AWS CloudFormation: AWS CloudFormation で Gate Peer を作成する | SORACOM Gate

Canal と Gate を組み合わせると、「Amazon Web Services (AWS) 上に構築したお客様の Amazon VPC」と「IoT SIM を利用するデバイス」が双方向で通信できる環境を構築できます。ここでは、AWS CloudFormation でお客様の Amazon VPC 内に EC2 インスタンス (以下、Gate Peer と呼びます) を作成し、Gate Peer を「Amazon VPC 内の別の EC2 インスタンスからデバイスに接続するための NAT インスタンス」として動作するように構成します。

Gate C2D の利用について

Gate を有効化して利用できる Gate C2D は、VPG のタイプによって利用可否が異なります。

VPG Type-E では、Gate C2D は利用できません。
VPG Type-C/D でも、Gate C2D を利用できます。

システム概要

操作を始める前に準備が必要です (クリックして確認してください)

(1) SORACOM Canal の環境を構築する

Amazon VPC を作成し SORACOM Canal で VPG と接続してください。詳しくは、SORACOM Canal を使用して閉域網で接続する (Amazon VPC ピアリング接続) を参照してください。

準備完了

ステップ 1: Gate を有効化する

Gate を有効化すると、以下の 2 種類の通信ができるようになります。

Gate Peer と VPG での通信 (Gate C2D)
同じ VPG を利用するデバイス間での通信 (Gate D2D)

VPG の VPG 設定画面で [デバイス LAN 設定]をクリックします。
VPG 設定画面を表示する操作について詳しくは、VPG の設定を変更するを参照してください。
[Gate を有効にする] のスイッチを On にします。

以下の項目を設定します。

項目説明

[VXLAN NETWORK IDENTIFIER (1-16777215)] VXLAN ID です。デフォルトでは 10 です。1-16777215 の範囲で任意に指定できます。ここで指定した VLAN ID を使用して後ほど Gate Peer を作成します。

項目	説明
[VXLAN NETWORK IDENTIFIER (1-16777215)]	VXLAN ID です。デフォルトでは `10` です。1-16777215 の範囲で任意に指定できます。ここで指定した VLAN ID を使用して後ほど Gate Peer を作成します。
[プライバシーセパレーター]	IoT SIM を利用するデバイス間の通信 (Gate D2D) について有効 / 無効を指定できます。チェックを入れる : Gate D2D を無効にします。チェックを外す : Gate D2D を有効にします。

[プライバシーセパレーター]

IoT SIM を利用するデバイス間の通信 (Gate D2D) について有効 / 無効を指定できます。

チェックを入れる : Gate D2D を無効にします。
チェックを外す : Gate D2D を有効にします。

[保存] をクリックします。

ステップ 2: Gate Peer を VPG に登録する

Gate Peer を VPG に登録します。

Gate を使用する VPG の VPG 設定画面で [デバイス LAN 設定] をクリックします。
VPG 設定画面を表示する操作について詳しくは、VPG の設定を変更するを参照してください。
[お客様の Gate Peer 一覧] の [＋ Gate Peer を追加] をクリックします。

「Gate Peer を追加」画面が表示されます。

以下の項目を設定します。

項目	説明
[トンネル接続用 IP アドレス]	VPG からお客様のネットワークにアクセスするときの、トンネル (仮想 L2 接続) の終端の IP アドレスを指定します。具体的には、Amazon VPC 内で Gate Peer (EC2 インスタンス) に割り当てるプライベート IP アドレスです。ここで指定したプライベート IP アドレスを使用して後ほど Gate Peer を作成します。
[デバイスサブネット内 IP アドレス]	デバイスが Gate Peer (EC2 インスタンス) にデータを送信するときの IP アドレス (デバイスサブネット内 IP アドレス) を固定できます。空欄にすると、VPG 設定画面の [デバイスサブネット IP アドレスレンジ] 内の IP アドレスが自動的に割り当てられます。

[作成]をクリックします。

トンネル接続用 IP アドレスと、デバイスサブネット内 IP アドレスの役割については、トンネリング技術とオーバーレイネットワークの概要を参照してください。
VXLAN 設定手順が表示されます。[閉じる]をクリックします。

ステップ 3: AWS を準備する

AWS CloudFormation で Gate Peer を作成する

AWS CloudFormation で Gate Peer (EC2 インスタンス) の作成を行います。

以下のボタンをクリックして、AWS マネジメントコンソールの「スタックのクイック作成」画面を表示します。
このボタンをクリックすると、東京リージョンの「スタックのクイック作成」画面が表示されます。AWS リソースは東京リージョンに作成されます。
AWS CloudFormation テンプレート
ここで利用する AWS CloudFormation テンプレートは、ダウンロードできます。作成されるリソースについては AWS CloudFormation スタックで作成される AWS リソースを参照してください。

以下の項目を設定します。

パラメーター	説明
[DeviceSubnetCidrLength]	デバイスサブネット IP アドレスレンジのサブネットマスク (`/` を除く) を入力します。Gate を使用する VPG の VPG 設定画面から確認できます。例: `9`
[GatePeerVxlanInnerIp]	ステップ 2: Gate Peer を VPG に登録するで [お客様の Gate Peer 一覧] → [デバイスサブネット内 IP アドレス] に入力した IP アドレスを入力します。
[GatePeerVxlanOuterIp]	ステップ 2: Gate Peer を VPG に登録するで [お客様の Gate Peer 一覧] → [トンネル接続用 IP アドレス] に入力した IP アドレスを入力します。
[InstanceImage]	Gate Peer として使用する EC2 インスタンスの AMI ID を入力します。デフォルトでは、Amazon Linux 2 の最新 AMI が使用されます。AMI (Amazon マシーンイメージ) については、Amazon マシンイメージ (AMI) を参照してください。
[InstanceName]	Gate Peer として使用する EC2 インスタンスのインスタンス名を入力します。
[InstanceType]	Gate Peer として使用する EC2 インスタンスのインスタンスタイプを選択します。デフォルトでは、`t2.micro` です。
[KeyPair]	Gate Peer へ SSH 接続する際のキーペアを選択します。
[LoginRestriction]	Gate Peer へ SSH 接続する際の接続元 IP アドレスレンジを指定します。
[PublicIP]	Gate Peer として使用する EC2 インスタンスに、Elastic IP を作成してパブリック IP アドレスを割り当てるかどうかを指定します。 `true` : Elastic IP が作成され、Gate Peer にパブリック IP アドレスが割り当てられます。 `false` : パブリック IP アドレスを割り当てません。
[RequesterVpcCidr]	VPG の IP アドレスレンジを入力します。VPG の IP アドレスレンジはSORACOM Canal を使用して閉域網で接続する (Amazon VPC ピアリング接続) で設定した Amazon VPC ピアリング接続の [説明] タブに記載されている [リクエスタ CIDR] です。
[SubnetId]	Gate Peer を作成するお客様のサブネットのサブネット ID を選択します。サブネット ID は、サブネット一覧で確認できます。インターネットへの経路の有無を確認してくださいこの AWS CloudFormation テンプレートでは、インターネットから Gate Peer (EC2 インスタンス) に VXLAN 設定スクリプトがダウンロードされます。あらかじめサブネットにインターネットへの経路があることを確認してください。 Gate Peer にパブリック IP アドレスを割り当てる場合 ([PublicIP] が `true`) は、Gate Peer から直接インターネットへアクセスできます。あらかじめインターネットゲートウェイを使用して、サブネットにインターネットへの経路を設定してください。 Gate Peer にパブリック IP アドレスを割り当てない場合 ([PublicIP] が `false`) は、Gate Peer から直接インターネットへアクセスできません。あらかじめ NAT ゲートウェイなどを使用して、サブネットにインターネットへの経路を設定してください。
[VpcId]	Gate Peer を作成するお客様の Amazon VPC の VPC ID を選択します。 VPC ID は Amazon VPC 一覧で確認できます。
[VpgTunnelIp1]	VPG のトンネル接続用 IP アドレスを入力します。VPG 設定画面の [デバイス LAN 設定] → [VPG の Gate Peer 一覧] に表示されている 1 つ目の Gate Peer の [トンネル接続用 IP アドレス] です。
[VpgTunnelIp2]	VPG のトンネル接続用 IP アドレスを入力します。VPG 設定画面の [デバイス LAN 設定] → [VPG の Gate Peer 一覧] に表示されている 2 つ目の Gate Peer の [トンネル接続用 IP アドレス] です。
[VxlanId]	VXLAN ID を入力します。VPG 設定画面の [デバイス LAN 設定] → [Gate を有効にする] → [VXLAN NETWORK IDENTIFIER (1-16777215)] に入力した値です。

[スタックの作成] をクリックします。スタックの完了には数分かかります。
パラメータに不備があった場合、スタックの実行に失敗します。スタックを削除し、再度 AWS CloudFormation で Gate Peer を作成するに従って、スタックを実行してください。スタックの削除方法は AWS リソースを削除するを参照してください。

ルートテーブルに宛先を追加する

AWS CloudFormation で Gate Peer を作成するで作成した Gate Peer は、お客様の Amazon VPC 内の EC2 インスタンス (Gate Peer を除く) からデバイスに接続するための NAT インスタンスとして動作します。必要に応じてご利用の Amazon VPC のルートテーブルからルートを追加してください。

ルートテーブル一覧から対象のルートテーブルを選択し、[ルート] → [ルートを編集] をクリックします。
[ルートを追加] をクリックします。

各項目を入力し、 [変更を保存] をクリックします。

項目	説明
送信先	VPG の [デバイスサブネット IP アドレスレンジ] を指定します。
ターゲット	[インスタンス] をクリックし、作成した Gate Peer の EC2 インスタンス名を選択します。

routetable

ステップ 4: Amazon VPC からデバイスに接続できることを確認する

お客様の Amazon VPC とデバイスが Gate で接続された状態になっています。Amazon VPC 内の EC2 インスタンス (Gate Peer を除く) からデバイスに接続できることを確認しましょう。以下は ping でアクセスする例です。

IoT SIM のプライベート IP アドレスは詳細表示から確認できます。

$ ping 10.128.0.XXX -c 4

PING  10.128.0.XXX  ( 10.128.0.XXX ) 56(84) bytes of data.
64 bytes from  10.128.0.XXX : icmp_seq=1 ttl=63 time=534 ms
64 bytes from  10.128.0.XXX : icmp_seq=2 ttl=63 time=53.0 ms
64 bytes from  10.128.0.XXX : icmp_seq=3 ttl=63 time=45.9 ms
64 bytes from  10.128.0.XXX : icmp_seq=4 ttl=63 time=54.0 ms

ステップ 5: 使い終わったリソースを削除する

Gate を無効化する

Gate の機能を使わないときには Gate を無効化できます。Gate を無効化すると、お客様のネットワークからデバイスへの通信、デバイス間の通信を停止できます。この方法の特徴は、以下のとおりです。

VPG はそのまま残るため、VPG の利用料金は継続して発生します。
グループ設定もそのまま残るため、アプリケーションサービス等利用料割引は、継続して適用されます。
再びデバイス間通信が必要になったときは、ステップ 1: Gate を有効化すると、同じ設定をもう一度利用できます。

Gate を無効化する手順は、以下のとおりです。

Gate を無効化する VPG の VPG 設定画面で [デバイス LAN 設定] をクリックします。
[Gate を有効にする] のスイッチを Off にして、[保存] をクリックします。

VPG の利用料金は継続して発生します

VPG を削除するまでは、VPG の利用料金が発生します。不要になった VPG は速やかに削除してください。 VPG の削除方法は使用方法: VPG の利用を終了する / 削除するを参照してください。 VPG の利用料金について詳しくは、Virtual Private Gateway のご利用料金を参照してください。

Gate の有効 / 無効を切り替える際には数十秒程度の通信断が発生します。

AWS リソースを削除する

Gate Peer で利用する Amazon EC2 にはそれぞれ利用料金が発生します。作成されたスタックを削除すると、テンプレートを利用して作成された AWS リソースがすべて削除されます。

AWS CloudFormation コンソールにアクセスして、[スタック] →「SoracomC2DGatePeer」の順にクリックします。
「SoracomC2DGatePeer」は、AWS CloudFormation で Gate Peer を作成するで作成したスタックです。
[削除] をクリックします。

参考

AWS CloudFormation スタックで作成される AWS リソース

AWS CloudFormation で Gate Peer を作成するで作成された AWS リソースは、AWS CloudFormation コンソールにアクセスして、[スタック] →「SoracomC2DGatePeer」→ [リソース] タブの順にクリックすると確認できます。

resources

AWS リソース	リソース名	説明
EC2 インスタンス	AWS CloudFormation で Gate Peer を作成するの [InstanceName] で入力したインスタンス名。	8 GiB の EBS ボリュームがアタッチされます。
Elastic IP	`eip-<インスタンス名>`	AWS CloudFormation で Gate Peer を作成するの [PublicIP] で `ture` を選択した場合は、Elastic IP が作成され Gate Peer (EC2 インスタンス)へ割り当てられます。
セキュリティグループ	`soracom-c2d-gate-peer-sg`	Gate Peer 用のセキュリティグループです。

Gate Peer 用のセキュリティグループ

セキュリティグループ soracom-c2d-gate-peer-sg にはあらかじめ下記のルールが設定されています。必要に応じてルールを追加してください。

インバウンドルール:

タイプ	プロトコル	ポート範囲	ソース
カスタム ICMP	エコー要求	-	`0.0.0.0/0`
カスタム UDP	UDP	4789	AWS CloudFormation で Gate Peer を作成するの [RequesterVpcCidr] に入力した VPG の IP アドレスレンジ。
SSH	TCP	22	AWS CloudFormation で Gate Peer を作成するの [LoginRestriction] に入力した接続元 IP アドレスレンジ。

アウトバウンドルール:

タイプ	プロトコル	ポート範囲	送信先
すべてのトラフィック	すべて	すべて	`0.0.0.0/0`

Gate C2D の利用について

AWS CloudFormation テンプレート

インターネットへの経路の有無を確認してください

VPG の利用料金は継続して発生します