REL02-BP02 クラウド環境とオンプレミス環境のプライベートネットワーク間の冗長接続をプロビジョニングする

クラウド環境とオンプレミス環境のプライベートネットワーク間の接続に冗長性を実装して、接続の耐障害性を実現します。これは、ネットワーク障害発生時にも接続を維持できるように、2 つ以上のリンクとトラフィックパスをデプロイすることで可能になります。

一般的なアンチパターン:

• 単一のネットワーク接続に依存することで単一障害点が発生する。

• 1 つの VPN トンネルのみを使用するか、同じアベイラビリティーゾーンで終端する複数のトンネルを使用する。

• 1 社の ISP に VPN 接続を依存しているため、ISP が停止すると完全なネットワーク障害につながる可能性がある。

• ネットワーク中断時のトラフィック再ルーティングに不可欠な BGP などの動的ルーティングプロトコルを実装していない。

• VPN トンネルの帯域幅制限を無視し、バックアップ機能を過大評価している。

このベストプラクティスを活用するメリット: クラウド環境と企業/オンプレミス環境の間に冗長接続を実装することにより、2 つの環境間で、依存するサービスが確実に通信できるようになります。

このベストプラクティスを活用しない場合のリスクレベル: 高

実装のガイダンス

AWS Direct Connect を使用してオンプレミスネットワークを AWS に接続する場合、複数のオンプレミスのロケーションと複数の AWS Direct Connect のロケーションにある個別のデバイスで終端する個別の接続を使用して、ネットワークの耐障害性を最大限に高める (99.99% の SLA) ことができます。このトポロジは、デバイス障害、接続問題、およびロケーション全体での停止に対する耐障害性を提供します。または、複数のロケーション (各オンプレミスのロケーションを 1 つの Direct Connect ロケーションに接続) への 2 つの個別の接続を使用することで、高い耐障害性 (99.9% の SLA) を実現できます。このアプローチにより、ファイバーの切断やデバイスの障害による接続の中断を防ぎ、ロケーション全体での障害を軽減できます。Direct Connect Resiliency Toolkit は、AWS Direct Connect トポロジの設計に役立ちます。

プライマリ AWS Direct Connect 接続に対する費用対効果の高いバックアップとして、AWS Transit Gateway で終端する AWS Site-to-Site VPN を検討することもできます。この設定により、複数の VPN トンネルでの等コストマルチパス (ECMP) ルーティングが可能になり、各 VPN トンネルの上限が 1.25 Gbps であっても、最大 50 Gbps のスループットが可能になります。ただし、ネットワークの中断を最小限に抑え、安定した接続を提供するには、AWS Direct Connect が依然として最も効果的な選択肢であることに注意してください。

インターネット経由で VPN を使用してクラウド環境をオンプレミスのデータセンターに接続する場合は、単一のサイト間 VPN 接続の一部として 2 つの VPN トンネルを設定します。高可用性を実現するために、各トンネルが異なるアベイラビリティーゾーンで終端するようにし、オンプレミスデバイスの障害を防ぐために冗長ハードウェアを使用する必要があります。さらに、1 社のインターネットサービスプロバイダー (ISP) の停止によって VPN 接続が完全に中断してしまうことを防ぐために、オンプレミスのロケーションで異なる ISP による複数のインターネット接続を利用することを検討してください。ルーティングとインフラストラクチャが多様な ISP、特に AWS エンドポイントに複数の物理パスがある ISP を選択すると、高い接続可用性が得られます。

複数の AWS Direct Connect 接続と複数の VPN トンネル (または両方の組み合わせ) による物理的な冗長性に加え、ボーダーゲートウェイプロトコル (BGP) の動的ルーティングを実装することも重要です。動的 BGP は、リアルタイムのネットワーク状態と設定されているポリシーに基づいて、1 つのパスから別のパスにトラフィックを自動的に再ルーティングします。この動的な動作は、リンクまたはネットワーク障害の発生時にネットワークの可用性とサービスの継続性を維持するうえで特に役立ちます。代替パスが瞬時に選択されるため、ネットワークの耐障害性と信頼性が高まります。

実装手順

• AWS とオンプレミス環境間に可用性の高い接続を確保します。

  • 個別にデプロイされたプライベートネットワーク間で複数の AWS Direct Connect 接続または VPN トンネルを使用します。

  • 複数の Direct Connect ロケーションを使用して、高い可用性を確保します。

  • 複数の AWS リージョンを使用している場合は、2 つ以上のリージョンで冗長性を確保します。

• 可能な場合は AWS Transit Gateway を使用して、VPN 接続 を終端します。

• AWS Marketplace アプライアンスを評価して VPN を終端するか、SD-WAN を AWS に拡張します。AWS Marketplace アプライアンスを使用する場合は、さまざまなアベイラビリティーゾーンで高可用性を実現するために、冗長インスタンスをデプロイします。

• オンプレミス環境への冗長接続を確保します。

  • 可用性のニーズを満たすために、複数の AWS リージョンへの冗長接続が必要な場合があります。

  • Direct Connect Resiliency Toolkit を使用して開始します。

リソース

関連ドキュメント:

• AWS Direct Connect の耐障害性に関するレコメンデーション

• 冗長な Site-to-Site VPN 接続を使用してフェイルオーバーを提供する

• ルーティングポリシーと BGP コミュニティ

• Active/Active and Active/Passive Configurations in AWS Direct Connect

• APN パートナー: ネットワークの計画を支援できるパートナー

• ネットワークインフラストラクチャ向け AWS Marketplace

• Amazon Virtual Private Cloud Connectivity Options ホワイトペーパー

• スケーラブルでセキュアなマルチ VPC の AWS ネットワークインフラストラクチャの構築

• 冗長な Site-to-Site VPN 接続を使用してフェイルオーバーを提供する

• Direct Connect Resiliency Toolkit を使用して開始する

• VPC エンドポイントおよび VPC エンドポイントサービス (AWS PrivateLink)

• Amazon VPC とは?

• Transit Gateway とは

• What is AWS Site-to-Site VPN?

• Direct Connect ゲートウェイの操作

関連動画:

• AWS re:Invent 2018: Amazon VPC 向けの高度な VPC 設計と新機能

• AWS re:Invent 2019: 多くの VPC に対応した AWS Transit Gateway のリファレンスアーキテクチャ