Amazon Web Services ブログ

ガバメントクラウド活用のヒント『ガバメントクラウド上で CIDR 重複を起こさないために!』

ガバメントクラウドの利用が進むにつれ、さまざまな検討をしているかと思います。
「ガバメントクラウド活用のヒント」シリーズでは、ガバメントクラウドでの業務システム構築を支援する中でよくご質問をいただく項目について深掘りして情報をまとめています。過去の記事はこちらになります。

ガバメントクラウドの基本的な情報を知りたい方はガバメントクラウドの道案内『自治体職員編』をはじめとする「ガバメントクラウドの道案内」シリーズをご覧ください。
本ブログでは、ガバメントクラウド上での全体のネットワーク設計の肝である CIDR 設計に関して扱っていきます。ガバメントクラウド特有の制限ではなく、オンプレミスとAWS 環境をハイブリッドに構成するネットワーク設計では一般的な内容です。

ガバメントクラウドのネットワーク設計で生じうる課題

地方公共団体がガバメントクラウドで AWS を利用する場合、AWS 上で使用する IP アドレス範囲はお客様側で自由に決定が可能です。一方で、AWS とオンプレミス (庁舎など) は L3 レベルで接続されるため、AWS に割り当てる IP アドレスはオンプレミスで使用していない IP アドレスである必要があります。
そこで、ガバメントクラウドを利用するにあたってはオンプレミスで使用していない IP アドレス範囲を確認し、各利用領域に割り当てる必要があります。理由としては、IP アドレス範囲すなわち CIDR が重複してしまうと、通信に不具合が生じてしまうからです。また VPC の CIDR ブロックは 1 度作成すると変更することが困難のため、CIDR 設計は、十分な検討が必要不可欠です。

どの事業者がネットワークの全体設計を考えるのか

ガバメントクラウド上では誰がこの役割を担うべきなのかという点ですが、庁内ネットワークを管轄している事業者やネットワーク構築運用補助者が想定されます。ネットワーク構築運用補助者の詳細については、こちらのブログでご確認ください。

Amazon VPC の CIDR ブロック

  • VPC を作成するときは、RFC 1918 に指定されているように、プライベート IPv4 アドレス範囲からの CIDR ブロックを指定することをお勧めします。
  • VPC の CIDR ブロックは/16 から/28 の範囲で選択できます。
  • 十分な数の IP アドレスを確保するため、/16から/20程度の CIDR ブロックを選択することが一般的です。
  • 将来の拡張性を考慮した、大きな CIDR ブロックを選択することをお勧めします。

CIDR の重複を回避するには

  • ネットワーク設計時に使用する CIDR を慎重に選定し、重複がないことを確認する
  • CIDR の割り当てを一元的に管理し、重複を防止する
  • ネットワーク変更時には、既存の CIDR との重複がないかを必ず確認する

万が一 CIDR 重複してしまった場合には、オンプレミス側で NAT 変換するという方法がありますが、ネットワーク設計が複雑となります。さらに高価な機器が必要になる場合もあり、デメリットがあります。また、AWS PrivateLink を用いて接続する方法がありますが、アプリケーション側が AWS PrivateLink での接続に対応していない場合があります。そのため、重複を回避する十分な検討が必要不可欠です。

ネットワーク全体設計のポイント

以下の情報を整理して、全体の CIDR 設計を考える必要があります。そしてすべての IP アドレス範囲が重複しない形で全体ネットワークを考慮する必要があります。(共同利用方式のアプリケーション分離方式で提供される場合は除く)

  • オンプレミス (庁舎など) で利用している IP アドレス
  • 各 ASP 事業者の接続先のアプリケーション VPC の IP アドレス
    • 単独利用方式、共同利用方式問わずすべての接続先
    • 共通機能 VPC や運用管理 VPC を含む
    • 東京リージョン、大阪リージョンを含む
    • 他のクラウドサービスプロバイダで利用するシステムの IP アドレスを含む
  • 将来の拡張性を踏まえたシステム用の VPC の IP アドレス
    • ガバメントクラウド上のシステムの追加用の IP アドレス

各 ASP 事業者の接続先の VPC の IP アドレスに関してですが、オンプレミスと重複しない IP アドレス帯で ASP 事業者の VPC が構築されれば問題ありません。しかし、自由に ASP 事業者が各地方公共団体の環境を作成する場合は、CIDR 重複が起こる可能性が極めて高いと考えます。そういったことを防ぐために、全体の CIDR 設計をまず一番最初に行い、オンプレミスや他 VPC と重複しない IP アドレスで単独利用方式及び共同利用方式の ASP 事業者に対して VPC を作成いただくような調整が必要不可欠です。

全体設計の具体的なイメージ例

クラス B ( 172.16.0.0 – 172.31.255.255) の中からオンプレミスと AWS 上で利用する IP アドレスを考えた場合、どのようにネットワーク範囲を考えれば良いかのサンプル例を示します。(もちろん特定のクラスに絞る必要はございません。AWS 上で利用できる IP アドレス範囲はこちらです。)

一番最初に考えることとして、AWS 以外で利用する CIDR と AWS 上で利用する CIDR を適切に区切ることです。オンプレミスと重複しない AWS 上で利用するアドレス帯を決めます。これでオンプレミスと AWS 上の IP アドレスは重複しない設計になります。

  • オンプレミス: 172.20.0.0/14
    • 172.20.0.0 – 172.23.255.255
  • AWS : 172.24.0.0/14, 172.28.0.0/15
    • 172.24.0.0 – 172.27.255.255
    • 172.28.0.0 – 172.29.255.255
  • その他クラウドサービスプロバイダ: 172.30.0.0/15
    • 172.30.0.0 – 172.31.255.255

その上で、AWS 用に区切って用意しておいた CIDR から、ASP 事業者との調整の中で都度 IP アドレスを割り振るような形で全体設計を進めていきます。そうすることで ASP 事業者側も、指定された IP アドレス帯でシステムの構築ができます。ASP 事業者側で作成できる CIDR に制約がある場合もあると思いますので、複数の IP アドレス帯を用意しておくと良いと思います。

例えば、アプリケーションベンダー A に対して、172.25.0.0/16の IP アドレス範囲を利用して AWS 上にアプリケーションの構築を委託するイメージです。地方公共団体とアプリケーションベンダー A で合意の上、アプリケーションベンダー A は指定された IP アドレス範囲でシステム構築を行います。

  • オンプレミス: 172.20.0.0/16
  • ネットワークアカウント: 172.24.0.0/16
  • アプリケーションベンダーA: 172.25.0.0/16
  • アプリケーションベンダーB: 172.26.0.0/16
  • アプリケーションベンダーC: 172.27.0.0/16

また、IP アドレスの一元管理ですが、既存の管理方法があればその方法をご利用頂ければと思います。AWS のサービスとしては、Amazon VPC IP Address Manager (IPAM) があります。AWS ワークロードの IP アドレスを計画、追跡、監視する機能があります。IPAM を使用して、IP アドレスを効率的に管理できます。AWS の Amazon VPC IP Address Manager (IPAM) の知識を深めたい方は[AWS Black Belt Online Seminar] Amazon VPC IP Address Manager (IPAM) をご覧ください。

まとめ

本ブログでは、ガバメントクラウド上での全体のネットワーク設計の肝である CIDR 設計で検討すべきポイントをご紹介しました。重要なポイントとしては、以下の 3 点です。

  • 現在使用している IP アドレスを把握しておくこと。
  • AWS に割り当てる IP アドレス範囲を決定すること。
  • ASP 事業者と調整を行い、適切なネットワーク設計を行うこと

地方公共団体に所属している方、または関連するベンダーパートナーの方でこのブログに関して追記した方がいいことやご不明点などございましたらお気軽に担当のソリューションアーキテクトまたは末尾のお問い合わせ窓口へお気軽にご連絡ください。

免責事項

  • 本ブログや添付資料の内容はできる限り正確な情報を提供するように努めておりますが、正確性や安全性を保証するものではありません。
  • 本ブログや添付資料はあくまで一例であり、すべての作業内容を充足するものではありません。
  • 本ブログや添付資料はガバメントクラウドの新しい情報や AWS サービスの変更・追加などにより今後修正される場合があります。
  • 本ブログや添付資料の利用によって生じた損害等の責任は利用者が負うものとし、アマゾン ウェブ サービス ジャパン は一切の責任を負いかねますことご了承ください。

ガバメントクラウドに関するお問い合わせ

AWS の公共チームではガバメントクラウドクラウド相談窓口を設けています。
本記事で紹介したネットワークに関するお問い合わせのほか、ガバメントクラウド利用全般に関するお問い合わせについて、担当の営業およびソリューションアーキテクトがご回答いたします。ぜひご活用ください。
https://aws.amazon.com/jp/government-education/worldwide/japan/gov-cloud-advisory-site/