やさしいDirect Connect の構築
Contents
概要
はじめに
- 今回、初めてDirect Connect を使ったシステムを担当させて頂きました。これまで名前しか知らなかった製品に触れ、新しいことを覚える機会は喜びです。Direct Connect のナレッジは検索すればいくつも情報は見つかりますが、初見だと用語が分からず、次に自分のやりたいDirect Connectがどれなのかに悩む。今日は、私がつまずいた箇所を振り返り、説明させていただきます。
Direct Connect とは
- AWS のDirect Connect は、ユーザー側(オンプレミス)のネットワークとAWS側のネットワークをプライベート接続するサービスです。専用線を使用して、ユーザー側のルーターとAWS Direct Connect のルーターを接続します。
- 多くの場合、インターネット接続と比べ下記のメリットがあります。
- アウトバウンドのトラフィック料金が安価になる
- 専用線を使っているため、ネットワークの品質が高い(高スループット・低遅延)
- セキュリティリスクの低減(インターネットを介さず、機密な通信が可能に)
Direct Connect を使ったシステムの構成図
- オンプレミスから専用線を経由して、Direct Connecロケーションに接続しています。Direct Connecロケーションとは、AWS側のネットワークへの物理的な接続を提供する拠点になります。
- この物理的な接続を接続(Connection)と呼びます。回線は専用接続を利用する場合、1Gbps、10Gbpsの速度が選択できます。ホスト型接続の場合は、50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbpsの速度が選択できます。詳細は、FAQを参照。
- 物理的な装置がイメージできる場合、Connectionはデータセンター内に設置されているユーザー側のラックとAWSのラック間をファイバーチャネルで接続すること(クロスコネクト)を指します。
- Direct ConnectパートナーがDirect Connectまでの接続を支援します。(Direct Connect ロケーション別 AWS Direct Connect パートナーの一覧)
- 次に、Direct ConnecロケーションとAWSのネットワークを接続するためのインターフェイスが仮想インターフェイス(Virtual Interface)であり、Connectionに対して作成します。Connectionは物理的なインターフェイスであるのに対し、仮想インターフェイスは、VLANを使用した論理的なインターフェイスとなります。VPCにプライベートIPを使った接続をする場合に、プライベート仮想インターフェイスを使用します。
- さらに、Direct Connect経由でVPCを接続するためには、AWS Site-to-Site VPNを構成します。Site-to-Site VPNは、仮想プライベートゲートウェイを VPC に関連付け、 AWSルーターと仮想プライベートゲートウェイ間でBGPセッションを使って行われる通信です。BGPセッションは、AWSルーターに設定されたASN、仮想プライベートゲートウェイに設定したASN、および独自の BGP キーを使用して接続を確立します。
Direct Connect (DX)の構築方法
接続の設定
- 今回は、Direct Connectパートナーを介してConnectionの利用申請が行われ、Connectionの承諾依頼が飛んでいる状態から私の構築スタートです。AWSコンソールを開き、Direct Connectの接続をクリックします。Connectionが作成されていることが確認できます。
- 「承諾する」をクリックします。
- ステータスがavailableに変わったことを確認します。
仮想プライベートゲートウェイ(VGW)の設定
- 次に仮想プライベートゲートウェイを作成します。
- 仮想プライベートゲートウェイを作成するため、事前に下記の情報を準備します。
- Amazon側のASN情報
- Amazon側のASN情報は、デフォルトASN あるいはカスタムASN を指定します。
- 仮想プライベートゲートウェイが作成されたら、VPCのコンソールより、仮想プライベートゲートウェイの情報を開きます。まだVPCに未割当の状態のため、VPCにアタッチします。
- 仮想プライベートゲートウェイにVPCが割り当てられました。
仮想インターフェイス(VIF)の設定
- 続いて、仮想インターフェイスを作成します。
- 仮想インターフェイスを作成するため、事前に下記の情報を準備します。BGP ASNは64512~65535の値であり、ルーターに設定された値を使用します。また、BGPを介して通信するピアIP(/30以下)を準備します。
- VLAN ID
- BGP ASN
- ルーターのピアIP
- Amazon ルーターのピアIP
- BGP認証キー
- 今回はVPCと接続するため、「プライベート仮想インターフェイス」を選択します。
- 次に、「仮想インターフェイス名」の入力、「接続」から設定済みのConnectionを選択し、ゲートウェイタイプに「仮想プライベートゲートウェイ」を選択します。
- 続いて、「仮想プライベートゲートウェイ」から設定済みの仮想プライベートゲートウェイを選択、「VLAN」にVLAN IDを入力、「BGP ASN」にASN番号、「ルーターのピアIP」、「AmazonルーターのピアIP」、「BGP認証キー」を指定します。
- 仮想インターフェイスが作成されました。
BGPステータスのUp
- Direct Connect のルーター側の設定に誤りがあるケースや仮想プライベートゲートウェイ、仮想インターフェイスのASN番号に誤りがあるケースでは、仮想インターフェイスのステータスがavailableとなるものの、BGPステータスはdownとなります。
- 再度、設定を確認して、BGPステータスがUp に変わったことを確認します。
VPC の設定変更
ルートテーブルの設定
- ルートテーブルに、Direct Connectを使用してプライベートで接続するためのルートを追加します。ターゲットに、作成済みのVirtual Private Gatewayを指定します。
セキュリティグループの設定
- セキュリティグループに、Direct Connectを使用したアクセスを許可するためのルールを追加します。
疎通確認
- プライベートIP を使用し、TCPレベル(pingコマンド)あるいはHTTPレベルで疎通確認を行います。あらかじめ、テスト対抗機の準備、セキュリティグループの穴開けが必要となります。
- Direct Connectは物理的な接続と、論理的なインターフェイスがあり、やってみるまでは理解が難しいもの。しかし、ステップを追って準備を進めれば怖くありません。ぜひ、あなたもDirect Connect に挑戦してみてください。
![[AWS Black Belt Online Seminar] AWS Direct Connect 資料及び QA 公開 | Amazon Web](https://oji-cloud.net/wp-content/uploads/luxe-blogcard/d/d14b18185793c9c5fd35a0b6d9373c54.png)
https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-direct-c...
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserG...
https://ja.wikipedia.org/wiki/Border_Gateway_Protocol