AWS Direct Connect
AWS Direct Connect
https://d1.awsstatic.com/webinars/jp/pdf/services/20181114-AWS-Blackbelt-DirectConnect.pdf
AWS Direct Connect とは
データセンターやオフィスを専用線を介してAWSへプライベートに接続するサービス。コスト面とネットワーク品質でのメリットが得られる。
基本構成
オンプレミス --専用線-- Direct Connect ロケーション -- AWS リソース
物理接続
Direct Connect ロケーション(物理)ではAWSの管理するラックのPatch Panel と パートナー/ユーザのラックのPatch Panel をつないで通信する。Link Aggregation Group を構成し、最大4本を集約し、1つの論理インターフェースとして構築することも可能
プライベート接続とパブリック接続
仮想インターフェース(VIF)
- Connection が物理接続なのに対し、VIFはConnection を通してAWSリソースにアクセスするための論理インターフェース
- VPCへプライベートアドレスを介した接続を提供するのがPrivate VIF
- AWSの全リージョンへのパブリックIPを介した接続を提供するのが Public VIF
- Connction を所有しているAWSアカウントから他のAWSアカウントに対してVIFを提供することが可能
- Jumbo Frame をサポート
- 構成
- 上記はPrivate VIF を利用し、VPC Endpoint を介してAWSのサービスに接続していた(そうしないとインターネットへのアクセスが必要なAWSサービスには接続できない)。それに対しPublic VIF を利用するとインターネットへのアクセスが必要なAWSサービスと接続できる
AWS Direct Connect Gateway
単一のPrivate VIF を用いたプライベート接続で、中国以外の全リージョンの複数のVPCと閉域で通信することができる。ただし、オンプレミスからオンプレミス、VPCからVPCへの折り返し通信はできない。
パートナー経由のDirect Connect
- 専有型
- Connectionをユーザが管理
- 物理帯域を専有
- 共有型
- Connection はパートナーが所有
- 他のユーザーも利用するので帯域が他のユーザの影響を受けることがある。
複数のパートナーを利用して冗長構成をとることもできるが、経路広報タイプが異なると予期しない経路の偏りが生まれてパフォーマンスが出なくなる可能性がある。
モニタリング
- 基本的に高可用性を担保するために複数のDirect Connectを張る場合は異なるロケーションにする。
- 冗長構成
- 1つのVirtual Private Gateway に複数のVirtual Interface を終端させることができる。経路制御にはBGPパス属性を用いて制御する。これはAWS上の設定ではなく、ユーザーのルータの設定で行う。
- 経路制御はActive/Active だったりActive/Standby またはDirect Connect/VPN といった構成が取れる
- ただし、冗長構成の片方が死んだ時にもう片方で動き続けられる様に帯域を管理する必要はある。
- 上りはDirect Connect 下りはVPNといったことも可能
- CloudWatch でDirect Connect のモニタリングをすることが可能
雑感
データセンターやオフィスを専用線を介してAWSへプライベートに接続するサービス。料金はポートの使用量とデータアウト時のデータ転送料なので普段利用しているところからガッとあがるということはなさそう。 興味深かったのはDirect Connect の冗長構成の部分で、二本あればいいという訳ではなく、帯域も見ておかないと輻輳が発生してしまいパフォーマンス問題が出てしまうとあたりの話を聞いた時に設計力が求められるなと思った。 セキュリティに厳しい会社でインターネットに繋ぎたくないが、AWSのPrvate Link とDirect Connect でサービスを利用したいというユースケースはありそうだなと思った。