PERF04-BP03 ワークロードに適した専用接続または VPN を選択する - AWS Well-Architected Framework
実装のガイダンスリソース

PERF04-BP03 ワークロードに適した専用接続または VPN を選択する

オンプレミスのリソースとクラウドのリソースを接続するためにハイブリッド接続が必要な場合は、パフォーマンス要件を満たす十分な帯域幅をプロビジョニングします。ハイブリッドワークロードの帯域幅とレイテンシーの要件を見積もります。これらの値によってサイズ要件が決まります。

一般的なアンチパターン:

  • ネットワークの暗号化要件の VPN ソリューションのみを評価する。

  • バックアップ接続または冗長接続の選択肢を評価しない。

  • ワークロードのすべての要件 (暗号化、プロトコル、帯域幅、トラフィックのニーズ) を特定しない。

このベストプラクティスを活用するメリット: 適切な接続ソリューションを選択して構成することで、ワークロードの信頼性を高め、パフォーマンスを最大化できます。ワークロード要件を特定して事前計画を行い、ハイブリッドソリューションを評価することで、時間対価値を高めながら、コストの高いネットワークの物理的変更と運用上の諸経費を最小限に抑えることができます。

このベストプラクティスを活用しない場合のリスクレベル:

実装のガイダンス

帯域幅要件に基づいてハイブリッドネットワーキングアーキテクチャを開発します。AWS Direct Connect を使用すると、オンプレミスネットワークを AWS にプライベート接続できます。一貫したパフォーマンスを達成しながら、高帯域幅、低レイテンシーが求められる場合に適しています。VPN 接続は、インターネット上で安全な接続を確立します。一時的な接続のみが必要な場合、コストが重要な場合、または AWS Direct Connect 使用時に耐障害性のある物理ネットワーク接続が確立されるのを待つ間、不測の事態に備えて使用されます。

帯域幅の要件が高い場合は、AWS Direct Connect または VPN サービスを複数使用することを検討します。トラフィックはサービス間で負荷分散できますが、レイテンシ―と帯域幅の違いから、AWS Direct Connect と VPN 間でのロードバランシングはお勧めしません。

実装手順

  1. 既存のアプリケーションの帯域幅とレイテンシーの要件を見積もります。

    1. AWS に移行している既存のワークロードについては、内部ネットワークモニタリングシステムからのデータを活用します。

    2. モニタリングデータがない新規または既存のワークロードついては、プロダクトオーナーと相談のうえ、適切なパフォーマンスメトリクスを導き出し、優れたユーザーエクスペリエンスを提供します。

  2. 接続オプションとして専用接続または VPN 接続を選択します。すべてのワークロード要件 (暗号化、帯域幅、トラフィックのニーズ) に基づいて、AWS Direct Connect または AWS VPN (あるいは両方) を選択できます。下の図は、適切な接続タイプの選択に役立ちます。

    1. AWS Direct Connect は、専用接続またはホスト接続を使用して、50 Mbps から 100 Gbps の AWS 環境への専用接続を提供します。これにより、管理および制御されたレイテンシーとプロビジョニングされた帯域幅が提供され、ワークロードが効率の良い方法でその他の環境に接続できます。AWS Direct Connect パートナーを使用すると、複数の環境からエンドツーエンドの接続を確立し、一貫性あるパフォーマンスを備えた拡張ネットワークを実現できます。AWS を使用すると、ネイティブ 100 Gbps、Link Aggregation Group (LAG)、または BGP Equal-cost multipath (ECMP) のいずれかを使用して、直接接続の帯域幅をスケールできます。

    2. AWS の Site-to-Site VPN は、インターネットプロトコルセキュリティ (IPsec) をサポートするマネージド VPN サービスを提供します。VPN 接続が作成されると、高可用性に向けて 各 VPN 接続に 2 つのトンネルが含まれています。

  3. AWS のドキュメントに従って、適切な接続オプションを選択します。

    1. AWS Direct Connect を使用する場合は、接続に適した帯域幅を選択してください。

    2. 複数のロケーションで AWS Site-to-Site VPN を使用して AWS リージョン に接続している場合は、 高速 Site-to-Site VPN 接続 を使用すると、ネットワークのパフォーマンスが向上する可能性があります。

    3. ネットワーク設計が  AWS Direct Connect を使用した IPSec VPN 接続で構成されている場合は、プライベート IP VPN を使用してセキュリティを強化し、セグメンテーションを実現することを検討してください。 AWS サイト間プライベート IP VPN は、トランジット仮想インターフェイス (VIF) の上にデプロイされます。

    4. AWS Direct Connect SiteLink  では、データを  AWS Direct Connectロケーション間の最速の経路で AWS リージョン をバイパスして送信することで、世界中のデータセンター間で低レイテンシ―の冗長な接続を確立できます。

  4. 本番環境にデプロイする前に、接続設定を検証します。セキュリティとパフォーマンスのテストを実施して、帯域幅、信頼性、レイテンシ―、コンプライアンスの要件を満たしていることを確認します。

  5. 接続のパフォーマンスと使用状況を定期的に監視し、必要に応じて最適化します。

ネットワークで決定論的なパフォーマンスが必要かどうかを判断する際に考慮すべきオプションを説明するフローチャート。

決定論的なパフォーマンスについてのフローチャート

リソース

関連するドキュメント:

関連動画:

関連する例: