ルーティングポリシーと BGP コミュニティ - AWS Direct Connect

ルーティングポリシーと BGP コミュニティ

AWS Direct Connect は、パブリック AWS 接続の (オンプレミスのデータセンターからの) インバウンドルーティングポリシーおよび (AWS Direct Connect リージョンからの) アウトバウンドルーティングポリシーを適用します。また、Amazon がアドバタイズするルートのボーダーゲートウェイプロトコル (BGP) コミュニティタグを使用して、ユーザーが Amazon にアドバタイズするルートに BGP コミュニティタグを適用できます。

パブリック仮想インターフェイスのルーティングポリシー

AWS Direct Connect を使用してパブリック AWS サービスにアクセスする場合、BGP 経由でアドバタイズするには、パブリック IPv4 プレフィックスまたは IPv6 プレフィックスを指定する必要があります。

次のインバウンドルーティングポリシーが適用されます。

  • パブリックプレフィックスを所有しており、それが適切な地域のインターネットレジストリに登録されている必要があります。

  • トラフィックは Amazon パブリックプレフィックス宛である必要があります。接続間の推移的ルーティングはサポートされていません。

  • AWS Direct Connect は、インバウンドパケットのフィルタリングを実行して、トラフィックのソースがアドバタイズされたプレフィックスから発信されていることを検証します。

次のアウトバウンドルーティングポリシーが適用されます。

  • AS-PATH と最長のプレフィックス一致を使用してルーティングパスが決定されます。AWS Direct Connect は Amazon から発信されるトラフィックの優先パスです。

  • AWS Direct Connect は、すべてのローカルおよびリモート AWS リージョンプレフィックス (それらが利用可能な場合) をアドバタイズし、CloudFront や Route 53 などの、リージョンではない AWS PoP (Points of Presence) からのオンネットプレフィックス (それらが利用可能な場合) を含めます。

    注記

    AWS 中国リージョンの AWS IPアドレス範囲を示す JSONファイル (ip-ranges.json) に記載されているプレフィックスは、Direct Connect パブリック VIF 経由で商用リージョンにアドバタイズされません。詳細については、「AWS 全般リファレンス」の「AWS IP アドレス範囲」を参照してください。

  • AWS Direct Connect はパスの最小長が 3 のプレフィックスをアドバタイズします。

  • AWS Direct Connect は well-known NO_EXPORT BGP コミュニティを持つすべてのパブリックプレフィックスをアドバタイズします。

  • 複数の AWS Direct Connect 接続がある場合は、同様のパスの属性でプレフィックスをアドバタイズすることで、インバウンドトラフィックの負荷分散を調整できます。

  • AWS Direct Connect でアドバタイズされるプレフィックスは、接続のネットワーク境界を越えてアドバタイズしてはいけません。たとえば、これらのプレフィックスは、任意のパブリックインターネットルーティングテーブルに含めることはできません。

  • AWS Direct Connect は、Amazon ネットワーク内でカスタマーによってアドバタイズされたプレフィクスを保持します。パブリック VIF から学習したカスタマープレフィクスを、次のいずれかに再アドバタイズすることはありません。

    • その他の AWS Direct Connect のお客様

    • AWS グローバルネットワークとピアリングするネットワーク

    • Amazon のトランジットプロバイダー

パブリック仮想インターフェイス BGP コミュニティ

AWS Direct Connect は、範囲 BGP コミュニティタグと NO_EXPORT BGP コミュニティタグをサポートします。これらはパブリック仮想インターフェイス上のトラフィックの範囲 (リージョンまたはグローバル) とルートの優先順位を制御するのに役立ちます。

BGP コミュニティの範囲

BGP コミュニティタグを Amazon にアドバタイズするパブリックプレフィックスに適用して、Amazon のネットワーク内のどの程度の範囲にプレフィックスを伝達するか (ローカルの AWS リージョンのみ、大陸内のすべてのリージョン、すべてのパブリックリージョンなど) を示すことができます。

プレフィックスには次の BGP コミュニティを使用できます。

  • 7224:9100 – ローカル AWS リージョン

  • 7224:9200 – 大陸内のすべての AWS リージョン

    • 北米全域

    • アジアパシフィック

    • 欧州、中東、アフリカ

  • 7224:9300 – グローバル (すべてのパブリック AWS リージョン)

注記

コミュニティタグを適用しない場合、プレフィックスは、デフォルトですべてのパブリック AWS リージョン (グローバル) にアドバタイズされます。

同じコミュニティでマークされ、同一の AS_PATH 属性を持つプレフィックスが、複数経路化の候補になります。

コミュニティ 7224:1 - 7224:65535 は AWS Direct Connect によって予約されています。

AWS Direct Connect は、次の BGP コミュニティをアドバタイズされるルートに適用します。

  • 7224:8100—AWS のプレゼンスポイントが関連付けられている AWS Direct Connect リージョンと同じリージョンから送信されるルート。

  • 7224:8200—AWS Direct Connect のプレゼンスポイントが関連付けられている大陸と同じ大陸から送信されるルート。

  • タグなし - グローバル (すべてのパブリック AWS リージョン)

AWS Direct Connect パブリック接続でサポートされていないコミュニティは削除されます。

NO_EXPORT BGP コミュニティ

NO_EXPORT BGP コミュニティタグは、パブリック仮想インターフェイスでサポートされています。

AWS Direct Connectまた、 はアドバタイズされた Amazon ルートに BGP コミュニティタグを提供します。AWS Direct Connect を使用してパブリック AWS サービスにアクセスする場合は、これらのコミュニティタグに基づいてフィルタを作成できます。

パブリック仮想インターフェイスの場合、AWS Direct Connect が顧客にアドバタイズするすべてのルートに NO_EXPORT コミュニティタグが付きます。

プライベート仮想インターフェイスおよびトランジット仮想インターフェイスのルーティングポリシー

プライベート仮想インターフェイスおよびトランジット仮想インターフェイスのトラフィックには、次のルーティングルールが適用されます。

  • AWS は、プレフィックスの最長一致を最初に評価します

  • リージョンに複数の仮想インターフェイスがある場合、AS_PATH 属性を設定して、AWS がトラフィックのルーティングに使用するインターフェイスの優先順位を設定できます。ただし、Direct Connect 接続が VPC とは異なる AWS リージョンにある場合、AS_PATH プリペンドは機能しません。詳細については、「How do I set an Active/Passive Direct Connect connection to AWS?」(AWS へのアクティブ/パッシブ Direct Connect 接続を設定する方法を教えてください) を参照してください。

プライベート仮想インターフェイスおよびトランジット仮想インターフェイスの BGP コミュニティ

AWS Direct Connect はローカル優先設定 BGP コミュニティタグをサポートし、プライベート仮想インターフェイスおよびトランジット仮想インターフェイス上のトラフィックのルートの優先順位を制御するのに役立ちます。

Direct Connect のホームリージョンのロケーションは、ローカルリージョンから Direct Connect ロケーションまでの距離を使用して、プライベート仮想インターフェイスとトランジット仮想インターフェイスのデフォルトのルーティングを決定します。この動作を変更するには、ローカルプリファレンスコミュニティを仮想インターフェイスに割り当てます。BGP コミュニティタグを使用してローカルの詳細設定を指定しない場合、デフォルトのアウトバウンドルーティング動作は、元のリージョンに対する Direct Connect ロケーションの相対距離に基づきます。

プライベート仮想インターフェイスの設定例については、「プライベート仮想インターフェイスルーティングの例」を参照してください。

トランジット仮想インターフェイスの設定例については、「例: トランジットゲートウェイの構成でプレフィックスを許可する」を参照してください。

BGP コミュニティのローカル優先設定

ローカル優先設定の BGP コミュニティタグを使用すると、ネットワークの着信トラフィックでロードバランシングやルート設定を実現できます。BGP セッション経由でアドバタイズするプレフィックスごとに、コミュニティタグを適用して、返されるトラフィックの関連付け済みパスの優先度を示すことができます。

サポートされているローカル優先設定の BGP コミュニティタグを次に示します。

  • 7224:7100 - 優先設定: 低

  • 7224:7200 - 優先設定: 中

  • 7224:7300 - 優先設定: 高

ローカル優先設定 BGP コミュニティタグは相互に排他的です。複数の AWS Direct Connect 接続でトラフィックの負荷を分散するには、接続のプレフィックスに同じコミュニティタグを適用します。複数の AWS Direct Connect 接続でフェイルオーバーをサポートするには、プライマリまたはアクティブな仮想インターフェイスのプレフィックスに、優先設定が高いコミュニティタグを適用します。例えば、プライマリ仮想インターフェイスまたはアクティブな仮想インターフェイスの BGP コミュニティタグを 7224:7300 (高優先度) に設定します。

ローカル設定 BGP コミュニティタグは AS_PATH 属性の前に評価され、最も低い設定から最も高い設定の順に評価されます (最も高い設定が優先されます)。

BGP コミュニティタグを使用してローカル設定を指定しない場合、7224:7200-Medium 設定コミュニティに関連付けられたローカル設定がデフォルトで適用されます。ローカルリージョンとは異なる関連リージョンを持つ Direct Connect ロケーションから学習したルートの場合は、ローカルリージョンに関連付けられた Direct Connect ロケーションから学習されたルートが優先されるように、ローカル設定の優先度が下がります。

仮想インターフェイス BGP コミュニティタグ

プライベートおよびトランジット仮想インターフェイスの BGP アドバタイズメントで、このトラフィックエンジニアリング手法を使用すると、冗長仮想インターフェイス上でアクティブ/パッシブの負荷分散を実現できます。アクティブ仮想インターフェイスには、タグとして 7224:7300 (ハイプリファレンス) が付いており、パッシブ仮想インターフェイスには 7224:7100 (ロープリファレンス) が付いています。