AWS China(北京)とAWS(東京)を直結(AWS Direct Connect)してみた。Supported by チャイナ・モバイル・インターナショナル

東京よりも中国に近い福岡オフィスの梶原@AWS事業本部です。

チャイナ・モバイル・インターナショナル(以下CMI)が提供しているクラウドコネクトを使用しましてAWS China (北京リージョン)とAWS(東京リージョン)のネットワークを接続する機会がありましたのでAWS DirectConnectによるそれぞれのリージョンの接続確立までの手順をご紹介します。

チャイナ・モバイル・インターナショナルの提供するCMIクラウドコネクトとは

日本のクラウドまたはオンプレミスにあるデータをAWS日本リージョンに保管し、CMIの提供するCMIクラウドコネクトを利用して中国全土に接続します。

  1. AWS(東京リージョン)からCMIの東京側接続PoPまでAWS Direct Connectと専用線で接続します。
  2. CMIの東京側接続PoPと中国北京側接続PoPの間は専用線(海底ケーブル)で接続します。
  3. 中国拠点とCMIの中国北京側接続までは中国国内の専用線または閉域網で接続します。

チャイナ・モバイル・インターナショナル クラウドコネクト
https://www.cmi.chinamobile.com/en/solution/connectivity-services/cloud-connect

こちらの専用線接続を使用して、AWS China (北京リージョン) と AWS(東京リージョン)を接続します。

概要図

接続情報

クラウドコネクトの契約また諸手続きが終了しましたら CMIより、DirectConnectの接続情報が提供されますので、これらの情報を元にDirectConnectの接続を実施します。 今回は以下の表の設定で実施します。

AWS China (北京リージョン) 側

項目 備考
Amazon side ASN 6****
BGP ASN 6**** CMIから提供されます

Primary

項目 備考
VLAN 340
Your router peer IP 169.254.1.1/29 CMI側
Amazon router peer IP 169.254.1.2/29

Seconday

項目 備考
VLAN 440
Your router peer IP 169.254.1.3/29 CMI側
Amazon router peer IP 169.254.1.4/29

AWS(東京リージョン) 側

項目 備考
Amazon side ASN 6****
BGP ASN 6**** CMIから提供されます

Primary

項目 備考
VLAN 340
Your router peer IP 169.254.0.1/29 CMI側
Amazon router peer IP 169.254.0.2/29

Seconday

項目 備考
VLAN 440
Your router peer IP 169.254.0.3/29 CMI側
Amazon router peer IP 169.254.0.4/29

接続のながれ

AWS China (北京リージョン)、AWS(東京リージョン)で以下作業を行います

  1. AWS China (北京リージョン)
    1. DirectConnect 接続の作成(接続受入承認)
    2. 仮想プライベートゲートウェイの作成
    3. 仮想インターフェイスの作成
  2. AWS (東京リージョン)
    1. DirectConnect 接続の作成(接続受入承認)
    2. 仮想プライベートゲートウェイの作成
    3. 仮想インターフェイスの作成
  3. 接続検証

AWS China(北京リージョン)

DirectConnect

接続の作成

特に、利用者側で作業はありません。 CMIが接続を設定すると、この接続は AWS Direct Connect コンソール内の [Connections] ペインに表示されます。

ホスト接続の受け入れ

コンソールはこちら
https://console.amazonaws.cn/directconnect/v2/home?region=cn-north-1#/connections

ホスト接続を使用する前に同意する必要があります。
[Connections] を選択すると状態が[Pending Accept]の状態になっていますので、認証のチェックボックスをチェックして [Accept connection] 選択します。

Primary接続とSeconday接続の2つの接続がありますので、2回[Accept connection]を実施します。

処理がすすむとStateが[available]になります。

仮想プライベートゲートウェイの作成

コンソールはこちら
https://console.amazonaws.cn/vpc/home?region=cn-north-1#VpnGateways:sort=VpnGatewayId

  1. [Create Virtual Private Gateway]を選択します。
  2. 名前タグにNameタグに設定する値を入力します(オプション)ここではVGW-Tokyo01とします。
  3. カスタムASNには北京リージョン側のASN 6**** を設定します。
  4. [Create Virtual Private Gateway]を選択し作成します。

仮想インターフェイスの作成

コンソールはこちら
https://console.amazonaws.cn/directconnect/v2/home?region=cn-north-1#/virtual-interfaces

  1. [Create virtual interface]を選択します。
  2. 仮想インターフェイスのタイプは[Private]を選択します。
  3. 仮想インターフェイス名に任意の値を入力します(オプション)ここでは「CloudConnect01」とします。
  4. Connectionを選択します。
  5. [Virtual private gateway]は前項目で作成した仮想プライベートゲートウェイ 「VGW-Tokyo01」 を選択します。
  6. 接続情報参照し、[VLAN]を入力します。
  7. 接続情報参照し、[BGP ASN]を入力します。
  8. [Additional settings]を選択して入力項目を展開します。
  9. 接続情報参照し、[Your router peer ip]を入力します。
  10. 接続情報参照し、[Amazon router peer ip]を入力します。
  11. 接続情報参照し、[BGP authentication key]を入力します。
  12. [Create virtual interface]を選択し、作成します。

本作業をPrimary接続, Seconday接続それぞれで実施します。

正常に接続が成功しますと、[pending]から[available]になります。

AWS(東京リージョン)

DirectConnect

接続の作成

特に、利用者側で作業はありません。 CMIが接続を設定すると、この接続は AWS Direct Connect コンソール内の [接続] ペインに表示されます。

ホスト接続の受け入れ

コンソールはこちら
https://console.aws.amazon.com/directconnect/v2/home?region=ap-northeast-1#/connections

ホスト接続を使用する前に同意する必要があります。
[接続] を選択すると状態が[Pending Accept]の状態になっていますので、認証のチェックボックスをチェックして [接続の承諾] を選択します。

冗長化構成によりPrimary接続とSeconday接続の2つの接続がありますので、2回接続の承諾を実施します。

処理がすすむと状態が[available]になります。

仮想プライベートゲートウェイの作成

コンソールはこちら
https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#VpnGateways:sort=desc:VpnGatewayId

  1. コンソールから[仮想プライベートゲートウェイの作成]を選択します。
  2. 名前タグにNameタグに設定する値を入力します(オプション)ここでは VGW-Beijing01 とします。
  3. カスタムASNには東京リージョン側のASN 6**** を設定します。
  4. [仮想プライベートゲートウェイの作成]を選択し、作成します。

仮想インターフェイスの作成

コンソールはこちら
https://console.aws.amazon.com/directconnect/v2/home?region=ap-northeast-1#/virtual-interfaces

  1. [仮想インターフェイスを作成する]を選択します。
  2. 仮想インターフェイスのタイプは[プライベート]を選択します。
  3. 仮想インターフェイス名に任意の値を入力します。ここでは CloudConnect01 とします。
  4. 接続でDirectConnectの接続を選択します。2つ接続があるのでそれぞれ選びます。
  5. ゲートウェイタイプは[仮想プライベートゲートウェイ]を選択します。
  6. 前項目で作成した仮想プライベートゲートウェイ VGW-Beijing01 を選択します。
  7. 接続情報参照し、[VLAN]を入力します。
  8. 接続情報参照し、[BGP ASN]を入力します。
  9. [追加設定]を選択して入力項目を展開します。
  10. 接続情報参照し、[ルーターのピア IP]を入力します。
  11. 接続情報参照し、[Amazon ルーターのピア IP]を入力します。
  12. 接続情報参照し、[BGP 認証キー]を入力します。
  13. [仮想インターフェイスを作成する]を選択し、作成します。

本作業をPrimary接続, Seconday接続それぞれで実施します。

正常に接続が成功しますと、[pending]から[available]になります。

接続検証

AWS China(北京リージョン)

VPCとEC2の作成

  1. VPC(CIDR 10.1.0.0/16)を作成します。
  2. パブリックサブネットにEC2を配置します。

※特に特別な作業は必要ないため、作成方法は割愛します

仮想プライベートゲートウェイ を VPC にアタッチ

コンソールはこちら
https://console.amazonaws.cn/vpc/home?region=cn-north-1#VpnGateways:

  1. 仮想プライベートゲートウェイ に作成したVPCをアタッチします。
  2. Stateがattachedになることを確認します。

ルート伝播

コンソールはこちら https://console.amazonaws.cn/vpc/home?region=cn-north-1#RouteTables:sort=routeTableId

  1. ルートテーブルの一覧から、伝播させたいルートテーブルを選択します。
  2. [Route Propagation]タブを選択して
  3. [Edit route propagation]を選択し[Propagate]のチェックを入れて保存します。

AWS (東京リージョン)

VPCとEC2の作成

  1. VPC(CIDR 10.0.0.0/16)を作成します。
  2. パブリックサブネットにEC2を配置します。

※特に特別な作業は必要ないため、作成方法は割愛します

仮想プライベートゲートウェイ を VPC にアタッチ

コンソールはこちら
https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#VpnGateways

  1. 仮想プライベートゲートウェイ に作成したVPCをアタッチします。
  2. Stateがattachedになることを確認します。

ルート伝播

コンソールはこちら
https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#RouteTables:sort=tag:Name

  1. ルートテーブルの一覧から、伝播させたいルートテーブルを選択します。
  2. [ルート伝達の編集]タブを選択して
  3. [ルート伝達の編集]を選択し[伝播]のチェックを入れて保存します。

ルート伝搬の確認

北京、東京それぞれのリージョンでルート伝搬の設定を実施した後は、ルートが伝搬されるまで少々時間がかかりますが正常に行っていれば それぞれのリージョンのルート情報がお互いのルートテーブルに伝播されますので、ルートに表示されるか確認してください。

AWS China(北京リージョン)

AWS(東京リージョン)

経路確認、ping等の実施

AWS China(北京リージョン)から

対抗のAWS(東京リージョン)のEC2(10.0.0.87)に対して経路確認、接続確認をしてみます。

sh-4.2$ traceroute 10.0.0.87
traceroute to 10.0.0.87 (10.0.0.87), 30 hops max, 60 byte packets
 1  169-255-2-1.xxxxxxx (169.255.2.1)  0.508 ms 169-255-2-5.xxxxxxx (169.255.2.5)  0.502 ms  0.487 ms
 2  XXX.XXX.XXX.XXX (XXX.XXX.XXX.XXX)  1.282 ms  1.290 ms  2.645 ms
 3  169.254.1.1 (169.254.1.1)  1.056 ms  1.054 ms  1.064 ms
 4  169.254.101.1 (169.254.101.1)  36.992 ms  37.094 ms  37.103 ms
 5  169.254.101.2 (169.254.101.2)  37.306 ms  37.446 ms  37.457 ms
 6  169.254.0.3 (169.254.0.3)  86.671 ms  86.605 ms  86.463 ms
 7  169.254.0.4 (169.254.0.4)  86.249 ms  85.624 ms  86.225 ms
 8  ip-10-0-0-87.cn-north-1.compute.internal (10.0.0.87)  88.750 ms  88.735 ms  88.729 ms


sh-4.2$ ping -c 100 10.0.0.87
PING 10.0.0.87 (10.0.0.87) 56(84) bytes of data.
64 bytes from 10.0.0.87: icmp_seq=1 ttl=238 time=89.8 ms
64 bytes from 10.0.0.87: icmp_seq=2 ttl=238 time=89.8 ms
64 bytes from 10.0.0.87: icmp_seq=3 ttl=238 time=89.7 ms
64 bytes from 10.0.0.87: icmp_seq=4 ttl=238 time=89.7 ms

省略
--- 10.0.0.87 ping statistics ---
100 packets transmitted, 100 received, 0% packet loss, time 99170ms
rtt min/avg/max/mdev = 89.639/89.798/91.028/0.429 ms

AWS(東京リージョン)から

対抗のAWS China(北京リージョン)のEC2(10.1.0.98)に対して経路確認、接続確認をしてみます。

sh-4.2$ traceroute 10.1.0.98
traceroute to 10.1.0.98 (10.1.0.98), 30 hops max, 60 byte packets
 1  169.254.252.5 (169.254.252.5)  0.320 ms 169.254.252.13 (169.254.252.13)  0.263 ms 169.254.252.5 (169.254.252.5)  0.298 ms
 2  * 169.254.0.1 (169.254.0.1)  5.402 ms 169.254.0.3 (169.254.0.3)  4.144 ms
 3  169.254.101.4 (169.254.101.4)  52.262 ms  53.191 ms  51.165 ms
 4  169.254.101.3 (169.254.101.3)  50.315 ms  50.900 ms  50.317 ms
 5  XXX.XXX.XXX.XXX (XXX.XXX.XXX.XXX)  3.048 ms XXX.XXX.XXX.XXX (XXX.XXX.XXX.XXX)  89.235 ms XXX.XXX.XXX.XXX (XXX.XXX.XXX.XXX)  3.032 ms
 6  169.254.1.1 (169.254.1.1)  87.127 ms XXX.XXX.XXX.XXX (XXX.XXX.XXX.XXX)  3.699 ms 169.254.1.1 (169.254.1.1)  85.251 ms
 7  169.254.1.2 (169.254.1.2)  87.697 ms  87.623 ms  87.609 ms
 8  ip-10-1-0-98.ap-northeast-1.compute.internal (10.1.0.98)  89.348 ms  89.055 ms  88.559 ms

sh-4.2$ ping -c 100 10.1.0.98
PING 10.1.0.98 (10.1.0.98) 56(84) bytes of data.
64 bytes from 10.1.0.98: icmp_seq=1 ttl=244 time=89.3 ms
64 bytes from 10.1.0.98: icmp_seq=2 ttl=244 time=89.2 ms
64 bytes from 10.1.0.98: icmp_seq=3 ttl=244 time=89.1 ms
64 bytes from 10.1.0.98: icmp_seq=4 ttl=244 time=89.2 ms
省略

--- 10.1.0.98 ping statistics ---
100 packets transmitted, 100 received, 0% packet loss, time 99129ms
rtt min/avg/max/mdev = 89.057/89.236/91.386/0.423 ms

特にロストもなく、相互に接続確認が取れれば接続完了となります。

まとめ

チャイナ・モバイル・インターナショナルより提供された情報を元にポチポチするだけなので、思った以上に簡単に、AWS Chinaと接続して通信することができました。 この接続を元にいろいろなネットワーク構成を発展させることができそうです。

AWS Chinaや中国のオンプレミスネットワークとの接続をご検討の方はお気軽にお問い合わせください。 https://classmethod.jp/partner/cmi/

参考情報

チャイナ・モバイル・インターナショナル クラウドコネクト https://www.cmi.chinamobile.com/en/solution/connectivity-services/cloud-connect