1NCE Connectでの閉域環境の構成例　　OpenVPN/Transit Gateway/IPsec

まずは1NCE Connect とはなんのかですが、今までは1NCEって接続するだけじゃなくて、プラットフォーム機能もたくさんありますよという意味で、1NCE OSばかり説明してきましたが、実は1NCE SIMという意味で使う場合のサービス名としては1NCE Connectが正式な名前になります。

1NCE Connectの中に含まれる機能としては、基本的には以下のようなものになっており、この接続オプションの１つとして紹介していく、閉域オプションが存在します。

•  500 MB / 250 SMS
•  グローバルカバレッジ
•  シングルAPN
•  回線管理システム／1NCE ポータル
•  Data Streamer
•  閉域接続サービス

1NCEで閉域接続を行うメリット

基本的に閉域接続と聞くと、セキュリティのためというのが一番に思い当たるとは思います。

もちろん閉域接続するということはインターネットに出ないということですから、インターネットからの不審なアクセス、攻撃から通信経路を自体を守るということが期待できます。

一方で、1NCEの通信ネットワークという観点では、もう一つの側面があり、それは下りの通信になります。

というのも、1NCEはSIMにアサインされるIPアドレスがプライベートIPアドレスになっており、インターネットからはこのIPアドレスには到達できないものになっています。

他キャリアの場合は、グローバルIPオプションなどもある場合もあるのですが、1NCEの場合はデバイスへのセキュリティという観点もあり、プライベートIPアドレスしか提供していないというのがあります。

1NCE SIMの場合は、デバイスとの直接の下り通信を行うためには、VPNを張った上でそのVPN通信経由でデバイスに直接通信、SSHなどを行うことが可能になっています。

またVPNを使用しないローカルブレイクアウト経由での接続に関しては、以下のような接続のタイムアウト制限があるのですが、VPN経由ではこの制限を気にすることがなく接続できるというのも大きなメリットです。

インターネットブレークアウトには、保留中の接続に対する静的なNATタイムアウトはありません。非アクティブなTCPおよびUDP接続のタイムアウトについて考慮してください。確立されたTCP接続のタイムアウトは600秒、UDPのタイムアウトは120秒です。それぞれのタイムアウト後、さらなるデータの送信がない場合、TCP/UDP接続は閉じられます。新しいTCPおよびUDP接続はいつでも開始できます。新しいPDPを使ってSIMデバイスを再接続する必要はありません。

参考：1NCE Internet Breakout マニュアル

ただし、1NCE閉域接続にはいくつか制限があるので、利用の際には以下に留意することが必要です。

• １アカウント当たり、１接続までのしか使用できない（ただしサブ組織ごとに新しいVPNを作成することが可能）
• ローカルブレイクアウトは自動モードではなく、リージョン固定で使用すること

リージョンの制限はインターネットの出口＝Local Breakoutになっているので、出口が変わってしまうとエンドツーエンドでの通信ができなくなるためです。

以下に1NCE閉域構成を作った場合のシステム概要図を書いてみました。

1NCEとしては、いくつかの閉域接続のオプションがあり、その中から要求にあった接続構成を検討していくことになります。

1NCE 閉域接続サービス

1NCEで提供している閉域接続サービスに関しては、以下の３つになります。

OpenVPN

OpenVPNは、仮想プライベートネットワーク（VPN）のソリューションの１つであり、主な特徴としては、オープンソースのソフトウェアであり、現在も世界中で利用されているサービスの１つです。

オープンソースというのは、インターネット上でソースが公開されているということで、誰でもコードをレビューしたり、コード自身をカスタマイズできるので、セキュリティや信頼性が高いと言えます。ただし、逆に言えば管理者という人はいないので、カスタマイズにより動作しなくなる、不安定になるといったことは自己責任になります。

ちなみにコード自体はGitHub OpenVPNで公開されています。

ただ、基本的にOpenVPNを使う場合には、色々なライブラリが配布されていますので、難しく考えずにライブラリをインストールして、設定ファイルをいれれば接続自体は完成します。

また1NCEのOpenVPNの制限としては、以下のポイントを抑えておいてください。

• 無料で使えること

• インターネット内での論理閉域になること

• １つブレイクアウト辺り、同時１セッションまで接続できる

• OpenVPN ClientのIPアドレスは静的に割り当てられる（Crendentialファイルを変えない限りは変わらない）

ここからはOpenVPNでの構成例をいくつか紹介していきたいと思います。

デバイスへの一時アクセスとして使用する構成

まずは最もシンプルな使い方になりますが、ノートPCにOpenVPN Clientを直接インストールして、パソコンから直接デバイスのプライベートIPに接続するような構成になります。

この構成を使えば、何かデバイスに問題が合った際にすぐにデバイスにSSH接続などを行い、デバイスの復旧をリアルタイムに実施しているということです。

OpenVPNをエンドポイントとして使用する構成

この構成はもう少しシステムを構築する目的で作るものになります。デバイスからのデータを閉域化させたかったり、閉域化させることで、デバイスからの接続プロトコルに非暗号化のものを使用し、消費データを削減するという方法を作ることができます。

上記構成の場合、クラウド側のエンドポイントに直接OpenVPNをインストールさせることで、デバイスからはMQTTエンドポイントを作成することが可能になります。

IPフォワーディング機能でVPNゲートウェイとして使用する

この構成は、そのままVPNゲートウェイとして使用するような構成になります。

OpenVPNというか、Linux系サーバーにはIPフォワーディングを行う機能があるため、この機能を使うことで、OpenVPNを使ってSite-to-Siteのような接続を作ることが可能です。

このケースでは、VPNゲートウェイ化させたOpenVPN Clientの後ろにロードバランサーなどを設置することで、比較的信頼性の高いシステム構成を作成することが可能です。

Transit Gateway

次は、AWSクラウド限定の機能にはなりますが、1NCEネットワークと直接Transit Gatewayを使って、AWS内の閉域として構築する形になります。

1NCE側ではTransit Gatewayを使用しているので、クラウド側にはTransit Gateway Attachmentを作成し、PaaS的に接続できるのが一番のメリットです。つまりTransit Gateway部分の接続に関する信頼性はAWS側で担保してくれるということですね。

ただ利用に当たってはいくつかの制限や留意事項があるので、以下を抑えておきましょう。

• 有償オプションであること（年間利用）

• AWSとの接続にしか使えないこと

• ルーティングテーブルに設定できるのは最大３セグメントまで

• 設定できるIPセグメントには限りがあるので、1NCE側に事前申請が必要なこと

• AWS側リージョンに制限があり、現状でeu-central-1（フランクフルト）、eu-west-1（アイルランド）、ap-northeast-1（東京）、us-east-1（バージニア北部）、us-west-1（北カルフォルニア）の５つとしか接続はできない。つまりリージョン間の接続ができないということ。

Transit Gateway構成例

以下がTransit Gatewayを使用した場合の接続構成になります。

この構成の場合は、Transit Gateway Attachmentを作成するだけで、接続ができるようになるので、比較的に簡単です。

ただ前項に書いたようにいくつか接続に関する制限があるので、設定においては事前に1NCE側と調整が必要になります。

Transit Gatewayを用いたNG構成例

因みにもう一つ参考までに、TransitGatewayでは作れない構成例も紹介します。

1NCEのTransit Gatewayでは接続できるリージョンに制限があったり、既存の閉域サービスとの接続をどうにかして実現したいとなった場合ですが、以下のようにTransit Gateway Attachmentと仮想ゲートウェイを駆使して、どうにかしてネットワークルーティングをさせたいと思うかもしれません。

しかしこの構成は残念ながら設定できません。

1NCEの制限というよりも、AWS側の制限で「推移的ルーティング」というのができないようになっていて、複数のVPCは数珠つなぎに接続はできません。制限について詳しくは VPC ピアリングの制限事項 を参照してください。

なお、Transit Gatewayを駆使して、Direct Connectという方法を使えば、複数のVPCを接続するようなこともできるのですが、1NCE側としては現状この接続には対応していません。

IPsec

IPsecの構成に関しては、基本的にはTransit Gatewayと一緒のものになります。

Transit Gatewayを使っているので基本的に制限は同じなので、あとは自分自身がAWSを使っているのかそれ以外なのかというのが主な違いになります。

ただし、Transit Gatewayよりはもう少し制限が緩くなっている印象です。

• 有償オプションであること（年間利用）

• ルーティングテーブルに設定できるのは最大３セグメントまで

• アカウント辺り、最大５ IPsecまで設定が可能

• 設定できるIPセグメントには限りがあるので、1NCE側に事前申請が必要なこと

IPsecの構成例

この構成のメリットとしては、クラウドだけではなく、オンプレ構成にも対応していることになります。

図はAWSのものを使っていますが、オンプレのサーバーと直接接続をさせたい場合には、この構成しか1NCEでは実現できません。

まとめ

今回は1NCEを使って閉域構成をする際の、構成例やメリットデメリット、制限事項などをまとめていきました。

1NCEは安いから閉域環境は作れないと思っていた人もいるかもしれませんが、もちろんなんでもできるわけではありませんが、比較的に自由度高く、ネットワーク構成は作成できることがわかりましたね。

これから1NCEを使って、IoTシステムを構築したいと思っている方は是非ソフトバンクもしくは1NCEまでご相談ください。

1NCE（ワンス）SIMカードでは法人ユーザーであれば、どなたでも１枚からWebで購入が可能で、今回紹介した1NCE SIM管理プラットフォームの機能は、アカウントユーザーであればであれば誰でも無料で試すことができますので、まずは是非触ってみてください。

▶　1NCEショップ

関連サービス