皆様お久しぶりです。インフラの中嶋です。
4月になり入社の時期となりましたが、皆様いかがお過ごしでしょうか。
私は4月で入社8年目となりましたが、まだ昨日入社したような感覚です。(時間が経つのは早いですね。。)
今回はFSx環境を1日で構築した話となります!
概要
社内ファイルサーバを可用性等の観点からクラウド移行することとなりました。
候補としてはAzure,FSx,NetApp Cloud Volumeなどがありましたが、比較の結果、コストメリットや管理のしやすさなどからFSxを選定しました。
検証についてはネットワーク要件、機能要件など十分に満たしているかを実際に構築してインフラ内で検証しました。
選定やインフラ内での検証、営業担当とのやり取りなど様々なプロセスを経て現在の導入準備にたどり着きましたが、今回は左記のような過程の部分は割愛します。
では今回は何の話をするかということなのですが、そもそもFSxへの移行は営業部門のみが希望しました。
そして、営業部門で利用しているマクロなどを実際の環境で検証したいとの要望がありました。
ということで今回のお話は、「営業部門での検証のためにFSx環境を1日で構築した話」となります。
構成
※上記の図は同部署の kawatatsuさん が書きました。
将来を見据え認証のみAzureで行い、その他のFSxやクライアントVPN機能などはAWSにて持つような構成にしました。
前提
- Azureアカウントは会社で既に契約していたアカウントを利用
- AWSアカウントはインフラが検証用に契約しているアカウントを利用
ざっくり構築手順
- 以下、Azure作業
- 1.リソースグループとvnetの定義
- 2.AzureAD DSのデプロイ
- 3.仮想ネットワークゲートウェイの定義(IPsecVPN)
- 以下、AWS作業
- 4.VPC・サブネット及びインターネットゲートウェイの作成、ルートテーブルの編集
- 5.VPCカスタマーゲートウェイの作成
- 6.プライベートゲートウェイの作成とVPCアタッチ
- 7.S2S VPNの定義
- 8.ルートテーブルのルート伝播有効化
- 9.S2S VPN設定のダウンロード
- 以下、Azure作業
- 10.ローカルネットワークゲートウェイの作成
- 11.仮想ネットワークゲートウェイでの接続(IPsec)を定義
- 以下、AWS作業
- 12.EC2WindowsServerのデプロイ、セキュリティグループの設定
- 13.WindowsServerをAzureAD DSのドメインに参加
- 14.WindowsServerにユーザ管理系ツールのインストール(StorageMigrationServiceTools、AD DS and AD LDS Tools)
- 15.Azure ADDS内の権限設定とFSx用システムアカウントの定義
- 16.FSxのデプロイ
- 以下、Azure作業
- 17.エンタープライズアプリケーションよりAWS Client VPNを検索し作成
- 18.AWS Client VPNのユーザの割り当て、SAML ssoの設定、マニフェストの確認
- 19.フェデレーションメタデータ(IdP)のダウンロード
- 以下、AWS作業
- 20.IAMにIdP情報を登録
- 21.ClientVPNの定義
- 22.ClientVPNのネットワーク関連付けと認証の追加
- 23.クライアント設定のダウンロード
構築はここまでで完了。あとはクライアント側でAWS純正VPNアプリをDLして接続確認します。
振り返り
今回、内容まではボリュームがありすぎて説明できませんでしたが、FSx構築というだけで様々な手順が必要になるのだなとあらためて認識させられました。
ざっくりと大まかに書き出しただけですが、このボリュームから大変さが伝わるかと思います。
今回は構築資料を見ながらの構築でしたし、構築中ずっと傍で見てくれていたKさんが詰まった時などに助けてくれたこともあり1日(実際にかかった時間は6時間弱)で構築することができました。
おそらく1から(構築資料なく)、1人で構築していたら1日どころじゃなく1週間以上かかっていたかと思います。
構成や仕組みまで理解していると繋がらなかった時にどこで失敗しているのかが分かるので1から自分で作ってみるというのは大きな経験になるのだなと実感しました。
皆さんもぜひ1から構築してよきFSxライフをお送りください!それではまた~!