[レポート] ハイブリッド構成なAWSへの接続方式とアーキテクチャ #NET317 #reinvent

re:Invent 2019から、[NET317] Connectivity to AWS and hybrid AWS network architectures についてレポートします。
2019.12.05

西澤です。本稿では、以下のセッションについてレポートします。

セッション情報

Amazon offers multiple options to achieve your connectivity requirements to access your resources in AWS. Whether you are connecting your corporate office or on-premises data center into AWS for hybrid connectivity or your personal device for end-user connectivity, AWS has many options for you to pick and choose. This session is intended for anyone wanting to get an overview of the AWS connectivity options available to you and learn about the best practices for architecting your connectivity to AWS.

レポート

Site-to-Site VPN

  • オプション
    • 静的(Static)
      • ポリシーまたはルートベースド
      • 静的ルーティング
      • Pre-Shared keyまたは証明書ベース(New)
    • 動的(Dynamic)
      • ルートベースド
      • 動的ルーティング(BGP)
      • Pre-Shared keyまたは証明書ベース(New)

  • 複数のVPNトンネルを組み合わせた構成も可能

  • Transit Gatewayを組み合わせた複数VPN構成も可能

  • VPN to VGWとVPN to Transitgatewayの比較
    • Transit Gatewayを利用すれば、ECMPによる帯域確保が可能だが、費用がかかるので注意
  • Accelerated Site-to-Site VPN(New)
    • 複数サイトにセキュアに接続
    • VPN接続のパフォーマンスを改善
    • 高可用性

Dicrect Connect

  • Transit VIF
    • Transit Gatewayを利用して、複数VPCへの接続も可能
    • 同一Transit Gatewayに接続されたVPC間のルーティングはOK
    • 異なるTransit Gatewayに接続されたVPC間のルーティングはNG
    • 異なるTransit Gatewayに接続されたVPC間のルーティングはNGだったが、Transit Gatewayのリージョン間ピアリングが可能となり通信可能に(※サポートリージョンのみ)

  • Direct Connect VIF
    • Transit GatewayのPublic IPに接続すれば、パブリックネットワークもプライベートネットワークも併用可能

  • Interface Typeによる接続先と制限に注意

  • Connection Typeによる違い
    • サポートベンダーにより提供サービスに違いがある点に注意

Multi Region構成

  • Transit Gatewayを用いたハイブリッド構成
    • メリット
      • VPC側のルーティングが簡単
      • 管理コスト少ない
      • DXGWはVPC1000個までスケール可能
    • デメリット
      • TGWを介したオンプレとの通信コストが高い
      • TGWからDXGWに設定できる経路が20まで

  • Direct Connect Gatewayを用いたハイブリッド構成
    • メリット
      • TGWを介したオンプレとの通信コストがかからない
      • private VIFあたり100経路まで
    • デメリット
      • VPC10個につき1セットのPrivate VIFとDXGWが必要
      • Private VIFとDXGWが異なるVPC間は別経路が必要

  • Site-to-Site VPNをDirect Connectのバックアップとして利用
    • メリット
      • DXのバックアップとなる
      • 簡単に用意することができる
    • デメリット
      • VPN経路についてアドバタイズしないように注意
      • 10Gbps帯域が必要なら、複数VPN併用が必要

  • AWS Transit Gateway Network Manager
    • グローバルネットワークの健全性を可視化
    • クラウド側とリモート拠点をまとめて管理
    • 最適化されたリモート接続管理

Ingress Routing

  • Firewallアプライアンスを利用したこれまでのアクセス制御パターン

  • VPC Ingress Routing
    • IGWからVPC内への通信経路を明示的に指定できるようになったことにより、サブネットごとに経路が設定できるので、より柔軟な構成を取ることができるように

  • Ingress Routingに対応するアプライアンスを提供するパートナーも多数

Route 53 Resolver endpoints

  • 複数VPCにおけるPrivate Hosted Zone共用パターン
    • Amazon R53 Resolver(Provided DNS)を利用

  • オンプレ側からAWSのドメインを参照するパターン
    • Route 53 Resolver Inbound ENIを利用

  • オンプレミスドメインをAWSから参照するパターン
    • Route 53 Resolver Outbound ENIを利用
    • Resource Access Managerを利用すれば、Peeringなしで別VPCのResolverを参照可能

Client VPN

  • Client VPNからのVPC内への接続
    • OpenVPN準拠のクライアントから接続
    • AD認証または証明書認証が可能
    • Target VPCから外(Internet、S3、Transit Gateway、Direct Connetなど)へのアクセスも可能

まとめ

直近のVPC関連でリリースされた機能の注意事項やユースケースが濃縮された非常に中身の濃いセッションでした。re:Invent中に発表されたサービス含めた具体的な構成パターンが網羅されていたので、とても勉強になりました!

引き続き、現地からのレポートを続けます!