「Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所」というテーマのビデオセッションで話しました #devio2023

こんにちは！コンサル部のinomaso(@inomasosan)です。

弊社のオフラインイベントDevelopersIO 2023でDirect ConnectとSite-to-Site VPNによる冗長化構成の勘所というビデオセッションを公開しました。

セッション概要

オンプレミスとAWS間についてDirect ConnectとSite-to-Site VPNを併用して接続したいが、情報収集に苦労しているといったことはないでしょうか？そういった方を対象に、設計で特に重要となるポイントをご紹介いたします！

動画

スライド

まとめ

• 最初に冗長化構成が何故必要なのか？ということを検討しましょう。
  • 構築するシステムで、オンプレとAWS間の突発的な停止や、メンテナンス等での停止時間を許容できるかが重要です。
  • 停止を許容できない場合は、冗長化を検討しましょう。
• AWS側のターゲットゲートウェイをどうするか？
  • オンプレミスとVPCの接続、VPC同士の接続数が多い場合は、Transit Gatewayを選択することで運用だけでなくコストやセキュリティでのメリットを享受できるケースが多いです。
• Direct ConnectとSite-to-Site VPNのルーティング
  • 障害時等で接続経路を自動的に切り替えるには、ルーティング周りの仕組みを理解した上で設計するのが重要です。経路制御の特性をしっかり把握しておきましょう。

参考リンク

• [AWS Black Belt Online Seminar]オンプレミスとAWS間の冗長化接続
• 【AWS Transit Gateway】複数VPCのアウトバウンド通信を集約する環境を作る
• AWS Transit Gatewayに接続したShared VPCにVPCエンドポイントを集約してみた
• Direct Connect と VPN をフェイルオーバーのために併用する場合の Transit Gateway ルート設定
• [AWS Black Belt Online Seminar] AWS Site-to-Site VPN
• Transit GatewayやDirect ConnectのAS番号について

このテーマを選んだ理由

案件でDirect ConnectとSite-to-Site VPNを併用した冗長化構成の対応をしていたのですが、一番大変だったのが情報収集です。

Direct ConnectとSite-to-Site VPNの場合は、物理的なリソースの準備も必要なため、他のAWSサービスと違い気軽に検証できませんでした、そのため、なるべく事前に懸念点を確認しておく必要がありました。
インターネット上に必要な情報はあったのですが、接続試験までに見つけられなかった資料もあり、オンプレミスとの接続試験を何度かやり直すことになりました。

そうした経緯で「今回の構成に必要な情報がまとまっている資料がもっと早く手元にあれば。。」と思うことがしばしばあったため、動画＆スライドにまとめてみました。
同じような悩みを抱えている方へ、少しでも役に立てば嬉しいです。

追加でオススメの参考書や資料について

参考書

今回のセッションではASについても簡単に触れさせて頂きました。
実はASが何者なのかについて理解するのに苦労しまして、インターネットで断片的な情報を確認してもぼんやりとしか理解できませんでした。

具体的な設計に関する情報までは不要なものの、概要が体系的にまとまった情報が欲しいなーと思ったところで以下の本に出会いました。

「第1章　ピアリングを巡る静かな戦い」で、インターネットを繋ぐためのASやBGPの噛み砕いた説明がありますので、私と同様にもう少し知識が欲しいといった方にオススメです。

資料

今回は「Direct ConnectとSite-to-Site VPNの併用」をテーマにまとめましたが、ネットワークの要件次第では他の構成を検討した方が良いケースもたくさんあります。
AWSでは次々と新しいサービスやアップデートが発表されているので、その時点で要件とマッチした構成を検討すべきでしょう。

今回のイベントで上記の参考となるセッションがいくつかありましたので、併せてご確認して頂くことをオススメいたします。