本ブログでは、AWS Direct Connect のようわからんパラメータ(MACsec、LAG、LOA、ジャンボフレーム、SiteLink)について整理します。
1. 物理接続 (Connection) レイヤーの技術
物理的な専用線接続そのものに関連する技術です。
1.1. MACsec (物理層暗号化)
MACsec (Media Access Control Security) は、物理的なケーブルを流れるデータそのものを暗号化する、IEEE 802.1AE で標準化されたレイヤー 2 のセキュリティ技術です。
-
MACsec capable: 接続先の AWS 側物理ポートが MACsec 機能に対応しているかどうかを示す性能フラグです。 -
Encryption mode:MACsec capableなポートで、実際に MACsec による暗号化を有効にするかの設定です。以下のモードがあります。-
must_encrypt: 常に暗号化を要求します。ネゴシエーションに失敗した場合は通信を行わず、セキュリティを最優先します。 -
should_encrypt: 暗号化を試みますが、失敗した場合は非暗号化通信にフォールバックします。可用性を重視する場合に選択します。
-
MACsec の主要概念と前提条件
-
キー管理:
- CKN/CAK (Connectivity Association Key Name/Key): MACsec のキーを生成するためのマスターキーとなるペアです。静的 CAK モードのみがサポートされており、ユーザー側で管理・ローテーション(手動)する必要があります。
- SAK (Secure Association Key): CKN/CAK ペアから自動的に導出されるセッションキーです。通信セッションの確立時や時間経過により自動的にローテーションされます。
-
前提条件:
- MACsec は10Gbps 以上の専用接続でサポートされます。
- 10Gbps/100Gbps/400Gbps の接続で利用可能です。
- 詳細は公式ドキュメントを参照してください。
【出典】MAC セキュリティ (MACsec) - AWS Direct Connect https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/MACsec.html
1.2. LAG (リンクアグリゲーショングループ)
LAG (Link Aggregation Group) は、複数の物理接続を LACP プロトコルを用いて論理的に 1 つの接続に束ねる技術です。これにより、帯域幅の増加と耐障害性の向上が実現できます。
-
LAG の利用条件:
- すべての接続は同じ帯域幅である必要があります。
- 100Gbps/400Gbps 接続は最大 2 つ、100Gbps 未満の接続は最大 4 つまで束ねることが可能です。
- すべての接続は、同じ AWS Direct Connect エンドポイントで終端する必要があります。
【出典】AWS Direct Connect リンク集約グループ (LAGs) https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/lags.html
1.3. LOA (接続承認書)
LOA (Letter of Authorization) は、日本語では「接続承認書」と訳されます。これは、AWS Direct Connect の物理的な専用線を接続する際に、AWS が発行する**「工事の許可証」**のようなものです。この書類は正式には LOA-CFA (Letter of Authorization and Connecting Facility Assignment) と呼ばれます。
なぜ LOA が必要か?
AWS Direct Connect の接続は、セキュリティが厳格なデータセンター(コロケーション施設)内で行われます。ユーザーが契約した通信事業者の技術者が、データセンター内で AWS の機器に物理的なケーブルを接続する作業を行うためには、「AWS から正式に許可された作業である」ことを証明する必要があり、その証明書が LOA-CFA です。
LOA を使った接続までの流れ
- ユーザー: AWS コンソールで Direct Connect の物理接続(Connection)を申し込みます。
- AWS: 申し込み内容に基づき、LOA-CFAという PDF ファイルを生成します。
- ユーザー: 生成された LOA-CFA を AWS コンソールからダウンロードします。
- ユーザー → 通信事業者: ダウンロードした LOA-CFA を、契約している通信事業者に提出します。
- 通信事業者: LOA-CFA を持ってデータセンターへ行き、施設担当者に提示して入館・作業許可を得ます。
- 通信事業者: LOA-CFA に記載された情報(ラックやポートの位置など)を元に、ユーザーの回線を AWS の機器へ物理的に接続(クロスコネクト)します。
このプロセスを経て、物理的な接続が完了します。
【出典】AWS Direct Connect ロケーションでのクロスコネクトのリクエスト https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/Colocation.html
2. 仮想インターフェイス (VIF) レイヤーの技術
1 本の物理接続上で、複数の論理的な通信経路を定義するための技術です。
2.1. MTU とジャンボフレーム
- MTU (Maximum Transmission Unit): ネットワーク接続を介して一度に転送できる最大のパケットサイズ(バイト単位)です。標準的なイーサネットでは 1500 バイトです。
- Jumbo frame capable: 標準の MTU (1500) を超える大きなパケット(ジャンボフレーム)を扱えるかどうかを示す性能フラグです。
VIF タイプによる MTU サイズの違い
- Private VIF / Transit VIF: MTU は 1500 または 8500 (トランジット VIF の場合) / 9001 (プライベート VIF の場合) をサポートします。
- Public VIF: ジャンボフレームをサポートしません (MTU は 1500 のみ)。
ジャンボフレーム利用時の注意点
- 経路全体の MTU 整合性: ジャンボフレームを有効にする場合、オンプレミス拠点から AWS 内の EC2 インスタンス等に至るまでのすべての通信経路上(サーバー NIC, スイッチ, ルーター等)で MTU 設定を統一する必要があります。経路途中に MTU が小さい機器が存在すると、パケットのフラグメント(分割)や破棄が発生し、深刻なパフォーマンス低下や通信障害の原因となります。
【出典】AWS Direct Connect 仮想インターフェイス https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html
2.2. SiteLink (拠点間接続)
-
SiteLink enabled: この機能を有効化するかどうかの設定です。 - 機能概要: 通常、Direct Connect はオンプレミス拠点と AWS を接続しますが、SiteLink を有効にすると、AWS のグローバルネットワークバックボーンを経由して、Direct Connect に接続された自社の複数拠点間を相互に接続することが可能になります。
- メリット: AWS の高品質なネットワークを利用して拠点間通信を実現できます。AWS リージョンを経由するよりも短いパスで通信できるため、低遅延が期待できます。
【出典】新機能 — オンプレミスネットワーク間を接続する AWS Direct Connect SiteLink https://aws.amazon.com/jp/blogs/news/new-site-to-site-connectivity-with-aws-direct-connect-sitelink/