlan10 10.0.10.1/24 admin up running
tunnel1 169.254.XX.XX/30 admin up running
ppp0 172.16.0.1/32 admin up running
awplus#
awplus# sh interface tunnel1 ↓
Interface tunnel1
Link is UP, administrative state is UP
Hardware is Tunnel
IPv4 address 169.254.XX.XX/30 point-to-point 169.254.XX.XX
index 14 metric 1 mtu 1434
IPv4 mss 1387
<UP,POINT-TO-POINT,RUNNING,MULTICAST>
SNMP link-status traps: Disabled
Tunnel source 172.16.0.1, destination 10.0.0.1
Tunnel name local 172.16.0.1, remote 10.0.0.1
Tunnel protocol/transport IPsec ipv4, key disabled, sequencing disabled
Checksumming of packets disabled, path MTU discovery disabled
Tunnel protection via IPsec (profile "AWS-IPSEC-Phase-2")
input packets 0, bytes 0, dropped 0, multicast packets 0
output packets 0, bytes 0, multicast packets 0 broadcast packets 0
Time since last state change: 0 days 00:21:30
トンネルインターフェースが「UP」の間は、トンネルはピアの状態を追跡しません。つまり、トンネルは、接続を開始する準備、またはピアの開始に応答する準備ができているということです。トンネルが動作しているかどうかを確認するには、AT-AR4050SからAWSルーター(169.254.XXX.XXX)のリンクローカルアドレスにpingを実行してみてください。pingが成功した場合、トンネルはアップしていて作動しています。ルーティングが希望通りに動作しているかどうかを確認するために、他の所望のネットワークにpingを実行してみて、必要に応じてスタティックルーティングを設定してください。
ルーティング設定
この例では、AR4050Sにデフォルトルートを設定していませんので、次のコマンドでAWSルーターのパブリックIPアドレスおよび本製品が所属するサブネットへのスタティックルートを登録します。
ip route 0.0.0.0/0 ppp0
ip route 172.30.0.0/24 169.254.XX.XX
AR4050Sから開始された通信について、本製品からAR4050Sへの戻りパケットを正しく返送するための設定は、AWS VPNのスタティックIPプレフィックスの項で説明済みです(「IPsec設定」参照)。
ここまでくれば、AWS上の本製品とお客様側AMFネットワークの間でIPの通信ができるようになっています。
AMFの設定については、本インストールガイドでは触れていません。本製品とAMFネットワーク間の仮想リンクの設定については、本マニュアルの「アライドテレシスマネージメントフレームワーク(AMF)」を参照してください。
ファームウェアの更新
本製品のファームウェアを更新するには、software-upgradeコマンドを使います。
前提条件
弊社ホームページから、本製品のメンテナンスファームウェア(ISOイメージファイル)をダウンロードし、AWS上の本製品にアップロードしておく必要があります。
ISOファイル、VHDファイルについて
本製品のファームウェアは次の2つの形式で配布されていますが、それぞれ次のように用途が異なります。
ファームウェアの更新に使うのは ISOイメージファイルのほうです。
- 本製品のCDに収録されているVHDイメージファイルは、AWSにアップロードして本製品のAMIを作成するためのものです。
詳しくは、「Amazonマシンイメージの作成」をご参照ください。
- 弊社ホームページで提供するISOイメージファイルは、すでにAWS上で動作している本製品のファームウェアを更新するためのものです。
更新手順
本製品のファームウェアを更新するには、本製品のCLIにログインして、下記の手順を実行します。
- ファイルシステム上にISOイメージファイルが存在することを確認します。
awplus# dir ↓
4096 drwx Mar 14 2016 03:00:00 atmf/
2401 -rw- Mar 13 2016 23:10:34 V60153A591FFD2F0.bin
143 -rw- Mar 13 2016 09:58:49 reboot.log
551 -rw- Mar 13 2016 09:57:48 default.cfg
25499648 -rw- Feb 16 2016 20:45:45 vaa-5.4.7-1.2.iso ← 新しいファームウェア
- software-upgradeコマンドでISOイメージファイルを指定します。確認メッセージが表示されるので「y」を入力してください。
awplus# software-upgrade vaa-5.4.7-1.2.iso ↓
Install this release to disk? (y/n): y
Upgrade succeeded, the changes will take effect after rebooting the device.
- 新しいファームウェアで再起動します。
awplus# reboot ↓
トラブルシューティング
ネットワーク接続が失われた場合
ネットワーク接続が失われた場合の自動復旧手段として、本製品にはフェイルセーフモードという仕組みが用意されています。
本製品は、AWSとの接続が失われたことを検出するとフェイルセーフモードに入ります。
本製品は、AWS上に存在する既定のいくつかのサーバーに接続できない場合、管理機能へのアクセスができなくなったと見なして、5分間の監視タイマーをスタートさせます。
接続が回復しないまま5分が経過した場合、本製品はデフォルト設定で再起動します。
この機能は、おもに次の理由による接続不能からの自動復旧を目的としています。
- eth0ポートのシャットダウン
- eth0に対する誤ったIPアドレスの静的設定
- ルーティングの問題
デフォルト設定で起動した本製品には、インスタンス作成時に割り当てたオリジナルのSSHキーペアを使ってSSHアクセスできます。
なお、再起動前の設定ファイルは「default_backup.cfg」にリネームされて残されます。
SSHサーバー機能が無効化された場合
本製品は、SSHサーバー機能が無効化された場合も同様に5分間の監視タイマーをスタートさせます。本製品の管理機能はSSHでしかアクセスできないためです。
SSHサーバー機能が無効のまま5分が経過した場合、本製品はデフォルト設定で再起動します。
なお、再起動前の設定ファイルは「default_backup.cfg」にリネームされて残されます。
復旧不能時への備え
前記の仕組みでも本製品への接続を復旧できない場合に備え、正常に動作しているインスタンスイメージのスナップショットをとっておくには、以下の手順を実行します。
- EC2 ダッシュボードで [インスタンス] をクリックします。
- 目的のインスタンスを選択して右クリックし、 [イメージ] から [イメージを作成] を選択します。
作成したスナップショットイメージは、 [イメージ] > [AMI] で確認できます。
このスナップショットからマシンを作成するには、前述の@「インスタンスの作成」で説明した手順と同様、[マイAMI] の下の [スナップショット] から新しいインスタンスを作成します。
スナップショットからインスタンスを作り直した場合、MACアドレスとIPアドレスは以前と異なったものになります。そのため、手動による仮想リンクの再設定やアニュアルライセンスの再登録が必要になります。
(C) 2016 - 2017 アライドテレシスホールディングス株式会社
PN: 613-002312 Rev.E