アンカー接続 - AWS Outposts の高可用性設計とアーキテクチャに関する考慮事項
高可用性アンカー接続の推奨プラクティス

アンカー接続

Outpost サービスリンクは、Outpost の親リージョンの特定のアベイラビリティーゾーン (AZ) にあるパブリックアンカーまたはプライベートアンカーのいずれか (両方ではない) に接続します。Outpost サーバーは、サービスリンク IP アドレスからアンカー AZ のアンカーポイントへのアウトバウンドサービスリンク VPN 接続を開始します。これらの接続は UDP と TCP ポート 443 を使用します。AWS は、リージョン内のアンカーポイントの可用性を確保する責任があります。

Outpost サービスリンク の IP アドレスがネットワーク経由でアンカー AZ のアンカーポイントに接続できることを確認する必要があります。サービスリンク IP アドレスは、オンプレミスネットワーク上の他のホストと通信する必要はありません。

パブリックアンカーポイントは、リージョンのパブリック IP 範囲 (EC2 サービス CIDR ブロック内) にあり、インターネットまたは AWS Direct Connect (DX) パブリック仮想インターフェイス (VIF) 経由でアクセスできます。パブリックアンカーポイントを使用すると、サービスリンクトラフィックはパブリックインターネット上のアンカーポイントに正常に到達できる任意のパスにルーティングできるため、より柔軟にパスを選択できます。

プライベートアンカーポイントを使用すると、IP アドレス範囲をアンカー接続に使用できます。プライベートアンカーポイントは、お客様が割り当てた IP アドレスを使用して、専用 VPC 内のプライベートサブネットに作成されます。VPC は Outpost リソースを所有する AWS アカウントで作成され、VPC が使用可能で、適切に設定されていることを確認する必要があります。AWSOrigamiServiceGateway Organizations でセキュリティコントロールポリシー (SCP) を使用して、ユーザーがその仮想プライベートクラウド (VPC) を削除できないようにします。プライベートアンカーポイントには、Direct Connect プライベート VIF を使用してアクセスする必要があります。

Outpost とリージョン内のアンカーポイントの間には冗長なネットワークパスを用意し、接続は複数の場所にある別々のデバイスで終了するようにしてください。動的ルーティングは、接続またはネットワークデバイスに障害が発生した場合に、トラフィックを自動的に代替パスに再ルートするように設定する必要があります。1 つの WAN パスに障害が発生しても残りの WAN パスに負荷がかからないように、十分なネットワーク容量をプロビジョニングする必要があります。

次の図は、AWS Direct Connect とパブリックインターネット接続を使用する、アンカー AZ への冗長ネットワークパスがある 3 つの Outposts を示しています。Outpost A と Outpost B は、同じリージョンの異なるアベイラビリティーゾーンにアンカーされています。Outpost A は、リージョン 1 の AZ 1 のプライベートアンカーポイントに接続しています。Outpost B はリージョン 1 の AZ 2 のパブリックアンカーポイントに接続しています。Outpost C はリージョン 2 の AZ 1 のパブリックアンカーに接続します。

AWS Direct Connect とパブリックインターネットアクセスとの高可用性アンカー接続を示す図

AWS Direct Connect とパブリックインターネットアクセスとの高可用性アンカー接続

Outpost A には、プライベートアンカーポイントに到達するための冗長ネットワークパスが 3 つあります。1 つの Direct Connect の場所では、冗長な Direct Connect 回路を通じて 2 つのパスを使用できます。3 番目のパスは、2 つ目の Direct Connect の場所にある Direct Connect 回路を経由して利用できます。この設計では、Outpost A のサービスリンクトラフィックをプライベートネットワーク上に維持し、パスの冗長性を確保することで、いずれかの Direct Connect 回線の障害や Direct Connect の場所全体の障害にも対応できます。

Outpost B には、パブリックアンカーポイントに到達するための冗長ネットワークパスが 4 つあります。3 つのパスは、Direct Connect 回線と Outpost A が使用する場所にプロビジョニングされたパブリック VIF を介して利用できます。4 つ目のパスは、お客様の WAN とパブリックインターネットを介して利用できます。Outpost B のサービスリンクトラフィックは、パブリックインターネット上のアンカーポイントに正常に到達できる任意のパスを介してルートできます。Direct Connect パスを使用すると、レイテンシーがより安定し、帯域幅の可用性が高くなる可能性があります。一方、パブリックインターネットパスはディザスタリカバリ (DR) や帯域幅増強のシナリオに使用できます。

Outpost C には、パブリックアンカーポイントに到達するための冗長ネットワークパスが 2 つあります。Outpost C は、Outpost A および Outpost B とは異なるデータセンターでデプロイされています。Outpost C のデータセンターには、お客様の WAN に接続する専用回線はありません。代わりに、データセンターには 2 つの異なるインターネットサービスプロバイダー (ISP) が提供する冗長インターネット接続があります。Outpost C のサービスリンクトラフィックは、いずれかの ISP ネットワークを経由してルートされ、パブリックインターネット上のアンカーポイントに到達できます。この設計により、利用可能なあらゆるパブリックインターネット接続でサービスリンクトラフィックを柔軟にルートできます。ただし、エンドツーエンドのパスは、帯域幅の可用性とネットワーク遅延が変動するパブリックサードパーティーネットワークに依存しています。

Outpost とそのサービスリンクアンカーポイント間のネットワークパスは、次の帯域幅の仕様を満たしている必要があります。

  • 500 Mbps - Outpost ラックあたり 1 Gbps の使用可能帯域幅 (例えば、3 ラックの場合、1.5~3 Gbps の使用可能帯域幅)

  • 各 Outpost とリージョン内のアンカーポイントとの間に冗長なネットワークパスをプロビジョニングします。

  • Direct Connect (DX) パスを使用して、レイテンシーと帯域幅の可用性を制御します。

  • Outpost サービスリンク CIDR ブロックから親リージョンの EC2 IP アドレス範囲への TCP および UDP ポート 443 が開いている (アウトバウンド) ことを確認します。すべてのネットワークパスでポートが開いていることを確認します。

  • リージョンの CIDR 範囲のサブセットを使用している場合は、ファイアウォールの Amazon EC2 IP アドレス範囲を追跡します。

  • 各パスが帯域幅の可用性とレイテンシーの要件を満たしていることを確認します。

  • 動的ルーティングを使用して、ネットワーク障害を回避するトラフィックのリダイレクトを自動化します。

  • 計画した各ネットワークパスでサービスリンクトラフィックのルーティングをテストして、パスが想定どおりに機能することを確認します。