REL02-BP02 クラウド環境とオンプレミス環境のプライベートネットワーク間の冗長接続をプロビジョニングする

個別にデプロイされたプライベートネットワーク間で複数の AWS Direct Connect 接続または VPN トンネルを使用します。高可用性のために複数の Direct Connect ロケーションを使用します。複数の AWS リージョンを使用している場合は、少なくとも 2 つのリージョンで冗長性を確保してください。VPN を終端する AWS Marketplace アプライアンスを評価したい場合があります。AWS Marketplace アプライアンスを使用する場合は、さまざまなアベイラビリティーゾーンで高可用性を実現するために冗長インスタンスをデプロイします。

AWS Direct Connect は、オンプレミス環境から AWS への専用ネットワーク接続を簡単に確立できるようにするクラウドサービスです。Direct Connect ゲートウェイを使用すると、オンプレミスのデータセンターを複数の AWS リージョンにまたがる複数の AWS VPC に接続できます。

この冗長性は、接続の回復力に影響を与える可能性のある障害に対処します。

トポロジにおける障害に対する弾力性を高めるにはどうすればよいでしょうか?
間違った設定を行い、接続が停止したらどうなりますか?
トラフィックとサービス利用量が予想外に増加した場合に対応できますか?
分散型サービス拒否 (DDoS) 攻撃の影響を緩和できますか?

VPC をVPN 経由でオンプレミスのデータセンターに接続するときは、ベンダーとそのアプライアンスを実行する際に必要となるインスタンスサイズを選択する際に、弾力性と必要とする帯域幅の要件を考慮する必要があります。使用するVPN アプライアンスがその実装において十分な弾力性がない場合、2 つ目のアプライアンスを通じて冗長接続を設定する必要があります。すべてのシナリオにおいて、許容可能な復旧時間を定義し、その要件を満たすかどうかをテストする必要があります。

Direct Connect 接続を使用して VPC をデータセンターに接続することにし、この接続を高可用性にする必要がある場合は、各データセンターから冗長化した Direct Connect 接続を使用します。冗長接続では、最初の接続とは異なる場所から 2 番目の Direct Connect 接続を使用する必要があります。複数のデータセンターがある場合は、接続が異なる場所で終端するようにしてください。このセットアップに役立てるため Direct Connect Resiliency Toolkit を使用します。

AWS VPN を使用してインターネット経由で VPN にフェイルオーバーする場合、VPN トンネルごとに最大 1.25 Gbps のスループットはサポートしますが、同じ VGW 上で終端する AWS マネージド VPN トンネルが複数ある場合、アウトバウンドトラフィック用の Equal Cost Multi Path (ECMP) はサポートしないということを理解しておくことが重要です。フェイルオーバー中に 1 Gbps 未満の速度を許容できないのであれば、Direct Connect 接続のバックアップとして AWS マネージド VPN を使用することはお勧めしません。

VPC エンドポイントを使用して、VPC を、パブリックインターネットを経由せずに、サポートされている AWS のサービスおよび AWS PrivateLink が提供する VPC エンドポイントサービスにプライベートに接続することもできます。エンドポイントは仮想デバイスです。これは、水平にスケーリングされ、冗長性と可用性に優れた VPC コンポーネントです。仮想デバイスにより、ネットワークトラフィックに可用性のリスクや帯域幅の制約を課すことなく、VPC 内のインスタンスとサービス間の通信が可能になります。

一般的なアンチパターン:

オンサイトネットワークと AWS の間に接続プロバイダを 1 つだけ持つ。
AWS Direct Connect 接続の接続機能を消費するが、接続は 1 つのみである。
VPN 接続用のパスは 1 つだけである。

このベストプラクティスを活用するメリット: クラウド環境と企業/オンプレミス環境の間に冗長接続を実装することで、2 つの環境間で依存するサービスが確実に通信できるようになります。

このベストプラクティスを活用しない場合のリスクレベル: 高

実装のガイダンス

AWS とオンプレミス環境との間に高可用性接続を確保します。個別にデプロイされたプライベートネットワーク間で複数の AWS Direct Connect 接続または VPN トンネルを使用します。高可用性のために複数の Direct Connect ロケーションを使用します。複数の AWS リージョンを使用している場合は、少なくとも 2 つのリージョンで冗長性を確保してください。VPN を終端する AWS Marketplace アプライアンスを評価したい場合があります。AWS Marketplace アプライアンスを使用する場合は、さまざまなアベイラビリティーゾーンで高可用性を実現するために冗長インスタンスをデプロイします。
- オンプレミス環境への冗長接続を確保する可用性ニーズを達成するには、複数の AWS リージョンへの冗長接続が必要な場合があります。
  - AWS Direct Connect の回復性に関する推奨事項
  - 冗長な Site-to-Site VPN 接続を使用してフェイルオーバーを提供する
    
    サービス API オペレーションを使用して Direct Connect 回線の適切な使用方法を明確にします。
    
    DescribeConnections
    
    DescribeConnectionsOnInterconnect
    
    DescribeDirectConnectGatewayAssociations
    
    DescribeDirectConnectGatewayAttachments
    
    DescribeDirectConnectGateways
    
    DescribeHostedConnections
    
    DescribeInterconnects
    
    Direct Connect 接続が 1 つだけあるか、1 つもない場合は、仮想プライベートゲートウェイへの冗長 VPN トンネルを設定します。
    
    AWS Site-to-Site VPN とは?
- 現在の接続をキャプチャします (例えば、Direct Connect、仮想プライベートゲートウェイ、AWS Marketplace アプライアンス)。
  - サービス API オペレーションを使用して、Direct Connect 接続の設定をクエリします。
    
    DescribeConnections
    
    DescribeConnectionsOnInterconnect
    
    DescribeDirectConnectGatewayAssociations
    
    DescribeDirectConnectGatewayAttachments
    
    DescribeDirectConnectGateways
    
    DescribeHostedConnections
    
    DescribeInterconnects
  - サービス API オペレーションを使用して、ルートテーブルが使用している仮想プライベートゲートウェイを収集します。
    
    DescribeVpnGateways
    
    DescribeRouteTables
  - サービス API オペレーションを使用してルートテーブルが使用している AWS Marketplace アプリケーションを収集します。
    
    DescribeRouteTables

リソース

関連するドキュメント:

関連動画:

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

REL02-BP01 ワークロードのパブリックエンドポイントに高可用性ネットワーク接続を使用する

REL02-BP03 拡張性と可用性を考慮した IP サブネットの割り当てを確実に行う