More Related Content Similar to AWS Black Belt Online Seminar AWS Direct Connect
Similar to AWS Black Belt Online Seminar AWS Direct Connect (20) More from Amazon Web Services Japan
More from Amazon Web Services Japan (20) AWS Black Belt Online Seminar AWS Direct Connect1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
AWS Webinar
https://amzn.to/JPWebinar https://amzn.to/JPArchive
2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
自己紹介
名前:深森 広英 (ふかもり ひろひで)
所属:アマゾン ウェブ サービス ジャパン株式会社
ソリューションアーキテクト
経歴:通信事業者にてインターネットバックボーンの構築
企業向けグローバルネットワークの運用
好きな AWS サービス:AWS CLI、AWS Direct Connect Gateway
2
3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
とは
「サービス別」「ソリューション別」「業種別」のそれぞれのテーマに分かれて、アマゾ
ン ウェブ サービス ジャパン株式会社が主催するオンラインセミナーシリーズです.
質問を投げることができます!
• 書き込んだ質問は、主催者にしか見えません
• 今後のロードマップに関するご質問は
お答えできませんのでご了承下さい
本動画および資料は後日サイトへアップいたします.
① 吹き出しをクリック
② 質問を入力
③ Sendをクリック
Twitter ハッシュタグは以下をご利用ください
#awsblackbelt
3
4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
内容についての注意点
• 本資料では2018年11月14日時点のサービス内容および価格についてご説明しています.最新の
情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください.
• 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相
違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます.
• 価格は税抜表記となっています.日本居住者のお客様が東京リージョンを使用する場合、別途消
費税をご請求させていただきます.
•
4
5. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
このセミナーのゴール
AWS Direct Connectの機能とメリットを理解する
最近のアップデートにキャッチアップ
詳細・最新情報へのポインタを得る
5
6. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
参考資料につきまして
AWS Direct Connectの基本的な用語や概念についてもし分からないところが出てきましたら、以下
の2つの資料をぜひご参照ください.(https://aws.amazon.com/jp/aws-jp-introduction/)
6
7. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Agenda
• AWS Direct Connect とは?
• 物理接続/論理接続
• 物理接続
• プライベート接続とパブリック接続
• AWS Direct Connect Gateway
• パートナー経由のDirect Connect
• 高可用/モニタリング
• 制限値について
• What’s New(最近の主なアップデートをクイックにチェック)
• まとめ
• 参考:料金体系
7
8. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Agenda
• AWS Direct Connect とは?
• 物理接続/論理接続
• 物理接続
• プライベート接続とパブリック接続
• AWS Direct Connect Gateway
• パートナー経由のDirect Connect
• 高可用/モニタリング
• 制限値について
• What’s New
• まとめ
• 参考:料金体系
8
9. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
AWS Direct Connectとは?
10. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
AWSとオンプレミスを接続するためには
オンプレミスDCなど
専用線など
インターネット
Or
• オンプレミス環境をAWSクラウドに接続するためにはネットワークが必要
• ネットワーク=インターネットまたは専用線など
10
11. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
AWS Direct Connect とは?
• お客様のデータセンターやオフィスを専用線などを介してAWSへプライベートに接続す
るサービス.
• 多くの場合にインターネット接続と比べて以下のメリットを得られる
安価なアウトバウンドトラフィック料金
安定、良好なネットワーク品質(遅延、ジッター、パケット損失率、スループット)
オンプレミスDCなど
専用線
Amazon VPC
S3などパブリックな
AWSサービス(※)
11
※パブリックなAWSサービス=S3やEC2などパブリックにルーティング可能なサービス.
12. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Agenda
• AWS Direct Connect とは?
• 物理接続/論理接続
• 物理接続
• プライベート接続とパブリック接続
• AWS Direct Connect Gateway
• パートナー経由のDirect Connect
• 高可用/モニタリング
• 制限値について
• What’s New
• まとめ
• 参考:料金体系
12
13. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
物理接続
14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
基本構成
AWS Direct
Connect
デバイス
パートナー様機器
/お客様機器
Direct Connect ロケーション
CORP
オンプレミスDCなど
東京リージョンのDirect Connectロケーション
Equinix TY2(東京)/OS1(大阪)
アット東京中央データセンター CC1(東京
Chief Telecom(台湾)
Chungwha Telecom(台湾)
10G or 1G
• オンプレミスから専用線を介してDirect Connect ロケーションに接続
• Direct Connect ロケーション=AWSクラウドへの物理的な接続を提供する拠点
→この物理接続を“Connection”または単に”接続“と呼ぶ
→Connectionは1Gbpsまたは10Gbpsのポート速度をサポート
14
15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
接続のパターン
1) Direct Connectロケーションとお客様機器が同じロケーショ
ン
2) Direct Connectロケーションからパートナー様専用線で接続
3) パートナー様閉域網(IP-VPN網、モバイル網等)経由で接続
お客様機器
お客様機器
お客様機器
お客様機器
閉域網
専用線
Direct Connect ロケーション
15
パートナー様機器
パートナー様機器 拠点1
拠点2
16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Direct Connect ロケーションでの接続
Patch Panel
Patch Panel
クロスコネクト
シングルモードファイバ
AWSラック パートナー様/
お客様ラック
Meet-Me Room
お客様拠点
AWS
お客様/
パートナー様
AWSリージョン
16
ルータ
Patch Panel
ルータ
Patch Panel
Direct Connect ロケーション
1000BASE-LX
or
10G-LR
17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
https://aws.amazon.com/jp/directconnect/features/
東京リージョンにおける
AWS Direct Connectロケーション
AWS Direct Connect ロケーション
AWS Direct
Connect にアクセス
可能なキャンパスロ
ケーション
関連付けられている AWS
リージョン
AWS Direct Connect の地理的リー
ジョン
アット東京中央データセンター 東京-日本 アジアパシフィック (東京) アジアパシフィック – 1
Chief Telecom LY 台北-台湾 アジアパシフィック (東京) アジアパシフィック – 1
Chunghwa Telecom 台北-台湾 アジアパシフィック (東京) アジアパシフィック – 1
Equinix OS1 大阪-日本 アジアパシフィック (東京) アジアパシフィック – 1
Equinix TY2 東京-日本
Equinix TY2、TY6 -
TY8、東京 アジアパシフィック (東京) アジアパシフィック – 1
AWSクラウドへの物理的な接続を提供する拠点
17
18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
パートナー
Equinix TY2
東京
Equinix OS1
大阪
アット東京中央デー
タセンター
東京
Chief Telecom LY
台北
アルテリア・ネットワークス株式会社 ✔ ✔ ✔
AT Tokyo ✔
AT&T ✔ ✔
BT ✔ ✔
CenturyLink ✔
Chief Telecom ✔
China Mobile International ✔ ✔
CITIC Telecom CPC ✔ ✔ ✔
Colt ✔ ✔ ✔
Datapath.io GmbH ✔
Equinix, Inc. ✔ ✔
Global Cloud Xchange ✔ ✔
Hibernia Networks ✔
HGC Global Communications ✔
Direct ConnectをサポートするAPNパートナー様
東京リージョンにてAWS Direct Connectロケーションへ接続するための
回線を提供することのできるAWSパートナー一覧
http://aws.amazon.com/jp/directconnect/partners/
※最新情報は APN パートナー様にお問い合わせください
18
19. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
http://aws.amazon.com/jp/directconnect/partners/
※最新情報は APN パートナー様にお問い合わせください
Direct ConnectをサポートするAPNパートナー様(続き)
パートナー
Equinix TY2
東京
Equinix OS1
大阪
アット東京中央デー
タセンター
東京
Chief Telecom LY
台北
インターネットイニシアティブ ✔ ✔ ✔
IX Reach ✔
KDDI ✔ ✔
野村総合研究所 (NRI) ✔
NTT コミュニケーションズ株式会社 ✔ ✔
NTT 東日本 ✔
Orange Business Services ✔
Sejong ✔
ソフトバンク株式会社 ✔ ✔ ✔
Tata Communications ✔
Telstra ✔ ✔
TOKAI Communications ✔ ✔ ✔
Verizon ✔ ✔
Zayo Group ✔
東京リージョンにてAWS Direct Connectロケーションへ接続するための
回線を提供することのできるAWSパートナー一覧
19
20. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
AWS Direct
Connect
デバイス
キャリア様機器
または
お客様機器
Direct Connect ロケーション
CORP
`
Link Aggregation Group (LAG)
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/lags.html
複数のConnectionを集約し一つの論理インタフェースとして提供.
• 等速度なConnectionを最大で4つ集約し、各Connectionにトラフィック分散
• Link Aggregation Control Protocol (LACP) を使用
※ メンバーポートは同一のAWSデバイスに収容されるため別途冗長化が必要
LAG
オンプレミスDCなど
20
21. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Agenda
• AWS Direct Connect とは?
• 物理接続/論理接続
• 物理接続
• プライベート接続とパブリック接続
• AWS Direct Connect Gateway
• パートナー経由のDirect Connect
• 高可用/モニタリング
• 制限値について
• What’s New
• まとめ
• 参考:料金体系
21
22. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
プライベート接続とパブリック接続
23. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
仮想インタフェース(Virtual Interface = VIF)
Virtual Interface #1
Virtual Interface #2
Virtual Interface #3
VLAN 100
VLAN 200
VLAN 300
Connection
1G / 10G
23
Connection = 物理接続(1G or 10G)
VIF = Connectionを通してAWSリソースにアクセスするための論理インタフェース
• AWSとお客様ルータの間でBGPピアを確立し経路交換をするために必要
• VLAN IDをもつ
• VPCへプライベートアドレスを介した接続を提供するのがPrivate VIF
• AWSの全リージョンへパブリックIPを介した接続を提供するのがPublic VIF
24. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
クロスアカウント利用
Connectionを所有しているAWSアカウントから、他のAWSアカウントに対してVIFを提
供することが可能
関連会社ネットワーク
開発ネットワーク
社内基幹ネットワーク
関連会社Z
AWSID:000000000002
情報システム部
AWSID:123456789012
開発部
AWSID:000000000001
情報システム部(Connectionを所有)
AWSID:123456789012
VLAN 100
VLAN 200
VLAN 300
Connection
1G / 10G
24
25. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
プライベート接続
お客様ルータ
`
eBGPピア
10.0.0.0/16
VPC CIDR
10.0.0.0/16を広告
192.168.0.0/24
192.168.0.0/24
を広告
BGPピア接続のためのIPアドレス (/30)
オンプレミスDC
VGW(Virtual Private Gateway)
にPrivate VIFをアタッチ
• Private VIFを使用してVPCへの接続を提供
• お客様ルータでBGP, MD5認証, IEEE802.1q VLANのサポートが必要
• VPCのCIDR(IPv4,IPv6)がAWSから広告される
• Jumbo Frame(MTU=9001)をサポート
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/set-jumbo-frames-vif.html
25
Private VIF
BGP ASN=65001(オンプレミス側AS)
VLAN=123
BGP Auth Key = ABC
VGW
構成例
26. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
ConnectionとVIFの例
26
Connection 10G
Private VIF
27. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
本番
検証
開発 Diect Connect
ロケーション
お客様
ルータ
BGP
BGP
BGP
AWS Direct
Connect デバイス
VLAN
400
VLAN
500
VLAN
600
Private VIFによるマルチVPC接続
• オンプレミスを複数のVPCへ接続するために複数のPrivate VIFを使用
• 複数の異なるAWSアカウントのVPCへオンプレミスから接続可能
• Direct Connectロケーションに紐づけられたリージョンのVPCにのみ接続可能
27
28. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
オンプレミスからAWS PrivateLinkへの接続(1)
Amazon Kinesis
Data Streams など
VPC Endpoint
Network Interface
Private IP:XXX
`
オンプレミスDC
インタフェース型VPCエンドポイント(=PrivateLink)を使用するAWSサービスへダイ
レクトコネクト経由でアクセスする構成の例
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpce-interface.html
Direct Connect
28
29. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
オンプレミスからAWS PrivateLinkへの接続(2)
インスタンス
`
オンプレミスDC2
NLB
VPC Endpoint
Network Interface
Endpoint Service
vpce-svc-1234
VPC Endpoint
Network Interface
`
オンプレミスDC1
VPC間のアドレス重複可
エンドポイントサービスを公開し、Direct Connect経由でアクセスする例
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpce-interface.html
Direct Connect
Direct Connect
29
30. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
パブリック接続
お客様ルータ
`
eBGPピア
中国を除く全リージョンのAWSサービスのパブ
リックIPを広告
192.168.0.0/24
パブリックIPアドレス
(/31)を広告
AWS提供のパブリックIPアドレス(/31)
BGPピア接続に使用
オンプレミスDC
Public VIF(例)
BGP ASN=65001(オンプレミス側AS)
VLAN=456
BGP Auth Key = ABC
• Public VIFを使用して中国を除く全リージョンのパブリックサービスへの接続を提供
• オンプレミスのプライベートアドレスをAWS提供のパブリックIPアドレスへNAT
※お客様所有のパブリックIPの持ち込みも可能
• 中国を除く全リージョンのAWSサービスのパブリックIPをAWSから広告
→BGP Communityで自リージョンの経路だけをフィルタ可能
30
広告される経路について
https://forums.aws.amazon.com/ann.jspa?annID=23
91
構成例
31. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Public VIFによるパブリックサービスへの接続
本番
検証
開発 Direct Connect
ロケーション
お客様
ルータ
BGP
AWS Direct
Connect デバイス
VLAN
800
• 同一Connection上にPublic VIFとPrivate VIFの混在が可能
VPC
VPC
VPC
31
32. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Agenda
• AWS Direct Connect とは?
• 物理接続/論理接続
• 物理接続
• プライベート接続とパブリック接続
• AWS Direct Connect Gateway
• パートナー経由のDirect Connect
• 高可用/モニタリング
• 制限値について
• What’s New
• まとめ
• 参考:料金体系
32
33. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
AWS Direct Connect Gateway
34. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
AWS Direct Connect Gateway
単一のPrivate VIFを用いたプライベート接続で、中国を除く世界の全リージョンの複
数のVPCと閉域で通信することが出来る
(※2018年11月14日現在、同一AWSアカウントのVPCにのみ接続可能)
Direct Connect
Gateway
シンガポール
リージョン
東京リージョン
`
オンプレミスDCPrivate VIF
` オンプレミスDCPrivate VIF
日本
シンガポール
34
35. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
AWS Direct Connect Gateway 許可されない通信
オンプレミスからオンプレミス、VPCからVPCへの折り返し通信は不可
Direct Connect
Gateway
シンガポール
リージョン
東京リージョン
`
オンプレミスDC
Private VIF
` オンプレミスDC
Private VIF
日本
シンガポール
X
X
X
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/direct-connect-gateways.html
35
36. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Agenda
• AWS Direct Connect とは?
• 物理接続/論理接続
• 物理接続
• プライベート接続とパブリック接続
• AWS Direct Connect Gateway
• パートナー経由のDirect Connect
• 高可用/モニタリング
• 制限値について
• まとめ
• 参考:料金体系
36
37. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
パートナー経由のDirect Connect
38. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
接続のパターン(再掲)
1) Direct Connectロケーションとお客様機器が同じロケーション
2) Direct Connectロケーションからパートナー様専用線で接続
3) パートナー様閉域網(IP-VPN網、モバイル網等)経由で接続
お客様機器
お客様機器
お客様機器
拠点1
閉域網
専用線
クロス
コネクト
Direct Connect ロケーション
38
パートナー様機器
パートナー様機器
拠点2
お客様機器
39. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Direct Connect ロケーションでの接続(再掲)
Patch Panel
Patch Panel
クロスコネクト
シングルモードファイバ
AWSラック パートナー様/
お客様ラック
Meet-Me Room
お客様拠点
AWS
お客様/
パートナー様
AWSリージョン
39
ルータ
Patch Panel
ルータ
Patch Panel
Direct Connect ロケーション
1000BASE-LX
or
10G-LR
40. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
パートナーの提供サービス (占有型・共有型)
Direct Connect (占有型)
• Connectionをお客様へ提供
• VIFはお客様側で自由に設定可能
• 物理帯域(1G,10G)を占有
Direct Connect (共有型)
• Connectionはパートナーが所有
• お客様のリクエストベースでパート
ナーがVIFを設定
• 帯域保証型、ベストエフォートなどさ
まざま
40
VIF:VLAN 100
Connection
1G / 10G
お客様アカウント
Connection
1G / 10G
パートナーアカウント
お客様アカウント
VIF:VLAN 200
VIF:VLAN 100
VIF:VLAN 200
お客様でVIFを設定
パートナーに依頼して
VIFを設定
41. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Hosted Connection(ホスト接続)と呼ぶ仮想的なConnectionをパートナーがお客様へ提供
• 1G未満の接続(sub-1G connection)を提供する場合に使用
• 50,100,200,300,400,500(Mbps) いずれかの帯域を占有可
• 接続の要求はAPNパートナに問い合わせする(コンソールからは不可)
• Hosted Connectionの中にVIFを一つだけ、お客様で自由に設定できる
パートナーの提供サービス (Hosted Connection)
https://aws.amazon.com/jp/premiumsupport/knowledge-center/direct-connect-types/
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/getting_started.html
41
VIF:VLAN 100
Connection
1G / 10G
パートナーアカウント
お客様アカウント
Hosted Connection
42. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
パートナーの提供サービス(Hosted Connection)
Sub1G接続の例(ポート速度50Mbpsの場合)
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/getting_started.html
42
= Hosted Connection
43. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
パートナー経由のDirect Connectの注意点
• サービスによってVPCへの経路広報のタイプが異なる場合がある
• ルータからの経路情報に集約をかけるもの
• デフォルトが広報されるもの
• 申告した経路が集約されるもの
異なる回線サービスで冗長を取る場合、回線ごとに経路広報のタイプが異なると予期せ
ぬ経路の偏りの原因となり得ます.サービス提供条件のご確認をお願いします.
43
44. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Agenda
• AWS Direct Connect とは?
• 物理接続/論理接続
• 物理接続
• プライベート接続とパブリック接続
• AWS Direct Connect Gateway
• パートナー経由のDirect Connect
• 高可用/モニタリング
• 制限値について
• What’s New
• まとめ
• 参考:料金体系
44
45. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
高可用/モニタリング
46. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
デュアルロケーション (東京内で分散)
東京
東京内の異なるDirect Connectロケーションを用いた冗長構成の例
オンプレミスDC
アット東京
CC1
Equinix
TY2
東京リージョン
東京
46
高可用性のためにDirect Connectを冗長化する場合は異なるロケーションへの分散が基本
47. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
デュアルロケーション (東阪で分散)
東京リージョン
東阪に分散したDirect Connectロケーションを用いた冗長構成の例
東京
アット東京
CC1
Equinix
OS1
大阪
47
オンプレミスDC
47
48. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
デュアルロケーション (東阪分散+大阪ローカルリージョン)
ダイレクトコネクトゲートウェイを用いて大阪ローカルリージョンへ接続する構成例
DRサイト:
大阪ローカルリージョン
メインサイト:
東京リージョン
アット東京
CC1
Equinix
OS1
東京
大阪
Direct Connect
Gateway
48
オンプレミスDC
49. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
冗長構成における経路制御
eBGPeBGP
iBGP
iBGPにより同AS内の隣接ルータ
にBGPのパス属性値を伝達し、
どちらの経路を選択するかAS内
で総合的に判断
• VPC上のVGW(Virtual Private Gateway)に複数のVritual Interfaceを終端
• BGPのパス属性を用いて経路を制御する
• AWS上の設定ではなく、お客様ルータの設定により経路制御を行う
オンプレミス
49
VGW
論理的には一つのオブジェクトに見える
が、実際には物理的に冗長化されている
お客様ルータ
eBGPeBGP
iBGP
オンプレミス
VGW
Direct Connect
Gateway
50. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
BGPパス属性を用いた経路制御
同じ宛先を持つ複数のBGPルートから、ベストパスを選択するためにルータによって評
価される属性値. 以下の例ではLP(Local Preference)とAS-Path Prependを利用.
Prepend:2つ
LP:100
Prepend:1つ
LP:200
Prepend:なし
LP:300
ベストパス
オンプレミス
ルータ
AWSへ送信するルートにAS-Path
Prependを付与し受信トラフィックを制
御(※)
VGW
AWSから受信するルートにLPを付与し送信
トラフィックを制御
※AWSに広告する経路のローカルプリファレンスを制御
するためのBGPコミュニティでも同様に受信トラフィック
をコントロール可能
50
51. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
BGPコミュニティ(1)
AWSに広告するプレフィックスの伝播を制御するためのBGP コミュニティ
• 7224:9100—ローカル AWS リージョン内のみに伝播
• 7224:9200—同じ大陸のすべての AWS リージョン (例:北米全域)に伝播
• 7224:9300—グローバル (すべてのパブリック AWS リージョン)に伝播
• デフォルト=すべてのパブリック AWS リージョン (グローバル) に伝播
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/routing-and-bgp.html
AWSが広告するプレフィックスに付与されるBGP コミュニティ
• 7224:8100— AWS Direct Connect のプレゼンスポイントが関連付けられている
AWS リージョンと同じリージョンから送信されるルート
• 7224:8200—AWS Direct Connect のプレゼンスポイントが関連付けられている大
陸と同じ大陸から送信されるルート
• タグなし—グローバル (すべてのパブリック AWS リージョン)
パブリック接続で使用可能なもの
51
52. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
プライベート接続で使用可能なもの
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/routing-and-bgp.html
AWSに広告する経路のローカルプリファレンスを制御するためのBGPコミュニティ
• 7224:7100—優先設定: 低
• 7224:7200—優先設定: 中
• 7224:7300—優先設定: 高
ご参考: AS-PATHプリペンドでもAWSからお客様ルータ向けのトラフィックの優先度を制御可能
BGPコミュニティ(2)
52
53. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
経路制御(Active/Active)
ActiveActive
2本のDirect Connectの間でトラフィックをロー
ドバランスし、Active/Activeとして利用
それぞれのルータで以下が等しくなるようにす
る必要がある.
• AWSへ送信するBGPルートのASパス長、LP
コミュニティ、MED
• AWSから受信するBGPルートに付与するLP値
※ 片系障害時にトラフィックが迂回した場合でも迂回
先で輻輳が発生しないように帯域管理が必要
53
https://aws.amazon.com/jp/directconnect/faqs/ Q.Direct Connect プライベート仮想インターフェイスでは、ど
のようなローカルプリファレンスコミュニティがサポートされていますか?
トラフィックを
ロードバランス
VGW
54. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
経路制御(Active/Standby)
StandbyActive
障害時にActiveから
Standbyへ切替
Direct Connect2本のどちらかを通常利用とし、
障害時はStandby側へ自動切り替えを行う
それぞれのルータでBGP属性値を以下のように
設定しActive/Standbyを制御
• AWSへ広告するBGPルートのASパス長を
AS-Path Prepend を使ってStandby側が長
くなるようにする
• AWSから受信するBGPルートに付与するLP
値をStandby側で小さくなるようにする
LP=200
Prependなし
LP=100
Prependあり
54
VGW
55. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
経路制御(Direct Connect/VPN)
StandbyActive
Direct Connect障害時のバックアップと
してインターネットVPNを利用
フェールオーバー時にはパフォーマンスに
影響が出る場合があるため注意
※ AWSは(パス属性によらず)常にVPN
よりもDirect Connectを優先経路とする
LP=200
Prependなし
LP=100
Prependあり
55
Standby用に
インターネットVPN
を利用
VPN
VGW
56. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
非対称ルーティング時の注意
冗長構成のDirect Connectにおいて非対称
ルーティング(上りと下りで経路が異なる)は
問題なく通信可能
ファイアウォール利用時には非対称ルーティン
グに対応していないクラスタを利用するとパ
ケットが破棄されるので注意
StandbyでVPNを利用している場合には非対称
ルーティングは避ける(パケット破棄)
56
https://aws.amazon.com/jp/premiumsupport/knowled
ge-center/configure-vpn-backup-dx/
VPN
VGW
57. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
障害時の経路切替時間の短縮
対策1: keepalive/Hold Timerのチューニング
router bgp CUSTOMER_BGP_ASN
neighbor NEIGHBOR_IP_ADDRESS timers 10 30
お客様ルータでBGPピアのKeepaliveとHold Timerを短く設定することでStandbyへの
切替に要する時間を短縮
以下の設定例ではKeepaliveを10秒、Hold Timerを30秒へ短縮
edit protocols bgp group ebgp
set hold-time 30
Ciscoルータの場合 Juniperルータの場合
デフォルト値 Keepalive=60秒 Hold Timer=180秒 デフォルト値 Keepalive=30秒 Hold Timer=90秒
57
58. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
障害時の経路切替時間の短縮
対策2: BFD(Bidirectional Forwarding Detection)
• 経路上の障害を高速に検知し、ルーティングプロトコルに通知する機能
• Standbyへの切替時間を短縮
• 隣接ルータ間で制御パケットをミリ秒単位で送受信する
• 下の例では50ミリ秒間隔でBFDパケットを送信、3度受け取れない場合は障害とみ
なす
bfd interval 50 min_rx 50 multiplier 3
router bgp CUSTOMER_BGP_ASN
neighbor NEIGHBOR_IP_ADDRESS fall-over bfd
edit interfaces ge-0/0/1
edit bfd-liveness-detection
set minimum-inverval 50
set multiplier 3
Cisco Juniper
58
https://aws.amazon.com/jp/premiumsupport/knowledge-center/enable-bfd-direct-connect/
59. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
CloudWatchによるDirect Connectのモニタリング
2018年11月14日時点で物理接続(=Connection)のメトリクスのみが利用可能
• Connectionのアップ/ダウン
• Connectionのデータ転送量
• Connectionのパケットレート
• CRCエラー
• AWS側で受信/送信される光レベル(10Gbps接続のみ)
マネジメントコンソールのConnection(接続)の“モニタリング”タブから確認可能
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/monitoring-cloudwatch.html
59
60. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Direct ConnectのCloudWatchメトリクス一覧
メトリクス 説明
ConnectionState 接続の状態.0 は DOWN、1 は UP を示します.
単位: ブール
ConnectionBpsEgress 接続の AWS 側から送信されるデータのビットレート.
報告される数値は、指定した時間長 (デフォルトは 5 分、最低 1 分) にわたる集計です.
単位: ビット/秒
ConnectionBpsIngress 接続の AWS 側に受信されるデータのビットレート.
報告される数値は、指定した時間長 (デフォルトは 5 分、最低 1 分) にわたる集計です.
単位: ビット/秒
ConnectionPpsEgress 接続の AWS 側から送信されるデータのパケットレート.
報告される数値は、指定した時間長 (デフォルトは 5 分、最低 1 分) にわたる集計です.
単位: パケット/秒
ConnectionPpsIngress 接続の AWS 側に受信されるデータのパケットレート.
報告される数値は、指定した時間長 (デフォルトは 5 分、最低 1 分) にわたる集計です.
単位: パケット/秒
ConnectionCRCErrorCount 接続のデータ受信で周期的な冗長チェック (CRC) エラーが確認された回数.
単位: 整数
ConnectionLightLevelTx 接続の AWS 側から出力 (送信) されるトラフィックのファイバー接続状態を示します.
このメトリクスは、ポート速度が 10 Gbps の接続でのみ利用できます.
単位: dBm
ConnectionLightLevelRx 接続の AWS 側に入力 (受信) されるトラフィックのファイバー接続状態を示します.
このメトリクスは、ポート速度が 10 Gbps の接続でのみ利用できます.
単位: dBm
60
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/monitoring-cloudwatch.html
61. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Agenda
• AWS Direct Connect とは?
• 物理接続/論理接続
• 物理接続
• プライベート接続とパブリック接続
• AWS Direct Connect Gateway
• パートナー経由のDirect Connect
• 高可用/モニタリング
• 制限値について
• What’s New
• まとめ
• 参考:料金体系
61
62. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
制限値について
63. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
各種制限値について
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/Welcome.html#directconnect_limits
コンポーネント 制限 コメント
AWS Direct Connect 接続あたりの仮想インターフェイス 50 この制限を増やすことはできません.
1 つのアカウントで、リージョンごとのアクティブな AWS Direct
Connect 接続
10
プライベート仮想インターフェイスのボーダーゲートウェイプロトコ
ル (BGP) セッションあたりのルート
100 この制限を増やすことはできません.
パブリック仮想インターフェイスのボーダーゲートウェイプロトコル
(BGP) セッションあたりのルート
1,000 この制限を増やすことはできません.
Link Aggregation Group (LAG) ごとの接続数 4
リージョンごとの Link Aggregation Group (LAG) の数 10
アカウントごとの Direct Connect Gateway 200
Direct Connect ゲートウェイあたりの仮想プライベートゲートウェイ 10 この制限を増やすことはできません.
Direct Connect ゲートウェイあたりの仮想インターフェイス 30
Direct Connectに関する制限の一覧
63
64. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
経路集約の必要性
192.168.0.0/24
+
192.168.1.0/24
+
192.168.2.0/24
192.168.0.0/16
• お客様ルータから広告できるネットワーク数はBGPセッションあたり100(Private VIF)
または1000(Public VIF)が上限
• 経路数の上限を超えるとBGPピアがシャットダウンされる(注意!)
• 普段から経路集約やフィルタリングを意識する設計を!
• デフォルトルートの広告も有効な場合もあり
64
経
路
集
約
65. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Agenda
• AWS Direct Connect とは?
• 物理接続/論理接続
• 物理接続
• プライベート接続とパブリック接続
• AWS Direct Connect Gateway
• パートナー経由のDirect Connect
• 高可用/モニタリング
• 制限値について
• What’s New
• まとめ
• 参考:料金体系
65
66. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
What’s new 主要アップデート抜粋(2017年以降)
66
投稿日 タイトル 備考・関連ページ
Oct 11, 2018 AWS Direct Connect で Amazon Virtual Private
Cloud トラフィックのジャンボフレームをサポート
Direct Connectを介したVPCとの通信で
Jumbo Frameをサポート P25参照
Feb 6, 2018 AWS Direct Connect はデータ転送のアウトトラ
フィックのバランス維持に柔軟性を提供します
ローカルプリファレンスコミュニティ
P52参照
Nov 28, 2017 AWS PrivateLink がカスタマーサービスおよびパート
ナーサービスで利用可能に
PrivateLinkのカスタマーサービスおよび
パートナーサービスへの拡大
P29参照
Nov 8, 2017 AWS のサービス用の AWS PrivateLink のご紹介 ・VPCおよびオンプレミスからAWS の
サービスにプライベートにアクセス
・Direct Connect経由の接続もサポート
P28参照
Nov 1, 2017 AWS Direct Connect によるグローバルアクセスの実
現
• Direct Connect Gateway P34参照
• Public接続で全リージョン(中国除く)へ
アクセス可能に P30参照
https://aws.amazon.com/jp/about-aws/whats-new/2018/
https://aws.amazon.com/jp/about-aws/whats-new/2017/
67. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
What’s new 主要アップデート抜粋(続き)
67
投稿日 タイトル 備考・関連ページ
Oct 10,
2017
Amazon のプライベート AS 番号を仮想プライベートゲート
ウェイに設定できるようになりました
2バイトASの場合、プライベートAS64512
~65534から選択可. デフォルトは64512.
パブリックAS10124も利用可能.
Sep 21,
2017
Elastic Load Balancing: Network Load Balancer now
supports load balancing to IP addresses as targets for
AWS and on-premises resources
NLBからDirect Connectを介してオンプレ
ミスのリソースをターゲットとして設定可能
に
Aug 31,
2017
Elastic Load Balancing: Application Load Balancer で、
AWS とオンプレミスのリソースに対する、IP アドレスを
ターゲットにした負荷分散のサポートを開始
ALBからDirect Connectを介してオンプレ
ミスのリソースをターゲットとして設定可能
に
Jun 29,
2017
AWS Direct Connect now provides Amazon CloudWatch
Monitoring
物理接続をCloudWacthでモニタリング可能
に P59参照
Feb 13,
2017
AWS Direct Connect が Link Aggregation のサポートを発
表
P20参照
https://aws.amazon.com/jp/about-aws/whats-new/2018/
https://aws.amazon.com/jp/about-aws/whats-new/2017/
68. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Agenda
• AWS Direct Connect とは?
• 物理接続/論理接続
• 物理接続
• プライベート接続とパブリック接続
• AWS Direct Connect Gateway
• パートナー経由のDirect Connect
• 高可用/モニタリング
• ユースケース
• 制限値について
• What’s New
• まとめ
• 参考:料金体系
68
69. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
AWS Direct Connectの機能とメリットを理解する
最近のアップデートにキャッチアップ
詳細・最新情報へのポインタを得る
まとめ
69
70. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
参考:料金体系
71. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
料金体系
AWS Direct Connectの月額利用料=
ポート使用料 + データ転送料
データ転送料は
・AWSからのデータアウトに課金
・仮想インタフェース(=VIF)のオーナーアカウントに課金
・パブリック接続の場合、パブリック上のリソースを所有するオーナーアカウントに課金
・インターネット接続のデータ転送料の数分の一と安価
上記のほか、キャリアサービス利用の場合は別途費用必要
https://aws.amazon.com/jp/directconnect/pricing/
71
72. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
料金 シナリオ1(例:ConnectionとVIFのAWSアカウントが異なる)
`
オンプレミスDC
東京リージョン
$ 0.0491/GB
Direct ConnectのConnectionとVIFのオーナーアカウントが異なる場合、ポート使用料は
Connectionのオーナーに、そのVIFのデータ転送料はVIFのオーナーアカウントに課金される
※ 料金は各種条件によって異なります.詳しくは以下を
ご参照ください.
https://aws.amazon.com/jp/directconnect/pricing/
https://aws.amazon.com/jp/s3/pricing/
AWS Account#1
AWS Account#2
ポート使用料
$ 0.285/時
72
73. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
料金 シナリオ2(例:Public VIFとS3のAWSアカウントが異なる)
`
オンプレミスDC
Public VIF
AWS Account #2
AWS Account #1
東京リージョン
$ 0.0491/GB
$ 0.114/GB
• データ転送料金はパブリック上のリソースを所有するオーナーアカウントに課金される
• VIFとパブリック上のリソースのオーナーが同アカウント、もしくは一括請求の対象の場
合はDirect Connectの転送料金が適用される
• そうでない場合はインターネットへのデータ転送料金が適用される
※ 料金は各種条件によって異なります.詳しくは以下をご参
照ください.
https://aws.amazon.com/jp/directconnect/pricing/
https://aws.amazon.com/jp/s3/pricing/
73
74. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
AWS専用線アクセス体験ラボ
http://aws.amazon.com/jp/dx_labo/
事前検証やトレーニングにDirect Connectが使えます!
お問い合わせは営業・Solutions Architectまで!
目黒オフィス
17Fに実物あ
ります!
Coltテクノロジーサービス株式会社(旧KVH株式会社)、アルテリア・ネットワークス株式会社、
株式会社TOKAIコミュニケーションズ、東日本電信電話株式会社
74
75. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
Q&A
お答えできなかったご質問については
AWS Japan Blog
「https://aws.amazon.com/jp/blogs/news/」にて
資料公開と併せて、後日掲載します.
75
76. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
毎週”W-A個別技術相談会”を実施中
• AWSのソリューションアーキテクト(SA)に
対策などを相談することも可能
• 申込みはイベント告知サイトから
(https://aws.amazon.com/jp/about-aws/events/)
AWS Well-Architected 個別技術相談会
で[検索]AWS イベント
77
77. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
AWS Webinar
https://amzn.to/JPWebinar https://amzn.to/JPArchive
ご視聴ありがとうございました