本記事について
この記事では3回目のANS-C01を受けるにあたって勉強した内容を整理するための記事です。
詳しくはこちらをご覧ください。
今回はDirectConnectの記事となります。
Direct Connectについて
オンプレミスとAWSの環境をセキュアに接続したときに使用するサービス
VPNによる接続でも可能だが、DirectConnectは以下のパターンの時に選択されるケースが多い
- インターネット接続無しで接続を行うとき
- 安定した帯域を確保して通信を行うとき
Direct Connectで接続を行う場合に設定すべきもの
- 接続線(DirectConnectロケーションというDirectが物理的に設置されている場所を具体的に指定して、そこで物理接続する)
- ホスト接続(DirectConnectの接続サービスを提供しているパートナーからDirectConnectを借りる)
- 専用接続(自分でDirectConnectを繋いじゃう)
- インターフェイス
- ゲートウェイ
- オンプレ側
- カスタマーゲートウェイ(オンプレ側のDirect Connectのエンドポイント)
- AWS側
- バーチャルプライベートゲートウェイ(AWS側のCirectConnectとVPCを直接つなげる際のエンドポイント)
- Direct Connectゲートウェイ(DirectConnectの接続をハブ的に使用したいときにつなげるエンドポイント)
- ただし上限が10個
- DirectConnectにTransitGatewayを繋げることで拡張可能
- グローバルサービス
- オンプレ側
- VIF(バーチャルインターフェース)
- プライベートVIF:プライベートIPによる接続
- パブリックVIF:パブリックIPによる接続
- トランジットVIF:Transit Gatewayへの接続(DirectConnect経由可)
- ゲートウェイ
Direct Connectの冗長構成
-
高パフォーマンス高コスト(試験でよく出てくる)
- 各DirectConnectロケーションに一つずつDirectConnectを接続する。
- ロケーションごとに二つDirectConnectを接続する構成もあるが試験では出てこなかった
-
2つのDirect Connectの優先順位にについて
- 何もしなければActive Active構成となる
- DirectConnect間で優先度を変えたい(上げた)場合
- オンプレ→AWSの通路はLocal Preferenceを高くする
- AWS→オンプレの通路はAS Path番号を低くする
- ローカルプリファレンス BGP コミュニティタグによる優先度付けも可
- 7224:7100 プリファレンス低
- 7224:7200 プリファレンス中
- 7224:7300 プリファレンス高
- ローカルプリファレンス BGP コミュニティタグによる優先度付けも可
-
コスパ重視(試験で良く出てくる)
- 一つはDirectConnect、もう一つはsite-to-site VPNの冗長構成
- この場合、強制的にDirectConnectが優先される
-
障害検知時の迅速な検知方法
- BFD(Bidirectional Forwarding Detection)を使用することでミリ秒単位での検知切り替えが可能
その他注意点
- Direct Connectだけでは通信の暗号化はできない
- 暗号化を行う場合はさらにIPsecVPN等が必要でその場合はパブリックVPNのみ利用可(パブリックIPが必須)
- 通信容量拡張方法
- ジャンボフレームについて
- 通信容量を拡張させるとき、ジャンボフレーム設定を変更するが、VIFの種類ごとに最大値が異なる。(デフォルトは1500)
- トランジットVIFは最大8500
- プライベートVIFは最大9001
- 通信容量を拡張させるとき、ジャンボフレーム設定を変更するが、VIFの種類ごとに最大値が異なる。(デフォルトは1500)
- LAG(Link Aggregation Group)
- 複数のコネクションを集約して一つの論理インターフェースとして提供する
- 複数のコネクションのスペックは同じである必要がある。
- ジャンボフレームについて
- 料金について
- DirectConnectの料金は送信されるデータのみ発生する
- 受信データは課金対象外
詳しい資料はこちら