AWS Direct Connectの概念の整理…Connectionとは?VIFとは?

AWS運用自動化サービス「Cloud Automator」

PS課の杉村です。Direct Connect(通称DX)は、オンプレミス環境とAWS環境をつなぐ専用線サービスであり多くの企業で利用されています。しかし概念を正確に理解されている人はあまりいらっしゃらないのではないでしょうか。非常に簡単にですがDirect Connectに登場する概念について整理してみます。

なおAWSさん公式でDirect Connectに関する非常に分かりやすい資料を公開しています(いわゆるBlackbelt)のでお時間がある方は下記を読んでみてもよいでしょう。日本語でこんなに充実した資料が読めるなんて、いつもながらすごいと思ってしまいます。
https://d1.awsstatic.com/webinars/jp/pdf/services/20181114-AWS-Blackbelt-DirectConnect.pdf

大きく分けると2つ

DXは大きく分けると以下の2つの概念で成り立ちます。
1. Connection
2. Virtual Interface

Connection(接続)は物理的な回線に相当します。1 Gbpsまたは10 Gbpsとなります。
ただし後述のHosted Connectionであればそれ以下の帯域もありえます。
マネジメントコンソール上で「ポートスピード」という表示を確認することができます。

しかしConnectionだけではDirect Connectを利用することはできず、Virtual Interfaceが必要です。
Virtual Interface(仮想インターフェイス、通称VIF)は仮想的な回線でありVLAN IDを持ちます。ConnectionをVLAN(802.1Q)で区切っているのですね。
一つのConnectionの中に複数のVIFを作成することができます。

このVirtual Interfaceを、直接「Virtual Private Gateway(通称VGW。VPCにアタッチする)」や「Direct Connect Gateway(DXのハブのようなもの)」または「AWS Transit Gateway(VPCやVPNを含めてハブになってくれる新サービス。2018/12時点でDX未対応だが、来年対応予定)」に紐づけることで、オンプレとAWSが晴れて通信できるわけです。

マネジメントコンソールでConnectionとVIFそれぞれの一覧を見ることができます。
しかし、ご利用の契約形態によってはConnectionが表示されておらずVIFだけだったりします。また、Connectionが表示されていても「ホスト接続(Hosted Connection)」と表示されているケースもあります。
いったいどういうことなのでしょう?

ConnectionとVIF(通常利用)

ConnectionとVIFの関係を図にすると以下のようになります。
ご利用の環境でConnectionが存在していれば、その中に複数のVIFを作成することが可能です。(マネコンから操作)
VIFを増やした時にはオンプレ側ルータの設定も必要です。

Hosted Virtual Interface

ご利用の環境でConnectionが表示されていないのにVirtual Interfaceだけが表示されている場合、こちらの利用方法にあたります。
Connectionは別のAWSアカウント(ご契約のパートナー)が持っていて、そこからVirtual Interfaceが払い出されているのです。これをHosted Virtual Interface(ホスト仮想インターフェイス)と言います。
ただし明示的にマネジメントコンソールに「このVIFは他のAWSアカウントから払い出されたHosted VIFだよ」と表示されているわけではありません。
Virtual Interfaceには自分の親のConnectionのIDが表示されますが、そのConnectionが自分のAWSアカウントになければ、そのVIFはHosted VIFだと分かるわけです。

この利用形態の場合、コンソール画面から帯域を確認することはできないため、ご契約を確認ください。(帯域はパートナーによってVLANのQoSで制御されているはずです。)

Hosted Connection (Sub 1G)

パートナーから顧客のAWSアカウントに仮想的なConnectionを払い出す、Hosted Connectionというものも存在します。
帯域が500Mbpsや100Mbps等、1Gbps未満の接続であることからSub-1G Connectionとも呼ばれます。

Hosted Connectionを払い出されたAWSアカウントでは、Virtual Interfaceを一つだけ作成し、自由に利用することができます。
Hosted Connectionをコンソール画面で確認すると「ホスト接続」と表示されています。
「割り当て済み VLAN」としてVLAN IDも表示されているので、実際にはVLANで分離されたものであることが分かります。それゆえにHosted ConnectionではVIFを一つしか作れないのですね。

モニタリング

通常のConnectionの利用状況はCloudWatchでモニタリングすることができます。Up/Downのステータスや利用帯域(bps)、秒間パケット数(Pps)などを確認できます。

一方でHosted ConnectionやVirtual Interfaceの利用状況はCloudWatchで見ることができません。これらの利用状況はオンプレのNW機器側でSNMPなどでモニタリングする必要があるのです。パートナーからのサービス提供であれば、モニタリングのためのコンソール画面などがサービスとして提供されているかもしれないので、ご確認ください。

ポイント

・Direct Connect(DX)にはConnectionとVirtual Interface(VIF)がある
・Virtual InterfaceをVirtual Private Gateway(VGW)等と紐づけることでAWSとオンプレの通信が可能になる
・Connectionには通常のConnectionとパートナーから共有されるHosted Connectionがある
・Virtual Interfaceには通常のVirtual Interfaceとパートナーから共有されるHosted Virtual Interfaceがある

AWS運用自動化サービス「Cloud Automator」