こんにちは、技術2課の加藤ゆです。
配属から1か月、Direct Connect(DX)の実務経験は無い状態ですが、最近DXと触れ合う機会がありました。DXって物理線なんでしょ◎と思っていたら意外と奥深かったので書き記します。
元々私のDXのイメージはこんな感じでした。専用線!!ドーーン
色々違いました。
AWS Direct Connect = オンプレミスと物理専用線で接続するサービス なのですが、Direct Connectを利用するにはこれだけの理解では不十分です。
AWS Direct Connect (DX) とは
AWS Direct Connect は、お客様の内部ネットワークを AWS Direct Connect ロケーションに、標準のイーサネット光ファイバケーブルを介して接続するサービスです。
AWS Direct Connect を使用すると、従来はインターネット上で転送されていたデータを、AWS とデータセンターまたは企業ネットワーク間のプライベートネットワーク接続経由で配信することができます。
とは AWS Direct Connect - AWS Direct Connect
よくある質問 - AWS Direct Connect | AWS
AWSとオンプレミス環境との間に、インターネットを経由しないプライベートな接続を確保できます。オンプレミスのオフィスからAWSまで、飛行機の飛行経路をガツンと開通させる感じです。
物理接続
とはいえ、オフィスからAWSが飛行経路(専用線)を提供しているわけではありません。
ユーザがAWS Direct Connectに接続するためには、AWSがDXのデリバリーを認めた、AWSパートナーと契約するか、ユーザ所有のルータをDirect Connectロケーションに設置する必要があります。
パートナー - AWS Direct Connect | AWS
Direct Connect Location
AWS Direct Connectロケーションは、ユーザが契約したキャリアとAWSが接続する場所であり、AWS Direct ConnectロケーションからAWS Cloud環境までを、AWS Direct Connectが接続します。
例えると…
- AWS Direct Connectロケーション = 空港
- キャリアのルータ = 空港入り口
- AWSのルータ = 飛行機の乗り口
こんな感じ。
Direct Connectの提供範囲は、AWS Direct ConnectロケーションからAWS Cloud環境までです!ユーザからDXまではAWSパートナーのキャリアさん宜しく!!という感じになっています。
オフィスから空港までは、空港リムジンバスでも京急でも行き方はお任せするイメージですね。
論理接続
- 論理接続
- ネットワークの論理的な接続を表したもの。物理的な接続は意識せず、ネットワーク層(L3)を意識した接続。
- 物理接続
- 主に物理層-データリンク層(L1-L2)の情報をもとにする接続。ネットワークの物理的な配線を表したもの。
物理接続と論理接続の関係
Direct Connectロケーションの接続部分は、Connectionと呼ばれる物理接続があります。この中に、複数の論理接続(仮想ローカルエリアネットワーク = VLAN)と仮想インターフェイス(Virtual Interface = VIF)があり、VIFでAWSとユーザのルータ間でのBGPピアリングを作ります。
20210209 AWS Black Belt Online Seminar AWS Direct Connect
BGPピアリング
インターネットに接続する際、オンプレミスのルーターとAWSのルータはBGP(Border Gateway Protocol)により接続し、ルート情報の交換を動的に行います。
※BGP(Border Gateway Protocol)
:ISPが形成する、固有のAS(Autonomous System (自律システム))が、相互接続時にお互いの経路情報をやり取りするために使われる経路制御プロトコル
※ISP(Internet Service Provider)
:インターネット接続サービスを提供している事業者。上記物理接続の解説部分では、「キャリアと接続」と記載しましたが、このキャリアにあたるのがISPです。
※AS(Autonomous System (自律システム))
:同じルーティング・ポリシーのもとで動作するルータの集合体のこと。ISPが固有で形成しており、世界中に存在する。
一般的に、ISPはBGPでお互いの経路情報を交換しています。交換することで、ISPと契約しているユーザとインターネット上での通信が可能になります。
BGPピアリングによって、AWSとユーザの経路情報を動的ルーティングで伝えあってくれるので、通信が出来るという事です。
Virtual Interface (VIF)
VIFとは
AWS側の接続先のことを、Direct ConnectではVirtual Interfaceと呼びます。VLANのIDを持つインターフェースの事です。
このVIFによってユーザ環境とAWS環境(VPC)を接続(BGPピアを確立)しています。
【VIF3種類】
プライベートVIF
VPCにプライベートIPを使って接続(DXを利用するタイプがAWS推奨) 最大10個のVPCと接続が可能。これにより、BGPピアリングのセッション数が減ります。パブリックVIF
パブリックIPを使って接続。リージョン(中国を除く)を超えた接続が可能で、VPC外のAWSサービス(S3等)にオンプレから直接接続できる。(PrivateLinkのアップデートがあったため、S3に接続するためだけにパブリックVIFを使う必要はなくなりました)トランジットVIF
Trangit Gateway用のDirect Connect Gatewayに接続 TrangitGatewayに接続されたVPCを相互に接続が可能 (深く言及しませんが、利用できない条件があるので確認が必要です)
VLAN(論理接続)
BGPピアリングは、物理接続の上に論理接続を確立しています。
この論理的接続がVLAN、物理的な接続がConnectionです。
VIFの使い方
占有型
- Connectionをマルっと自分のものにして、VLANは好きな用途で利用するタイプ
- 用途に応じて、1つのAWSアカウントでVIFを管理
共有型
- Connectionをキャリアが所有し、VIFをユーザに払い出して利用するタイプ
- キャリアが持つConnectionを様々なユーザで共有する使い方
20210209 AWS Black Belt Online Seminar AWS Direct Connect
Direct Connect Gateway ( DXGW )
DXGWとは
利用料は不要で、リージョンに属さないグローバルなサービスです。 DXGWは1つのVIFに対して複数のVPCを利用する!これが便利ポイントです。
DXGWを利用する事で、VPCに作成したVGWをDXGWに関連付けるだけで利用する事が出来るようになります。すごい!
ただし、制約があります。
DXGWを介してVGWからVGWへの通信(VPC同士の通信)は出来ません。
もし通信を行いたい場合には、VPCピアリングやPrivateLinkの利用が必要になります。
私はてっきりVIFもENIみたいに、簡単につけれるのかと思っていたのですが、VIFの作成には申請が必要で一苦労+コストもかかるという、なかなか大変なインターフェイスなのです。
DXGWを利用しない場合
VIFを関連付ける対象がVGWになります。
VIFとVGWは同一リージョンに1対1で設定するという制約があるため、別のVPCを利用するたびにVIFの申請が必要になります。追加でVIFを用意する必要があるので、コストと手間がかかります。VPC毎に通信を完全に分けたい場合は有効です。
感想
本当はTrangitGatewayまで触れたかったのですが力尽きました、あしからず。 いつか誰かがなるほど~と思ってくれると良いなと思います。
参考資料
[AWS Black Belt Online Seminar] AWS Direct Connect 資料及び QA 公開 | Amazon Web Services ブログ
BGP(Border Gateway Protocol)とは
