[新機能] AWS Direct Connect Gatewayで世界中のAWSリージョンとプライベート接続する

大瀧隆太

2017.11.02

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ども、大瀧です。
AWSクラウドとオンプレミスを閉域で接続するAWS Direct Connectに大型アップデートがあり、新しい機能としてDirect Connect Gatewayが追加されました。

New – AWS Direct Connect Gateway – Inter-Region VPC Access | AWS News Blog

何ができるようになったのか、既存の接続をどう切り替えるのかなど解説してみます。

Direct Connect Gatewayとは

今回利用できるようになったDirect Connect Gatewayは、Direct Connectの構成のうち、仮想インターフェース(以下VIF)とVPCの仮想プライベートゲートウェイ(以下VGW)の間に追加する新たなコンポーネントです。

Direct Connect Gatewayには以下の特徴があります。

Direct Connect GatewayをいずれかのAWSリージョンに作成すると、AWSの全リージョン ^*1に複製され、相互接続できる
Direct Connect Gatewayには複数のVIFおよびVGWが接続できる

従来あった、VIFとVGWは同一リージョンに1対1で設定する ^*2という制約を緩和することができます。

例えば以下のようなユースケースがあります。

オンプレミスと海外リージョンのVPCとのプライベート接続

例えば、東京のDirect ConnectロケーションのVIFを、Direct Connect Gatewayを経由してオレゴンリージョンのVPCと接続することができます。

Direct Connect Gateway内のリージョン間通信はAWSのプライベートネットワークを経由するので、高速でセキュアな通信環境が期待できますね。

また、複数の海外Direct ConnectロケーションとVPCとのプライベート接続も可能です。

複数VPCとのプライベート接続

これまでVIFと接続するVPCは最大で1つだったため、複数のVPCでDirect Connectを利用するためには複数のVIFを用意する必要がありました。Direct Connect Gatewayに複数のVGWを接続することで、1つのVIFで複数のVPCと通信することが可能です。ただし、後述の制約により、アカウントをまたぐことが出来ない点に注意しましょう。

制約

便利に使えるDirect Connect Gatewayですが、いくつか制約もあります。設計上重要なものをピックアップしました。

Direct Connect Gatewayを介したVPC(VGW)同士の通信は不可
Direct Connect Gatewayを介したVIF同士の通信は不可
異なるAWSアカウントのVIFおよびVGWの接続は不可

これらの制約はリージョンやアカウントには依存せず、全ての条件に適用されます。その他の制約については、ドキュメントおよびFAQを参照してください。

移行について

では、既に構築済みのDirect Connect接続でDirect Connect Gatewayを利用するためには、どうすれば良いでしょうか。作成済みVIFにあとからDirect Connect Gatewayを追加することはできないため、VIFを再作成する必要があります。また、従来東京リージョンでは10124で固定だったAmazon側のASN ^*3が、Direct Connect GatewayではPrivate ASNの範囲で自由に指定する形になったため、指定したASNに合わせてカスタマールーターのBGPのコンフィグを調整する必要があります。BGPのピアIPとパスフレーズはVIF再作成時に任意に指定できるため、移行前と同じ設定にしても問題ないでしょう。

IP-VPNを提供するキャリアなどのDirect Connect接続サービスの共用タイプを利用している場合は、接続サービスでDirect Connect Gateway向け設定をサポートする必要がありますので、ご利用のキャリアに相談しましょう。Sub 1G接続であればVIFの作成が柔軟にできますので、キャリアさんにはSub 1G接続のサポートをお奨めしたいところです。