share facebook facebook twitter menu hatena pocket slack

2020.01.06 MON

やさしいDirect Connect の構築

新川 貴章

WRITTEN BY 新川 貴章

概要

はじめに

  • 今回、初めてDirect Connect を使ったシステムを担当させて頂きました。これまで名前しか知らなかった製品に触れ、新しいことを覚える機会は喜びです。Direct Connect のナレッジは検索すればいくつも情報は見つかりますが、初見だと用語が分からず、次に自分のやりたいDirect Connectがどれなのかに悩む。今日は、私がつまずいた箇所を振り返り、説明させていただきます。

Direct Connect とは

  • AWS のDirect Connect は、ユーザー側(オンプレミス)のネットワークとAWS側のネットワークをプライベート接続するサービスです。専用線を使用して、ユーザー側のルーターとAWS Direct Connect のルーターを接続します。
  • 多くの場合、インターネット接続と比べ下記のメリットがあります。
    • アウトバウンドのトラフィック料金が安価になる
    • 専用線を使っているため、ネットワークの品質が高い(高スループット・低遅延)
    • セキュリティリスクの低減(インターネットを介さず、機密な通信が可能に)

Direct Connect を使ったシステムの構成図

  • オンプレミスから専用線を経由して、Direct Connecロケーションに接続しています。Direct Connecロケーションとは、AWS側のネットワークへの物理的な接続を提供する拠点になります。
    • この物理的な接続を接続(Connection)と呼びます。回線は専用接続を利用する場合、1Gbps、10Gbpsの速度が選択できます。ホスト型接続の場合は、50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbpsの速度が選択できます。詳細は、FAQを参照。
    • 物理的な装置がイメージできる場合、Connectionはデータセンター内に設置されているユーザー側のラックとAWSのラック間をファイバーチャネルで接続すること(クロスコネクト)を指します。
    • Direct ConnectパートナーがDirect Connectまでの接続を支援します。(Direct Connect ロケーション別 AWS Direct Connect パートナーの一覧
  • 次に、Direct ConnecロケーションとAWSのネットワークを接続するためのインターフェイスが仮想インターフェイス(Virtual Interface)であり、Connectionに対して作成します。Connectionは物理的なインターフェイスであるのに対し、仮想インターフェイスは、VLANを使用した論理的なインターフェイスとなります。VPCにプライベートIPを使った接続をする場合に、プライベート仮想インターフェイスを使用します。
  • さらに、Direct Connect経由でVPCを接続するためには、AWS Site-to-Site VPNを構成します。Site-to-Site VPNは、仮想プライベートゲートウェイを VPC に関連付け、 AWSルーターと仮想プライベートゲートウェイ間でBGPセッションを使って行われる通信です。BGPセッションは、AWSルーターに設定されたASN、仮想プライベートゲートウェイに設定したASN、および独自の BGP キーを使用して接続を確立します。

Direct Connect (DX)の構築方法

接続の設定

  • 今回は、Direct Connectパートナーを介してConnectionの利用申請が行われ、Connectionの承諾依頼が飛んでいる状態から私の構築スタートです。AWSコンソールを開き、Direct Connectの接続をクリックします。Connectionが作成されていることが確認できます。

  • 「承諾する」をクリックします。

  • ステータスがavailableに変わったことを確認します。

仮想プライベートゲートウェイ(VGW)の設定

  • 次に仮想プライベートゲートウェイを作成します。
  • 仮想プライベートゲートウェイを作成するため、事前に下記の情報を準備します。
    • Amazon側のASN情報

  • Amazon側のASN情報は、デフォルトASN あるいはカスタムASN を指定します。

  • 仮想プライベートゲートウェイが作成されたら、VPCのコンソールより、仮想プライベートゲートウェイの情報を開きます。まだVPCに未割当の状態のため、VPCにアタッチします。

  • 仮想プライベートゲートウェイにVPCが割り当てられました。

仮想インターフェイス(VIF)の設定

  • 続いて、仮想インターフェイスを作成します。
  • 仮想インターフェイスを作成するため、事前に下記の情報を準備します。BGP ASNは64512~65535の値であり、ルーターに設定された値を使用します。また、BGPを介して通信するピアIP(/30以下)を準備します。
    • VLAN ID
    • BGP ASN
    • ルーターのピアIP
    • Amazon ルーターのピアIP
    • BGP認証キー
  • 今回はVPCと接続するため、「プライベート仮想インターフェイス」を選択します。
  • 次に、「仮想インターフェイス名」の入力、「接続」から設定済みのConnectionを選択し、ゲートウェイタイプに「仮想プライベートゲートウェイ」を選択します。

  • 続いて、「仮想プライベートゲートウェイ」から設定済みの仮想プライベートゲートウェイを選択、「VLAN」にVLAN IDを入力、「BGP ASN」にASN番号、「ルーターのピアIP」、「AmazonルーターのピアIP」、「BGP認証キー」を指定します。

  • 仮想インターフェイスが作成されました。

BGPステータスのUp

  • Direct Connect のルーター側の設定に誤りがあるケースや仮想プライベートゲートウェイ、仮想インターフェイスのASN番号に誤りがあるケースでは、仮想インターフェイスのステータスがavailableとなるものの、BGPステータスはdownとなります。

  • 再度、設定を確認して、BGPステータスがUp に変わったことを確認します。

VPC の設定変更

ルートテーブルの設定

  • ルートテーブルに、Direct Connectを使用してプライベートで接続するためのルートを追加します。ターゲットに、作成済みのVirtual Private Gatewayを指定します。

セキュリティグループの設定

  • セキュリティグループに、Direct Connectを使用したアクセスを許可するためのルールを追加します。

疎通確認

  • プライベートIP を使用し、TCPレベル(pingコマンド)あるいはHTTPレベルで疎通確認を行います。あらかじめ、テスト対抗機の準備、セキュリティグループの穴開けが必要となります。
  • Direct Connectは物理的な接続と、論理的なインターフェイスがあり、やってみるまでは理解が難しいもの。しかし、ステップを追って準備を進めれば怖くありません。ぜひ、あなたもDirect Connect に挑戦してみてください。

参考資料

先日 (2018/11/14) 開催しました AWS Black Belt Online Seminar「AWS Direct Connect」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 AWS Black Belt Online Seminar AWS Direct Connect from Amazon Web Services Ja...

元記事はこちら

やさしいDirect Connect の構築

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。