(レポート) NET402 – Deep Dive: AWS Direct Connect and VPNs #reinvent

(レポート) NET402 – Deep Dive: AWS Direct Connect and VPNs #reinvent

Clock Icon2016.12.02

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、菊池です。

re:Inventのセッション、NET402 - Deep Dive: AWS Direct Connect and VPNsに参加しましたのでレポートします。"Deep Dive"の名前に負けない、ネットワークエンジニア必見の濃い内容でした。

dx-vpn-002

レポート

セッション内容

  • VPNとDirect Connect (DX)
    • オプションと設定
    • Resilience
    • FAQと費用
  • BGPとルーティング
    • ASNとAS Path
    • Routing inside the VGW
  • CloudハブとトランジットVPC
  • 他のAWSサービスとの接続
  • IPSec VPN over DX

前半はVPNとDXの基本的なフィーチャーについてでしたので本レポートでは省略します。

注目したのは、新たにサポートされたIPv6 in VPCに関連する内容と、DX/VPNを応用したシステム構築におけるTipsです。

IPv6 over Direct Connect

  • VPCでIPv6のサポートが開始
  • IPv6 on DXでは/125のCIDRを割り当てる
  • サブネットは/26以下のプレフィクスにする必要がある
  • IPv6用のセッションが同じVIFに追加される
  • Public/Private両方のVIFでサポート

IPv6の設定に関しての設定も紹介されました。

dx-vpn-003 dx-vpn-004 dx-vpn-005 dx-vpn-006

BGP

  • ASNについて
    • Global IRRではAmazonのASNは16509
    • DX Public ASNは7224
    • DX Private ASNは?
    • Dynamic VPN のASNは?
    • 変化する可能性がある
      • us-east-1:ASN 7224
      • eu-west-1:ASN 9059
      • eu-central-1:ASN 7224
      • ap-northeast-1:ASN 10124
      • ap-southeast-1:1ASN 7493
  • カスタマーゲートウェイ設定時にチェックする
  • Public VIF
    • Amazon のパブリックIPへのアクセスを提供
    • BGPセッションにパブリックIP が必要
    • パブリックASNを所有している必要がある
  • DX public VIFにおけるAS-PathとNo-Export(Community)
    • アドバタイズされるMinimum Path Lengthは3
    • Community属性はNo-Export
  • Public VIF inter-region (USのみ)
    • Public VIFはUSの全リージョンのプレフィックスを受け取る
    • プレフィックスはCommunity属性で特定される
    • 広報経路もCommunity属性で制御
  • AS Pathで考慮すべきこと

dx-vpn-006

内部で使われているASNを通知するとルートがリジェクトされるので、AS-OverrideやOriginate-defaultを使う。

dx-vpn-007

  • ルーティングの優先順位
    1. VPCローカルルータ
    2. ロンゲストマッチ
    3. ルートテーブルに設定されたスタティックルート
    4. ダイナミックルート
      1. DXのBGPルート(AS Pathで決定)
      2. VPNのスタティックルート
      3. VPNのBGPルート

 

VPN Cloud Hub

  • 複数のデータセンタ/リージョンへ接続するHUB構成
    • VPC間の接続にはSoftwareルータを使う
    • DX混在も可能
    • Transit VPC
  • Transit VPC Solution AWS Answers Transit VPC

VPN and DX with other AWS services

  • Public VIF経由でパブリックIPを持つサービスへ接続
    • S3
    • DynamoDB
    • Kinesis
    • etc.

VPN over Public VIF

  • Hardware VPN over DX public VIF
    • VRFを利用
    • VRFを使うことで、Public VIFのルートを分離

最後に

今回サポートされたIPv6や、実際にいろいろなケースで試すことが難しいDirecct Connectに関するTipsなどが詰まった、中身の濃いセッションでした。

スライドやセッション動画が公開されたらぜひ見てみてください!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.