見出し画像

【AWS ANS-C01】試験直前!復習ノート:Direct Connect(DX)のポイント

SUE

今回は、AWS ANS-C01 の試験を受ける一週間前に、Direct Connect(DX)について理解を整理しながら復習しましたので、そのノートを残しておきます。


Direct Connect (DX)とは

-AWSクラウド環境とオンプレミス環境を専用線で接続するためのサービスを提供します。
-オンプレミスとAWS間でのネットワーク経路交換には、ダイナミックプロトコル(BGP)が使用されます。
-BGPで使用されるAutonomous System(AS)番号は、オンプレミスとAWSで一意になるように設定する必要があります。

次の図は、AWS Direct Connectを使用したオンプレミスとAWS環境接続の概要図となります。

AWS公式ドキュメント 引用:AWS Direct Connectとは

・Direct Connect Location

-Direct Connect接続は、Direct Connect Locationを経由します。
-Direct Connect Location内のお客様(または、パートナー)側のルータとAWS側の Direct Connectルータを接続する部分は、Connectionと呼ばれる物理接続が存在します。

(薄黄色)物理接続の部分

Direct Connectにおけるコンポーネント

2つのコンポーネントで構成されます。
・Connection
・Virtual Interface(VIF)

・Connection

Connectionの種類は、以下の2つです。
①専用型接続(Dedicated Connection)
-1つの物理ポート(=1つのConnection)を完全に占有し、複数の VIFを収容できます(ただし、VIFの数はクォータ内に限ります)。
-1 Gbps、10 Gbps、 または 100 Gbps の帯域幅をサポートします。

専用型接続(Dedicated Connection)

②ホスト型接続(Hosted Connection)
-AWSが認定したDirect Connectデリバリーパートナーを通じた契約に限られます。
-パートナーは1つの物理ポート(=1つのConnection)を共有し、仮想的なHosted Connectionを1つ作成し、その中に単一の VIFを収容し、それを利用者に提供する形態となっています。
-50 Mbps、100 Mbps、200Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、 2 Gbps、5Gbps、および 10 Gbps の帯域幅をサポートします。

ホスト型接続(Hosted Connection)

・Virtual Interface(VIF)

VIF とは、VLAN IDを持つインターフェースのことです。オンプレミスとAWS間の BGPピアリングは、VIF単位で確立されます。

VIFの種類は、以下の3つです。
①Public VIF
-インターネットに公開されている(グローバルIPアドレスで公開されている)AWSのリソースに接続するために使用します。
※(グローバル IPでのBGPピア接続が必要なため)オンプレミスとAWS側では、グローバルIPアドレスを持っていることが前提。

②Private VIF
-Virtual Private Cloud(VPC)に、接続するために使用します。
-Private VIFは、Virtual Private Gateway(VGW) または Direct Connect GatewayをゲートウェイとしてVPCに接続します。
※VGWをゲートウェイとする場合、Direct Connect物理接続アカウントと同じリージョンにある単一VGWにのみ接続可能です。
※Direct Connect Gatewayをゲートウェイとした場合、異なるリージョンの複数VGW(最大20個まで)と接続が可能です。

③Transit VIF
-Transit Gatewayを Direct Connectに接続するためには、Transit VIFを使用します。
-Transit VIFは、Direct Connect GatewayをゲートウェイとしてTransit Gatewayと接続されます。

お客様のネットワーク要件

お客様のネットワーク(カスタマールータの仕様)は、以下の条件を満たしている必要があります。
・物理接続(シングルモードファイバー/オートネゴシエーションの無効化)
・802.1Q VLAN
・BGP と BGP MD5 認証
・双方向フォワーディング検出(BFD)

詳細については、AWS公式ドキュメント(ネットワークの要件)を参照してください。

LAG(Link Aggregation Group)

Direct Connectの帯域を拡張する一つの方法として、LAGを使用することができます。LAGを使用することで、複数のDirect Connect物理接続を1つに束ねることで、帯域を拡張することができます。

AWS公式ドキュメント 引用:Link Aggregation Group(LAG)

Direct ConnectにおけるLAGは、以下のルールが適用されます。
・すべての接続は専用接続でなければならず、ポートスピードが 1 Gbps10 Gbps または 100 Gbps であることが必要です。
・LAG のすべての接続では同じ帯域幅を使用する必要があります。
・LAG では、100G のポートスピードで最大 2 つの 接続、または 100G 未満で最大 4 つの接続を使用できます。LAG の各接続はリージョンの全体的な接続制限の対象になります。
・LAG のすべての接続は、同じ AWS Direct Connect エンドポイントで終了する必要があります。
・LAGは、パブリック、プライベート、トランジットのすべての仮想インターフェースタイプでサポートされています。

引用:AWS公式ドキュメントより

ルーティングポリシーと BGPコミュニティ

Direct Connect接続で、同じ宛先を持つ複数のBGPルートがある場合、優先パスを設定するために、LP (Local Preference)AS-Path Prependが利用されます。(※デフォルトでは、全てのパスでロードバランシングされる)
・AWSから受信したルートに LPを付与することで、送信トラフィックを制御できます。LP値がより大きいルートが優先されます。
・AWSへ送信するルートに AS-Path Prependを付与することで、受信トラフィックを制御できます。AS-Path Prependがより短いルートが優先されます。

また、BGP コミュニティタグを Amazon にアドバタイズするパブリックプレフィックスに適用して、Amazon のネットワーク内のどの程度の範囲にプレフィックスを伝達するかを制御するために、以下が使用されます。
・インバウンドルーティングポリシー
7224:9100 - ローカル AWS リージョン
7224:9200 - 大陸のすべての AWS リージョン
(※北米全域アジアパシフィック 欧州、中東、アフリカ)
7224:9300 - グローバル (すべてのパブリック AWS リージョン)

・アウトバウンドルーティングポリシー
7224:8100 - 同じAWSリージョンから送信されるルート
7224:8200 - 大陸と同じ大陸から送信されるルート
No Tag(タグなし) - 他の大陸を起点とするルート

詳細については、AWS公式ドキュメント(ルーティングポリシーと BGP コミュニティ)を参照してください。

Direct Connect通信の暗号化

デフォルトでは、Direct Connect接続は暗号化されていません

AWS Direct Connect 接続上のトラフィックを暗号化するには、次のいずれかの方法を使用します。
MAC セキュリティ (MACsec) を使用してください。MACsec は、専用の直接接続を介してポイントツーポイント暗号化を提供します。MACsec をサポートする接続の詳細については、「AWS Direct Connect」を参照してください。
・Direct Connect 経由で AWS Site-to-Site VPN を作成します。サイト間 VPN は、カスタマーゲートウェイと AWS ゲートウェイ間の暗号化を行います。AWS ゲートウェイは、AWS Transit Gateway でも仮想プライベートゲートウェイでもかまいません。

引用:AWS re:Postより

Direct Connectの料金

Direct Connectの料金は、「Direct Connect物理接続」と「データ転送(アウト)料金」で構成されます。Direct Connect物理接続の料金は、帯域幅に応じて料金が変動します。

Direct Connectのトラブルシューティング

以下に、いくつかのトラブルシューティング方法を記載しています。
詳細については、AWS公式ドキュメント(トラブルシューティング)を参照してください。

  • レイヤー 1 (物理層) 問題のトラブルシューティング

Direct Connect の物理的な Connection のステータスが Down の場合、
⇒ルーターが適切な光トランシーバ(シングルモードファイバー)を使用していることを確認
⇒ポートのオートネゴシエーションが無効になっていることを確認

  • レイヤー 2 (データリンク層) 問題のトラブルシューティング

Direct Connectの物理接続は Up しているが、仮想インターフェイス(VIF)は Down している場合、
⇒ピアIPアドレスとVLANが正しく設定されているかを確認
⇒IPアドレスが物理インターフェイスではなく VLAN サブインターフェイス(VIF)で設定されていることを確認
802.1 Q VLAN タグに対する VLAN トランキングが有効になっていることを確認

  • レイヤー 3/4 (ネットワーク層/トランスポート層) 問題のトラブルシューティング

仮想インターフェイス(VIF)がDownしていて、BGP ピアリングセッションを確立できない場合、
⇒BGP ローカル AS 番号 (ASN) と Amazon の ASN が正しく設定されていることを確認
Private VIF で広報されているプレフィックスの数が、 100 を超えていないかを確認
Public VIF で広報されているプレフィックスの数が、 1000 を超えていないかを確認
TCP ポート 179 やその他のエフェメラルポートへの送受信がブロックされていないことを確認

おわりに

試験の準備を通じて勉強した自分の理解を整理しながら思いつく部分だけを書きましたので、AWS Direct Connect(DX)サービス自体にカバーできなかった点などがあるかもしれませんが、受験前に一通り目を通すにはどうでしょうか。




この記事が気に入ったらサポートをしてみませんか?