インターネットに出られない環境からプロキシ経由でRoute53にアクセスする方法

    皆様こんにちは。サイオステクノロジーの西下です。今回は、金融系などのセキュリティ要件が厳しいシステムでLifeKeeperをインターネットに出られない環境で運用する必要がある場合、LifeKeeperからプロキシ経由でRoute53にアクセスする方法を紹介します。

    LifeKeeperはLinux版とWindows版のいずれもAWS(Amazon EC2)をサポートしています。サポートされる構成については以下をご参照下さい。

    [Q:LifeKeeperおよびDataKeeperは、Amazon EC2上でどんな構成をサポートしていますか?]

    Transit Gatewayが利用できない環境での課題

    上記で紹介されていますが、クライアントがVPCの外から閉域網でLifeKeeperにアクセスする構成で、Route53のAレコードをLifeKeeperからRecovery Kit for Route53を使って書き換える方式は、Transit Gatewayとルートテーブルシナリオの組み合わせが一般的になった最近では使用頻度が減ってきています。しかしTransit Gatewayがお客様の環境では使えないケースも少なからずあり、そういったケースではRoute53のAレコードの書き換えによる制御が使われます。

    Route53はAWSではポピュラーなサービスですが、VPCエンドポイント経由では利用できない(インターネットを経由する必要がある)ので、プライベートな環境のLifeKeeperからアクセスする時は注意が必要です。特に金融系などのセキュリティ要件が厳しいシステムでは、LifeKeeperから直接インターネットに出られないケースはよくあると思います。

    プロキシ(Proxy)サーバーを経由して解決

    こういったケースでは、LifeKeeperからプロキシ(Proxy)サーバーを経由することで、プライベートな環境のLifeKeeperからでもRoute53に対して制御が可能になります。

    プロキシを図に描くと下記の構成(例)となります。

    ※構成図のインスタンス

    EC2インスタンス
     (クラスタノード側VPC)

     稼働系ノード:LKNODE01
     待機系ノード:LKNODE02
     踏み台サーバー:LKRDP

    稼働系/待機系ノードは踏み台サーバーから操作を行い、インターネットへアクセスできない。

    EC2インスタンス
     (クライアント側VPC)

    プロキシサーバー:LKPROXY
    クライアント:LKCLIENT
    VyOS:LKVYOS

     

    図に記載の通り、LifeKeeperは右側のVPC内のPrivate Subnetに配置されています。左側のVPCにはInternet Gatewayが用意されており、VPC内にはプロキシサーバーがあります。LifeKeeperからはプロキシサーバーを経由することでインターネットに出てRoute53にアクセスしてAレコードを制御することが可能になります。

    LifeKeeperはAWS CLIを使ってRoute53やルートテーブル等を制御しています。プロキシサーバー経由でAWS CLIを実行するには、AWSが提供している環境変数(HTTP_PROXY、HTTPS_PROXY、NO_PROXY)を使う必要があります。Recovery Kit for Route53はこれらのパラメータに対応しており、LifeKeeperのパラメータファイル上でこれらの値を設定することでプロキシサーバーを経由することが可能になります。

    [マニュアル:Route53 パラメータ一覧(Linux版)]

    [マニュアル:Route53 パラメータ一覧(Windows版)]

    検証レポート

    今回、プロキシサーバー経由でRoute53を制御する構成を検証しました。当構成の検証レポートをLinux版とWindows版のそれぞれをご用意しております。ご希望の方は、下記フォームからお申し込み下さい。

    「インターネットに出られない環境でRoute53を使う」要件で当ブログがお役に立てば幸いです。ぜひご活用下さい。