(レポート) NET402 – Deep Dive: AWS Direct Connect and VPNs #reinvent
こんにちは、菊池です。
re:Inventのセッション、NET402 - Deep Dive: AWS Direct Connect and VPNsに参加しましたのでレポートします。"Deep Dive"の名前に負けない、ネットワークエンジニア必見の濃い内容でした。
レポート
セッション内容
- VPNとDirect Connect (DX)
- オプションと設定
- Resilience
- FAQと費用
- BGPとルーティング
- ASNとAS Path
- Routing inside the VGW
- CloudハブとトランジットVPC
- 他のAWSサービスとの接続
- IPSec VPN over DX
前半はVPNとDXの基本的なフィーチャーについてでしたので本レポートでは省略します。
注目したのは、新たにサポートされたIPv6 in VPCに関連する内容と、DX/VPNを応用したシステム構築におけるTipsです。
IPv6 over Direct Connect
- VPCでIPv6のサポートが開始
- IPv6 on DXでは/125のCIDRを割り当てる
- サブネットは/26以下のプレフィクスにする必要がある
- IPv6用のセッションが同じVIFに追加される
- Public/Private両方のVIFでサポート
IPv6の設定に関しての設定も紹介されました。
BGP
- ASNについて
- Global IRRではAmazonのASNは16509
- DX Public ASNは7224
- DX Private ASNは?
- Dynamic VPN のASNは?
- 変化する可能性がある
- us-east-1:ASN 7224
- eu-west-1:ASN 9059
- eu-central-1:ASN 7224
- ap-northeast-1:ASN 10124
- ap-southeast-1:1ASN 7493
- カスタマーゲートウェイ設定時にチェックする
- Public VIF
- Amazon のパブリックIPへのアクセスを提供
- BGPセッションにパブリックIP が必要
- パブリックASNを所有している必要がある
- DX public VIFにおけるAS-PathとNo-Export(Community)
- アドバタイズされるMinimum Path Lengthは3
- Community属性はNo-Export
- Public VIF inter-region (USのみ)
- Public VIFはUSの全リージョンのプレフィックスを受け取る
- プレフィックスはCommunity属性で特定される
- 広報経路もCommunity属性で制御
- AS Pathで考慮すべきこと
内部で使われているASNを通知するとルートがリジェクトされるので、AS-OverrideやOriginate-defaultを使う。
- ルーティングの優先順位
- VPCローカルルータ
- ロンゲストマッチ
- ルートテーブルに設定されたスタティックルート
- ダイナミックルート
- DXのBGPルート(AS Pathで決定)
- VPNのスタティックルート
- VPNのBGPルート
VPN Cloud Hub
- 複数のデータセンタ/リージョンへ接続するHUB構成
- VPC間の接続にはSoftwareルータを使う
- DX混在も可能
- Transit VPC
- Transit VPC Solution AWS Answers Transit VPC
VPN and DX with other AWS services
- Public VIF経由でパブリックIPを持つサービスへ接続
- S3
- DynamoDB
- Kinesis
- etc.
VPN over Public VIF
- Hardware VPN over DX public VIF
- VRFを利用
- VRFを使うことで、Public VIFのルートを分離
最後に
今回サポートされたIPv6や、実際にいろいろなケースで試すことが難しいDirecct Connectに関するTipsなどが詰まった、中身の濃いセッションでした。
スライドやセッション動画が公開されたらぜひ見てみてください!
