この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、崔です。
当エントリは弊社コンサルティング部による『AWS再入門ブログリレー 2020』の3日目のエントリです。
このブログリレーの企画は、普段AWSサービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。
AWSをこれから学ぼう!という方にとっては文字通りの入門記事として、またすでにAWSを活用されている方にとってもAWSサービスの再発見や2020年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合い頂ければ幸いです。
では、さっそくいってみましょう。3日目のテーマは『AWS Direct Connect』です。
目次
AWS Direct Connectとは?
AWSとオンプレミスを接続するためには、なんらかのネットワークが必要になってきます。
具体的には、インターネットか専用線による接続が考えられます。
AWS Direct Connectは、データセンターやオフィスを、専用線を介してAWSへプライベートに接続するためのサービスです。
オンプレミスの環境から、VPCだけでなく、S3などのパブリックなAWSサービスにも接続することが可能になります。
インターネットで接続する場合に比べて、多くの場合において、次のメリットが得られます。
- 安価なアウトバウンドトラフィック料金
- 安定、良好なネットワーク品質(遅延、パケット損失率、スループット等)
本日は、AWS Black Belt Online Seminar AWS Direct Connect をベースに、進めていきます。
物理接続
物理接続
まず物理接続を見ていきましょう。
Black Beltの資料が大変参考になりますので、こちらを見ていきましょう。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
まず、オンプレミスのルーターから専用線を使って、Direct Connectロケーション に接続します。
Direct Connectロケーションとは、AWSクラウドへの物理的な接続を提供する拠点のことです。
この物理接続をコネクション、もしくは、単に接続と呼びます。
このコネクションは帯域としては、1Gbps/10Gbpsのポート速度をサポートしています。
このDirect Connectロケーションの中で、自分たちで機器を設置するか、もしくは、APNパートナーが既に設置している機器を利用することにより、ロケーションの中で、AWS Direct Connectデバイスと接続するができます。
これらを通じて、その向こう側にあるVPCや、S3などのパブリックサービスと接続します。
このようにして、オンプレミスのDCからAWSまで、エンドツーエンドで接続することになります。
東京リージョンのDirect Connectロケーションとしては、現在、東京/大阪/台湾に合計5箇所が存在します。
AWS Direct Connect のロケーション - AWS Direct Connect | AWS
Direct Connectロケーションでの接続
Direct Connectロケーションの中を見てみましょう。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
オンプレミスの拠点から、Direct Connectロケーション内のAPNパートナーもしくは自身でハウジングしたラック内にあるルーターに接続します。
次に、Meet-Me Roomの中で、Patch Panel間をパッチングすることで、AWS管理のラック内のルーターに接続できます。
これにより、AWSのルーターからAWSの各サービスのリソースに接続することができます。
接続のパターン
接続のパターンとしては、3つのケースが考えられます。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
まず、Direct Connectロケーションに自身で機器を設置する場合です。自身でDirect Connectロケーションの中に、ハウジングでルーターなどの機器を設置することになります。
次に、Direct ConnectロケーションからAPNパートナーの専用線で接続する場合です。このパターンが割と多いと思います。
最後に、APNパートナーの閉域網(IP-VPN網、モバイル網等)経由で接続する場合です。複数拠点からAWSクラウドに接続することができます。
Link Aggregation Group(LAG)
次に、LAGについて見ていきます。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
LAGとは、複数のコネクションを集約して一つの論理インターフェースとして提供するものになります。
等速度なコネクションを最大で4つ集約し、例えば、1Gbpsのコネクションを4Gbpsに、もしくは10Gbpsのコネクションを40Gbpsとして、論理的に束ねて利用することができます。また、各コネクションにトラフィックが分散されます。
LAGを構成するメンバーポートは同一のAWS Direct Connect デバイスに収容されている必要があります。
冗長化構成を検討する場合は、別のAWS Direct Connectデバイスに別のLAGを作成する必要があります。
論理接続
次に、論理接続について見ていきます。
仮想インターフェース(Virtual Interface = VIF)
まず、仮想インターフェース(VIF)です。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
コネクション(物理接続)の中に、AWSリソースにアクセスするための論理インターフェイスをひく必要があり、これをVIFと呼びます。
VIFは、AWSとルーターの間でBGPピアを確立し経路交換するために必要で、各VIFはVLAN IDを持ちます。
VIFは現状、3種類存在します。
まず、AWSのパブリックサービスへパブリックIPを介した接続を提供するのがPublic VIF、
次に、VPCへプライベートアドレスを介した接続を提供するPrivate VIF、
最後に、Direct Connect Gateway経由でTransit Gateway への接続を提供するのがTransit VIFです。
Transit VIFについては、1Gbps以上のコネクションが必要になります。
また、コネクションを所有しているAWSアカウントから、他のAWSアカウントに対してVIFを提供することも可能です。
Public VIF
Public VIFを利用した接続は、次の構成になります。re:Invent2019の資料から抜粋です。
・参照:NET412-R Become an AWS VPN and AWS Direct Connect expert
中国リージョンを除く全リージョンのAWSサービスと接続可能です。
Private VIF
次に、Private VIFとDirect Connect Gatewayを利用した接続についてです。
・参照:NET412-R Become an AWS VPN and AWS Direct Connect expert
Private VIFとDirect Connect Gatewayを利用することで、複数のVPCに接続することができます。
DXGWに紐付けるVGWは最大10個までです。
Private VIFとVGWを直接紐付けることも可能です。
DXGWを経由したVPC間の通信はできません。
DXGWは、別のリージョンや別のアカウントのVGWにも接続可能です。
Transit VIF
次に、Transit VIFとTransit Gatewayを利用した接続についてです。
・参照:NET412-R Become an AWS VPN and AWS Direct Connect expert
Transit VIFにアタッチされたDirect Connect Gatewayから、Transit Gatewayをアソシエイトします。
1つのDXGWにアソシエイトできるTGWは、3個までです。
APNパートナー経由のDirect Connect
占有型と共有型
APNパートナーが提供するサービスを見ていきましょう。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
APNパートナーが提供するサービスには、占有型と共有型(ホスト型VIF)があります。
- Direct Connect(占有型)
- Connection自体が提供され、自身のアカウントで占有可能
- VIFを自由に設定可能
- Connectionの物理帯域(1G, 10G)を占有
- 共有型を3本以上引くと価格が逆転することも
- Transit VIFは1つまで
- Direct Connect(共有型)
- Connectionは、APNパートナーのアカウントが所有したまま
- リクエストベースでVIFが、自身のアカウントに提供される
- 帯域保証型、ベストエフォート型などさまざま
- ホスト型VIFとも呼ばれる
- Transit VIFは利用不可
ホスト型接続
・参照:AWS Black Belt Online Seminar AWS Direct Connect
また、APNパートナーが提供するサービスで、ホスト型接続(Hosted Connection)というものがあります。
物理的なConnectionではなく、ホスト型接続と呼ばれる仮想的なConnectionが提供されます。
ホスト型接続の中に、VIFを一つだけ設定できます。
1Gbps未満の帯域の接続(Sub-1G Connection)も可能になります。
- 50, 100, 200, 300, 400, 500(Mbps)いずれかの帯域を占有可
また、現在では、1, 2, 5, 10Gbpsのホスト型接続もサポートされています。
・AWS Direct Connect が 500 Mbps を超えるホスト型接続容量を追加
また、Transit VIFは1つまで利用可能ですが、Sub-1G(1Gbps未満)の場合は利用不可ですので注意が必要です。
どのAPNパートナーがホスト型VIFやホスト型接続を提供しているかは、下記のリンクでご確認ください。
パートナー - AWS Direct Connect | AWS
高可用性
デュアルロケーション
高可用性のためにDirect Connectを冗長化する場合は、異なるロケーションへの分散が基本となっています。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
デュアルロケーション(複数のロケーションで分散する)の場合、上記の例では、東京内の異なるDirect Connectロケーションで冗長化している形です。
上記のうち、一つを大阪や台湾のDirect Connectロケーションを利用し、冗長化することも可能です。
冗長構成における経路制御
経路制御について、見ていきます。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
まず、DXGW、もしくはVGWに複数のVIFを終端することで冗長化します。
Active/Activeにするのか、Active/Standbyにするのか、をルーター設定時にBGPのパス属性を用いて経路を制御します。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
同じ宛先を持つ複数のBGPルートから、ベストパスを選択するためにLP(Local Preference)とAS-Path Prependが利用されます。
- AWSから受信するルートにLPを付与することで送信トラフィックを制御
- LPは大きいものが優先
- AWSへ送信するルートにAS-Path Prependを付与することで受信トラフィックを制御
- Prependが短いものが優先
経路制御(Active/Active)
Active/Activeの場合を見ていきます。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
2本のDirect Connectの間でトラフィックをロードバランスし、Active/Activeとして利用するためには、パス属性を揃える必要があります。
- AWSへ送信するBGPルートのASパス長、LPコミュニティ、MED
- AWSから受信するBGPルートに付与するLP値
経路制御(Active/Standby)
Active/Standbyの場合を見ていきます。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
Direct Connect 2本のどちらかを通常利用とし、障害時はStandby側へ自動切り替えを行います。
この場合、LP値をActive側を大きくすることで優先する。
また、AS-Path PreopendをStandby側が長くなるようにします。
経路制御(Direct Connect/VPN)
Direct Connect/VPNによる冗長構成の場合を見ていきます。
・参照:AWS Black Belt Online Seminar AWS Direct Connect
Direct Connect障害時のバックアップとしてインターネットVPNを利用する場合は、フェイルオーバー時にはパフォーマンスに影響があるため注意しなければなりません。
また、パス属性によらず常にVPNよりDirect Connectが優先されます。
CloudWatchによるモニタリング
2020/5にアップデートがあり、Connection(物理接続)だけでなく、VIF(仮想インターフェース)についても、CloudWatchメトリクスを用いて、モニタリングすることが可能になっています。
クォータ
Direct Connectのクォータ(上限)には、下記のとおり、いくつかハードリミットもありますので、注意が必要です。
Transit VIFの利用や、DXGWに紐付けるVGWやTGWの数には注意が必要です。
- ConnectionあたりのVIF数は50まで
- 占有型の場合、ConnectionあたりのTransit VIF数は1つまで
- ホスト型接続の場合、ConnectionあたりのTransit VIF数は1つまで、かつSub-1G(1Gbps未満)は利用不可
- DXGWあたりの仮想プライベートゲートウェイは10まで
- DXGWあたりのTransit Gatewayは3つまで
- プライベートVIFのBGPセッションあたりのルートは100まで
- パブリックVIFのBGPセッションあたりのルートは1000まで
また、ルート数に上限があるので、経路集約やフィルタリングを意識して設計する必要があります。
料金
AWS Direct Connectの月額利用料は、ポート使用料とデータ転送量になります。
AWSからのデータアウトに対して課金されます。
インターネット接続のデータ転送料金より安価に利用することができます。
また、データ転送量については、以前は、VIFのオーナーアカウントに課金されていましたが、データアウトの発生元に課金されるようにアップデートされています。(2019/10)
分かりやすくなりましたね。
最後に
AWS Direct Connectについては、正直、VIFが払い出されるまでの過程をあまり経験したことがありませんでした。
今回のブログをベースに、もう一度頭の中を整理したいと思います。
また、8/26にAWSJによるAWS専用線アクセス体験ラボが開催されます。
Direct Connectに興味を持たれた方は、ぜひ参加して下さい。実際に、Direct Connectに触れる貴重なハンズオンです。
以上、『AWS 再入門ブログリレー 2020』 の 3日目のエントリ 『AWS Direct Connect』 編でした。
明日 (8/6) は後藤直樹の『Amazon Aurora』の予定です。お楽しみに!!
4
