はじめてのAWS NW（その２）

投稿日: 2022/03/30

はじめに

こんにちは、園田です。
AWS利用において、もっとも基本的ではあるものの、実はよく分かっていない、どのような設計が正しいのか分かっていない。という意見をよく聞くのがNWではないでしょうか。

という事で、前回最も基本的なNW構成を設定した為、今回はオンプレミスとの接続について記載したいと思います。

AWSのVPCとオンプレミスの接続

AWS上のVPCとオンプレミスの接続については大きく分けて、以下の3つのやり方があります。

• パターン1：DirectConnect
• パターン2：VPN
• パターン3：SD-WAN

AWSからSD-WANのソリューションは提供されていません。そのため、純粋にVPC内に製品を導入し、オンプレミスのSD-WANと接続する形となります。AWSではMarket Placeにてオンプレミスで利用している機器のイメージファイルの利用が可能です。（要費用）
既にSD-WANを展開しており、クラウドとの接続もSD-WANでという方は機器ベンダーに実績があるか確認ください。

というわけで本ブログでは、DirectConnectとVPNについて記載します。
VPNについては基本インターネットを経由するという事でシンプルな構成となります。DirectConnectについては専用線という事でシンプルに見えますが、意外と検討することが多いです。

ではまず、DirectConnectについて記載します。

１．DirectConnectの接続パターンについて

DirectConnectの接続パターンは大きく分けて以下の2つとなります。

1つ目のパターンはDC（もしくは拠点）とAWSを直接接続するパターン。この場合、どのようなキャリアを利用するかなど含め自由に検討が可能です。
デメリットはDC（もしくは拠点）を必ず経由するため、通信のボトルネックとなってしまう事、また接続しているDC（もしくは拠点）を廃止することは出来ません。

2つ目のパターンはすでに拠点接続等で利用しているWAN網にAWSを接続するパターンとなります。
この場合、利用しているWAN網の仕様に依存するため、Transit Gateway等が利用できない可能性があります。WAN網を提供しているキャリアによく仕様を確認しましょう。
メリットは、NWデザインを変更することなく、AWSと接続が可能という事です。

２．DC （もしくは拠点）とAWSを直接接続する場合の回線種別

直接接続する場合、回線は更に以下の3つのパターンから選択が可能です。

• パターンA：通信キャリアにAWSとの接続含め依頼するパターン
  通信キャリアに足回り回線、およびAWSとの接続もお任せするパターンです。
  AWSとのDirectConnectについてはBGPというプロトコルを利用して接続する形となりますが、このパターンではキャリアがBGP接続をしてくれるため、利用者はstaticルーティングの設定をキャリアが指定してきたGWに設定することで通信が可能となります。

  最も簡単ですが、耐障害性を確保するため、異キャリア冗長構成としたいや予備回線としてVPNを手配したいという時、自動切り替えを行うことは出来ません。

• パターンB：キャリアにL2回線を手配してもらうパターン
  通信キャリアにL2回線を手配してもらうパターンです。
  キャリアはお客様拠点からAWS接続ポイントまでの足回り回線を手配します。
  AWSとの接続についてはBGPを利用するため、お客様拠点にBGPルータの設置、およびBGPの設計、設定が必要となります。

  手間はかかりますがパターンAと比べ回線自体は安価、また異キャリア冗長構成としたいや予備回線としてVPNを手配した際の自動切り替えも可能です。（ただし、自分で設計する必要あり）
  このパターンは対応しているキャリアが少ないため注意が必要です。

• パターンＣ：エクイニクスにラックを借りて自前で接続
  AWSのDirectConnectはエクイニクスのデータセンターから接続することが出来るため、エクイニクスのデータセンターにラックを借り、自身でAWSとの接続を実施するパターンです。
  パターンCの場合のみ、AWSのマネジメントコンソールから「接続を作成する」をクリックし、AWSへ回線手配をする必要があります。
  パターンBと同様、お客様拠点（もしくはエクイニクスのデータセンター）にBGPルータの設置、およびBGPの設計、設定が必要となります。

  本パターンについては既にエクイニクスのデータセンターにラックを借りている、もしくは他のクラウドとDirectConnectを計画している場合、選択する形にしましょう。

３．DirectConnectの接続を行う。

接続パターン、および回線種別が決まったらいよいよDirectConnectの接続を行います。
BGPルータの設計、設定については本ブログの対象外としますが、AWSおよびキャリア（エクイニクス含む）の回線メンテナンス、障害に備え、冗長回線としましょう。また、障害時の切り替え時間を早くするため、BFDをサポートしている機器を購入しましょう。BFDに対応していない場合、BGPの10秒ごと、ホールドダウンタイムを30秒にてなるべく早く切り替わりが発生するよう努めましょう。

４．仮想インターフェイスの作成、承認

DirectConnect接続時、仮想インターフェイスの作成、承認が発生します。
仮想インターフェイスの作成についてはWAN網に接続、およびパターンAの場合、キャリアからの指定の通り設定を実施します。
パターンB、Cの場合、自身の設計に基づき仮想インターフェイスの作成を行います。

仮想インターフェイス作成後、承認を行うことでAWS環境との接続が実施されます。
承認時にDirectConnectを「vgw」に接続するか、「DirectConnect Gateway」に接続するかの選択を行う必要があります。

以前は「vgw」のみでしたが、2022年現在では「vgw」を選択する意味はありません。
「DirectConnect Gateway」を選択しましょう。
「DirectConnect Gateway」を利用することで、10個までVPCとDirectConnect接続が可能です。（「DirectConnect Gateway」は別のAWSアカウントとも接続が可能。また、海外のVPCとも接続可能）

WAN回線に接続、もしくはパターンAを利用する場合、VPCが10個以上ある場合、または今後10個以上VPCを利用する可能性がある場合、どのような接続形式となるのか事前に確認しておきましょう。
技術的には利用している回線にVLANを追加することでもう1つの仮想インターフェイスを作ることが可能ですが、回線の仕様としてそのようなことが出来るのか、また費用はどのようになるのかを確認しておけば安心です。

以上でDirectConnectの接続について終了となります。

DirectConnectでの冗長構成

DirectConnect回線を複数本用意する、もしくはVPN接続を利用することで、主回線に障害があった際に副回線に切り替えるというのはかなり難易度が高いです。

パターンB、パターンCのパターンでDirectConnectを利用している場合、基本切り替え設計については自身のBGPルータでの設計に依存するため、正しく設計・設定が出来ていれば問題はありません。

ただほとんどのお客様がWAN網に接続、もしくはパターン1のキャリアがAWSと接続するパターンを選択している状態と認識しています。この場合、BGPの制御を行うのはキャリアであるため、障害発生時にお客様のルータまでは正しくトラフィックが流れる保証が出来ません。
そのため、オンプレミスが東阪にあり、障害発生時自動的に切り替えを行いたいといった場合は主系、副系統もVPN接続を利用し、制御プロトコルとしてBGPを利用することで実現が可能です。もちろんこの場合東阪のインターネットVPN装置自体もBGPで経路を交換しておく必要があります。

なお、あまり推奨は出来ませんが、障害発生時に手動で切り替えを行うことは可能です。

■DirectConnectの手動切り替え

AWS→オンプレミスの経路切り替え

DirectConnectの仮想インターフェイスをクリック。「アクション」→「BGPを停止させる」を選択。
障害テストの開始にて、停止したい時間を入力し（1分から1440分（24時間））、「確認する」をクリック。
上記作業を行うことで、BGP接続が停止するため、選択したVIF経由のAWS→オンプレミスの通信が停止。

オンプレミス→AWSの経路切り替え：

オンプレミスルータのstaticルーティングの設定を変更。

少し長くなってきたので、一旦はここまでという事で次回に続きます。本記事にて、AWS環境と、オンプレミスの接続が実施できました。とはいえ、大規模になっていくAWS環境についてどのように設計すればよいかについては触れられていません。

次回は大規模NW（AWS）の設計について記載したいと思います。
では次回でお会いましょう。

おわりに

CTCは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。