この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
ども、大瀧です。
AWSクラウドとオンプレミスを閉域で接続するAWS Direct Connectに大型アップデートがあり、新しい機能としてDirect Connect Gatewayが追加されました。
何ができるようになったのか、既存の接続をどう切り替えるのかなど解説してみます。
Direct Connect Gatewayとは
今回利用できるようになったDirect Connect Gatewayは、Direct Connectの構成のうち、仮想インターフェース(以下VIF)とVPCの仮想プライベートゲートウェイ(以下VGW)の間に追加する新たなコンポーネントです。
Direct Connect Gatewayには以下の特徴があります。
- Direct Connect GatewayをいずれかのAWSリージョンに作成すると、AWSの全リージョン *1に複製され、相互接続できる
- Direct Connect Gatewayには複数のVIFおよびVGWが接続できる
従来あった、VIFとVGWは同一リージョンに1対1で設定する *2という制約を緩和することができます。
例えば以下のようなユースケースがあります。
オンプレミスと海外リージョンのVPCとのプライベート接続
例えば、東京のDirect ConnectロケーションのVIFを、Direct Connect Gatewayを経由してオレゴンリージョンのVPCと接続することができます。
Direct Connect Gateway内のリージョン間通信はAWSのプライベートネットワークを経由するので、高速でセキュアな通信環境が期待できますね。
また、複数の海外Direct ConnectロケーションとVPCとのプライベート接続も可能です。
複数VPCとのプライベート接続
これまでVIFと接続するVPCは最大で1つだったため、複数のVPCでDirect Connectを利用するためには複数のVIFを用意する必要がありました。Direct Connect Gatewayに複数のVGWを接続することで、1つのVIFで複数のVPCと通信することが可能です。ただし、後述の制約により、アカウントをまたぐことが出来ない点に注意しましょう。
制約
便利に使えるDirect Connect Gatewayですが、いくつか制約もあります。設計上重要なものをピックアップしました。
- Direct Connect Gatewayを介したVPC(VGW)同士の通信は不可
- Direct Connect Gatewayを介したVIF同士の通信は不可
- 異なるAWSアカウントのVIFおよびVGWの接続は不可
これらの制約はリージョンやアカウントには依存せず、全ての条件に適用されます。その他の制約については、ドキュメントおよびFAQを参照してください。
移行について
では、既に構築済みのDirect Connect接続でDirect Connect Gatewayを利用するためには、どうすれば良いでしょうか。作成済みVIFにあとからDirect Connect Gatewayを追加することはできないため、VIFを再作成する必要があります。また、従来東京リージョンでは10124で固定だったAmazon側のASN *3が、Direct Connect GatewayではPrivate ASNの範囲で自由に指定する形になったため、指定したASNに合わせてカスタマールーターのBGPのコンフィグを調整する必要があります。BGPのピアIPとパスフレーズはVIF再作成時に任意に指定できるため、移行前と同じ設定にしても問題ないでしょう。
IP-VPNを提供するキャリアなどのDirect Connect接続サービスの共用タイプを利用している場合は、接続サービスでDirect Connect Gateway向け設定をサポートする必要がありますので、ご利用のキャリアに相談しましょう。Sub 1G接続であればVIFの作成が柔軟にできますので、キャリアさんにはSub 1G接続のサポートをお奨めしたいところです。
まとめ
AWS Direct Connectの新機能、Direct Connect Gatewayについてご紹介しました。複数リージョンでのAWS構成の幅が大きく広がる、素晴らしいアップデートですね。ぜひ使い倒しましょう!
脚注
- 北京リージョンを除く ↩
- 米国のリージョンでは、他の米国リージョンのVIFを利用することも可能 ↩
- 最近、VGW作成時に任意のASNを設定出来るようになりました。 ↩
4
