ネットワーキング

AWS Direct Connect で構築する専用線接続 - 冗長構成とトラフィック制御

専用線接続の冗長構成を設計し、Direct Connect Gateway で複数リージョンの VPC に接続する。LAG による帯域集約と MACsec 暗号化も紹介します。

約 1 分で読めます

Direct Connect の概要

Direct Connect はオンプレミスと AWS を専用線で接続するサービスです。インターネット VPN と比較して、帯域幅が安定し、レイテンシが低く、データ転送コストが削減されます。1 Gbps と 10 Gbps の専用接続、50 Mbps から 10 Gbps のホスト接続を提供し、Direct Connect Gateway で複数リージョンの VPC に 1 本の接続でアクセスできます。

冗長構成と Direct Connect Gateway

本番環境では異なるロケーション (データセンター) に 2 つの接続を配置するデュアルロケーション構成が推奨です。一方のロケーションで障害が発生しても、もう一方で通信を継続します。Direct Connect Gateway は単一の接続から複数リージョンの VPC にアクセスする機能で、リージョンごとに接続を用意する必要がありません。Transit Gateway と組み合わせると、Direct Connect Gateway 経由で Transit Gateway に接続し、Transit Gateway 配下の全 VPC にアクセスできます。

LAG と MACsec による高可用性・暗号化

Link Aggregation Group (LAG) は複数の Direct Connect 接続を 1 つの論理インターフェースに束ね、帯域幅の集約とリンク障害時のフェイルオーバーを実現します。 LAG 内の接続はすべて同じ帯域幅で同じロケーションに配置する必要があります。 MACsec (IEEE 802.1AE) を有効にすると、 Direct Connect 接続上のデータをレイヤー 2 で暗号化し、物理回線上の盗聴を防止します。 10 Gbps および 100 Gbps の専用接続で MACsec がサポートされ、 CKN/CAK ペアを設定してキーの関連付けを行います。 SiteLink を有効にすると、 AWS バックボーンを経由して異なる Direct Connect ロケーション間を直接通信でき、オンプレミス拠点間の接続にも AWS ネットワークを活用できます。 Direct Connect のトラブルシューティングを学ぶうえで関連書籍 (Amazon)が参考になります。

Direct Connect のコスト構造

Direct Connect のコストはポート時間料金とデータ転送料金で構成されます。専用接続のポート料金は帯域幅に応じて月額固定で、1 Gbps で約 0.30 ドル/時間です。データ転送料金はアウトバウンド (AWS → オンプレミス) のみ課金され、インバウンドは無料です。ホスト接続はパートナー経由で 50 Mbps から利用でき、小規模なワークロードではコスト効率に優れます。Direct Connect Gateway を使用すると、1 本の接続で複数リージョンの VPC にアクセスでき、リージョンごとに接続を用意する必要がなくなります。トラフィック量が月間 1 TB を超える場合、VPN と比較して Direct Connect の方がデータ転送コストで有利になるケースが多くなります。

まとめ

Direct Connect はオンプレミスと AWS を専用線で接続し、安定した低レイテンシのネットワークを提供するサービスです。LAG で帯域幅を集約し、MACsec でレイヤー 2 の暗号化を実現します。Direct Connect Gateway で 1 本の接続から複数リージョンの VPC にアクセスでき、SiteLink でオンプレミス拠点間の通信にも AWS バックボーンを活用できます。

関連するサービス

AWS Direct Connectオンプレミスと AWS を専用線で接続し、安定した低レイテンシのネットワークを提供するサービスAmazon VPCAWS 上に論理的に分離された仮想ネットワークを構築するサービスAWS Transit Gateway複数の VPC とオンプレミスネットワークをハブ & スポーク型で接続するネットワークハブ

関連する記事

AWS Global Accelerator によるグローバルネットワーク最適化 - 低レイテンシ配信とフェイルオーバーAnycast IP で AWS グローバルネットワークにトラフィックを誘導し、エンドポイントグループの設計とヘルスチェックによるフェイルオーバーを実現する手法を紹介します。AWS Network Manager でグローバルネットワークを可視化 - トポロジーと健全性の一元管理Transit Gateway や VPN を含むグローバルネットワークのトポロジーを可視化し、ルート分析で接続性を検証する手法を紹介します。AWS Transit Gateway で構築するハブ&スポークネットワーク - マルチ VPC 接続の設計ハブ&スポーク型で複数 VPC とオンプレミスを集約し、ルートテーブル分離でセキュリティ境界を確立する。ピアリングによるマルチリージョン接続も紹介します。

同じテーマの記事

AWS App Mesh で構築するサービスメッシュ - マイクロサービス間通信の制御と可観測性Envoy サイドカーによるカナリアデプロイ、リトライポリシー、mTLS 暗号化を宣言的に設定し、X-Ray 統合でサービス間の依存関係を可視化する手法を紹介します。AWS Cloud Map でサービスディスカバリを実現 - マイクロサービス間の動的な名前解決DNS ベースと API ベースの 2 方式でマイクロサービスのエンドポイントを動的に検出する。ECS・EKS との統合でサービスの登録・解除を自動化する手法を紹介します。CloudFront の 600 超 PoP はどう動いているのか - Anycast ルーティングとキャッシュ階層の仕組みCloudFront がユーザーのリクエストを最寄りの PoP にルーティングする Anycast の仕組み、エッジロケーションとリージョナルエッジキャッシュの 2 層構造、キャッシュヒット率を左右する設計要因を解説します。専用線接続の設計 - Direct Connect による安定した閉域網接続の実現AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。Elastic IP アドレスの管理と設計 - 静的 IP の活用とコスト最適化Elastic IP の割り当て、EC2 との関連付け、未使用 EIP のコスト影響、代替手段の検討を解説します。ELB の 3 種類はなぜ 3 種類あるのか - ALB・NLB・CLB が分かれた設計判断の裏側ALB、NLB、CLB (Classic) の 3 種類のロードバランサーがなぜ統合されずに併存しているのかを、OSI 参照モデルのレイヤー、パフォーマンス特性、歴史的経緯から解説します。AWS Global Accelerator によるグローバルネットワーク最適化 - 低レイテンシ配信とフェイルオーバーAnycast IP で AWS グローバルネットワークにトラフィックを誘導し、エンドポイントグループの設計とヘルスチェックによるフェイルオーバーを実現する手法を紹介します。グローバルネットワーク高速化 - AWS Global Accelerator と CloudFront で実現する低レイテンシ配信AWS のグローバルネットワークにトラフィックを早期に引き込み、エニーキャスト IP でクライアントを最寄りのエッジロケーションにルーティングする。ALB/NLB との統合とフェイルオーバー設計を解説します。

内容が近い記事・サービス

AWS Direct Connectオンプレミス環境と AWS を専用線で接続し、インターネットを経由しない安定した低レイテンシのネットワーク接続を提供するサービス専用線接続の設計 - Direct Connect による安定した閉域網接続の実現AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。オンプレミスのデータセンターと AWS クラウドを専用のプライベート接続で結ぶサービスはどれですか?AWS ネットワークサービスの深さ - VPC・Transit Gateway・PrivateLink が実現する企業ネットワーク設計AWS の VPC、Transit Gateway、PrivateLink、Direct Connect、Network Firewall を中心としたネットワークサービス群を、Azure VNet/ExpressRoute や GCP VPC/Cloud Interconnect と比較し、エンタープライズネットワーク設計における柔軟性の優位性を解説します。