本文へジャンプします。

DRに必須!?セキュアネットワークのベンチマークを取ってみました

はじめまして、新米エンジニアの酒井です。

クラウドをDR目的で使用する際、複数のリージョンを利用することが多いと思います。
そうなると、リージョン間のデータのやりとりをセキュアに行うことを考えるわけですが、
ニフティクラウドではセキュアネットワークが役立ちます。
今回は実際に東西でセキュアネットワークのVPNを張り、どれだけの性能が出るのか検証してみました。

東西間でのVPN

ニフティクラウドでのIPsec VPN

まず、ニフティクラウドではIPsec VPNのサービスが2つあります。
違いはクラウド側の機器で、

  • セキュアネットワーク : ソフトウェア
  • インターネットVPN(H/W) : ハードウェア

という違いです。セキュアネットワークの利点として

  • コントロールパネルから操作できる(セキュアネットワークの作成、サブネットの分割など)
  • セキュアネットワーク同士を直接VPN接続できる

があります。
非公開情報をリージョン間でやりとりする場合には、セキュアネットワークを使いましょう。

VPN構成の詳細

今回は以下のような条件で作ることにしました。
ここに書かれている設定は、環境に合わせて変更してください。

セキュアネットワーク名 ゾーン CIDR サブネット名 サブネットCIDR VPNゲートウェイ名
sec1 east-13 172.16.0.0/13 sub1 172.17.0.0/16 vpnGW1
sec2 west-11 172.24.0.0/13 sub2 172.25.0.0/16 vpnGW2

VPNの設定としては

接続方式 暗号化アルゴリズム 認証アルゴリズム 事前共有鍵
IPSec AES256 SHA1 Ve0EDqrj

としました。

接続手順の概要

ここでは、セキュアネットワーク同士を接続する手順の概要を説明します。
スクリーンショット付の詳しい手順についてはとても長くなってしまったので、最後に書いておきます

手順

まず、片側のセキュアネットワークを作成し、VPNゲートウェイを作成します。

  1. (east-13に作りたいので)東日本リージョンで、セキュアネットワーク(sec1)を作成する。

    • セキュアネットワーク名 : sec1
    • ゾーン : east-13
    • CIDR : 172.16.0.0/13
      2.png
  2. sec1のサブネットを作成。

    • サブネット名 : sub1
    • CIDR : 172.17.0.0/16
    • セキュアネットワーク : sec1(172.16.0.0/13)
  3. sec1のVPNゲートウェイ(vpnGW1)を作成。作成後、IPを確認。(今回は、xxx.xxx.xxx.xxxとする)

    • 基本設定のパラメータ
      • VPNゲートウェイ名 : vpnGW1
      • 接続方式 : IPSec
      • 暗号化アルゴリズム : AES256
      • 認証アルゴリズム : SHA1
      • 事前共有鍵 : Ve0EDqrj
    • 拠点設定は何も設定しない

    10.png

    作成されたら、VPNゲートウェイのIPを確認しておきましょう。
    11.png: IPの確認

次に、もう一方のセキュアネットワークを作成し、VPNゲートウェイを作成、接続拠点として、上で作ったVPNゲートウェイを設定します。

  1. (west-11に作りたいので)西日本リージョンで、セキュアネットワーク(sec2)を作成をする。

    • セキュアネットワーク名 : sec2
    • ゾーン : west-11
    • CIDR : 172.24.0.0/13
  2. sec2のサブネットを作成。

    • サブネット名 : sub2
    • CIDR : 172.25.0.0/16
    • セキュアネットワーク : sec2(172.24.0.0/13)
  3. sec2のVPNゲートウェイ(vpnGW2)を作成。作成後、IPを確認。(今回は、yyy.yyy.yyy.yyyとする)

    • 基本設定のパラメータ
      • VPNゲートウェイ名 : vpnGW2
      • 接続方式 : IPSec
      • 暗号化アルゴリズム : AES256
      • 認証アルゴリズム : SHA1
      • 事前共有鍵 : Ve0EDqrj
    • 拠点設定(接続先の情報を入力する)
      • 拠点名 : east
      • IPアドレス : xxx.xxx.xxx.xxx
      • CIDR : 172.16.0.0/13
      • IPIPトンネルの利用 : チェックしない

    13.png

    こちらも作成されたら、VPNゲートウェイのIPを確認しておきましょう。
    16.png

    最後に、vpnGW1の設定に、今作ったVPNゲートウェイを追加しましょう。

  4. vpnGW1の拠点設定する。

    • 拠点設定(接続先の情報を入力する)

      • 拠点名 : west
      • IPアドレス : yyy.yyy.yyy.yyy
      • CIDR : 172.24.0.0/13
      • IPIPトンネルの利用 : チェックしない

      17.png

これで、VPNの設定としては終わりです。
次に、サーバーをセキュアネットワーク内に作りましょう。

  1. east-13で、サーバー作成をします。
    • ゾーン、OS、サーバー名を決めたあと、IPアドレスを『IPアドレスを使用しない』とします。
    • 次の、セキュアネットワークの設定の選択は『する』を選び、
      • セキュアネットワーク : sec1
      • サブネット : sub1
      • プライベートIPアドレス : 今回は自動を選択
          - 以降は通常どおりサーバーを作成します。
  2. east-11でも同様にサーバー作成します。

以上で、作業完了です。

ベンチマーク

セキュアネットワークが利用できるゾーン間で、iperf3を用いてベンチマークを取ってみました。
基本的にはデフォルトのパラメーターで計測しています。実際のコマンドとしては、以下の通りです。

sh
# server side
iperf3 -s -p 80
# client side
iperf3 -c -p 80 --parallel

ちなみに、pingで計ったレイテンシは

  • 東西リージョン間 : 13 ms程度
  • 東日本ゾーン間 : 0.88 ms程度

となっています。東日本の中だとかなり良いですね。

さて、ベンチマーク結果はこんな感じになりました。

暗号化アルゴリズム 並列数 west-11east-12 west-11east-13 east-12 east-13
AES 128 parallel 1 433 Mbps 392 Mbps 596 Mbps
AES 128 parallel 5 108 Mbps 109 Mbps 605 Mbps
AES 128 parallel 10 61.4 Mbps 94.1 Mbps 532 Mbps
AES 256 parallel 1 337 Mbps 365 Mbps 563 Mbps
AES 256 parallel 5 95.2 Mbps 102 Mbps 403 Mbps
AES 256 parallel 10 59 Mbps 68.2 Mbps 410 Mbps

グラフにするとこんな感じです。
AES128とAES

傾向として、

  • AES 128の方がAES 256よりも高速 : 鍵が短い方が速い
  • 同一リージョンの方が高速 : ネットワークトポロジ的に近い方が速い
  • 並列数を増やすと遅くなる : VPNのサーバーの処理の問題

ということがあるようですね。

まとめ

さて、今回はセキュアネットワークのベンチマークを取得しました。
セキュアネットワークを用いることで、自社とニフクラ東西間や、ニフクラの別ID間をVPNで接続することができるようになります。
今回のベンチマーク結果を見ると、東西間でも十分速度が出ている印象です。
データが巨大な場合には差分でバックアップを取るなどの方法を考えなければならない場合もありますが、DR用途としては十分選択肢に挙がるレベルと言えると思います。
ぜひ、セキュアネットワークを使ってDRしましょう!

ニフティクラウド 導入相談窓口
ニフティクラウド 無料セミナー

閉じる

閉じる

クラウドブログ編集部

クラウドブログ編集部

ニフティクラウド ユーザーブログ編集部のアカウントです。 編集部からのお知らせや、レギュラーライター以外のゲストによる寄稿記事を掲載していきます。

浜中 慶

浜中 慶

1980年、神奈川県生まれ。2003年ニフティ入社。 ポータルサイト開発を中心に、音楽配信サービス、CGMサービスなど様々なプロジェクトに企画/デザイン/システム担当として参加。現在は@niftyのポータルサービス向けコンテンツ管理システムの企画/開発/運用を担当。

吉田 雄哉

吉田 雄哉

株式会社co-meetingの創業メンバー。「取締役&External- facing Technologist」と名乗り新しいIT技術を広く伝える活動とWebアプリケーション開発を行う毎日。パッケージベンダーでのSaaS立上げ・製造業の情報システム部門で企画やPM・受託開発と従事してきたため、ベンダーサイドとユーザサイド の両方の視点を持ち合わせる。

石田 健亮

石田 健亮

株式会社ドリーム・アーツで小売事業者向けSaaS「Shopらん」を企画、開発。メインの仕事はプログラマーだがサーバー管理や営業もこなすユーティリティプレイヤー。最近好きな事はパフォーマンスチューニング。特に並列化プログラミングがマイブーム。キライなことはデータセンターでの作業。騒音と乾燥が弱点。ニフティクラウドでデータセンターに行く必要が無くなったことが本当の利点だ と思っている。

五月女 雄一

五月女 雄一

ニフティでは「インフラを守る簡単な様で奥が深いお仕事」をしています。 夢はインフラの気持ちが読めるエンジニアになること。

わたなべ かずひろ

わたなべ かずひろ

専門学校卒業後、ソフトウェア開発会社で電力系統制御システムの開発に従事。その後、CD-ROM等マルチメディア系PCソフトの開発を経て、1998年フリーランスに。 2000年8月に株式会社イーツーの設立に参画。携帯を含む様々なWeb系のシステム開発に携わる。現在はiPhone/Androidアプリなどの開発も手がけている。

市角

市角

ニフティクラウドのコントロールパネル設計・開発をメインに、たまにインフラの運用やお手伝いもやっていたりします。コントロールパネルや新機能の活用方法、アイデアなどを中心に書いていく予定です。

仲山 昌宏

仲山 昌宏

歌って踊れるインフラエンジニア兼、PHPもRubyもJavaも書くPerl使い。 物理サーバの運用に飽きて、フルラックに格安サーバ詰めて自宅プライベートクラウドを構築中。 今年は個人的には分散処理を攻めていきます。

猪飼 賢広

猪飼 賢広

1984年、愛知県名古屋市生まれ。大学は福島県にある某大学。2008年ニフティに入社。 開発系部署に配属後、主に各種テーマサイト開発のシステム面調整、開発進行管理役などとして参加。 現在もPC・ガラケーサイトの開発まわりを担当。インフラまわりを触る案件にも携わっており、日々修行中。 好きな芸人はなかやまきんに君とレイザーラモンRG。

久江 裕之

久江 裕之

ニフティクラウドのインフラ運用、OS提供の仕事をしています。 新しいOSやイメージが出る時にこのブログでご紹介いたします。入社5年目。一流のインフラエンジニアを目指して日々勉強中。

竹内 豪

竹内 豪

ニフティクラウド エンジニア

山口

山口

ニフティクラウドの基盤設計、新サービス/アライアンス/インフラ企画、その他雑用全般を担当しています。 クラウドに欲しい機能や、こんなふうに使ってほしいという想いが共有できれば良いですね。

芳中 隆幸

芳中 隆幸

ニフティクラウドの開発、運用を担当しています。

酒井 浩平

酒井 浩平

ニフティクラウドの中にいます。 ネットワークまわりの運用・開発や自動化などに取り組んでいます。 すべてのエンジニアを幸せにすることを目指しています。

higebu

higebu

ニフティクラウド IaaSのエンジニアです。 ネットワーク、DRサービス with VMware vCloud® Air™ Technology辺りの担当をしています。

武田

武田

ニフティクラウドの開発・運用を担当しています。 各種機能の内容についてなどで執筆させていただく予定です。

森藤 大地

森藤 大地

データに関する仕事が好きです。

宮原徹

宮原徹

日本仮想化技術株式会社 代表取締役社長兼CEO。仮想化技術に関するコンサルタントとして長年活動しており、特にベンチマークテストによる性能評価を得意としている。

荒谷翔

荒谷翔

株式会社はてなでMackerelのセールスデベロッパーとして勤務しています

東條 望

東條 望

2014年にニフティへ中途入社。 入社後から現在まで、ニフティクラウドのサービス企画・開発を担当しています。 各サービスの紹介を執筆させていただく予定です。