以下の自分用メモ
冗長化の必要性
- すべてのものはいつでも壊れる
- 物理的な破壊
- メンテナンスで使えないときはある
冗長化が不要な場合
- ネットワークの停止が許容される
- 検証環境や復旧時に再送されればOK
- 代替手段が既にある
オンプレミスとAWSのつなぎ方
- 専用線
- DX
- VPN
- ClientVPN
- Site-to-Site VPN
専用線
- インターネットを経由しないことで通信を盗み見されない
DX(Direct Connect)
- Direct Connectロケーション⇔AWSをつなぐサービス
- 直接オンプレと接続する専用線サービスではない
- オンプレ⇔Direct Connectロケーションは自前で専用線やIP-Sec(VPN)を用意する
LAG(Link Aggregation Group)
- 論理インターフェース
VGW(仮想プライベートゲートウェイ)
- 仮想ルーターでVPCにアタッチされる
- Direct Connectロケーションの接続先
- ルートテーブルの参照はできない
DXGW(Direct Connect ゲートウェイ)
- 複数のDirect Connectロケーションと接続
- 複数のVGWへ接続可能
- TGWへ接続する際に必要
- DXGW自体は無料
VPN
- インターネット経由だが、暗号化することで盗み見されても内容が分からない
ClientVPN
- アプリとして暗号化した上でインターネット通信
- AWS Client VPNを利用
Site-to-Site VPN
- IPsecで暗号化した状態でインターネット通信
- 早く安くスタートしたい
- IPsec対応ルーターと固定パブリックIPがあれば構築用意
- プライベート証明書があれば非固定パブリックIPも利用可能
CGW(カスタマーゲートウェイ)
- オンプレ側で用意するゲートウェイ
ターゲットゲートウェイ
- ASWS側で用意するゲートウェイ
- VGW or TGWのことを指す
冗長化
- DXを複数接続
- VPNを複数接続
- DXとVPN接続の併用
DXを複数接続
- 高コストかつ品質劣化なし
- オンプレ⇔DC⇔DXGW⇔VGW or TGW
- Direct Connectロケーションとの接続を1ロケーションにつき2つにする
- DXGWを利用してDirect Connectロケーションを2つに分散
- 片方を待機系とすることが多い
VPNを複数接続
単一障害点をなくす
- 2つのIPsecトンネルを利用するVPN接続を2つ用意する
- オンプレ⇔AWS VPN⇔VGW
複数のVPN接続に分散
- 2つ以上のVPN接続のターゲットゲートウェイにTGWを用意する
- オンプレ⇔AWS VPN⇔TGW
- ECMPを有効化
- 複数のIPsecトンネルを等価に利用する
- 帯域を増やすことが可能
- レイテンシーの一貫性はない
- Acceleratedサイト間VPNオプションを有効化
- 海外拠点のオンプレからの接続における不安定要素を軽減
DXとVPN接続の併用
- 低コストかつ品質劣化あり
- ターゲットゲートウェイがVGW
- DX :オンプレ⇔DC⇔VGW
- VPN:オンプレ⇔AWS VPN⇔VGW
- VPGはDirect ConnectのVPGと同じものを利用
- 必ずDirect Connectが優先される仕様
- ターゲットゲートウェイがTGWでも可能
- DX :オンプレ⇔DC⇔DXGW⇔TGW
- VPN:オンプレ⇔AWS VPN⇔TGW
感想
- オンプレとの接続という目的の中でのDXとVPNの使い分けが分かった
- ClientVPNについても調べたい