Direct Connect 接続の MACsec セキュリティ AWS Direct Connect 障害耐性に関する推奨事項 AWS Direct Connect SiteLink

AWS Direct Connect

インターネット経由の VPN は開始するための優れたオプションですが、本番トラフィックではインターネット接続の信頼性が損なわれる可能性があります。この信頼性がないため、多くのお客様はを選択しますAWS Direct Connect。は、インターネットを使用して AWS に接続する代わりに使用できるネットワークサービス AWS Direct Connect です。を使用すると AWS Direct Connect、以前はインターネット経由で転送されていたはずのデータが、施設と AWS 間のプライベートネットワーク接続を介して配信されます。多くの場合、プライベートネットワーク接続は、インターネットベースの接続よりもコストを削減し、帯域幅を増やし、より一貫したネットワークエクスペリエンスを提供します。 AWS Direct Connect を使用して VPCs。

を使用してオンプレミスのデータセンターを接続する方法 AWS Direct Connect

オプション 1: VPC にアタッチされた VGW へのプライベート仮想インターフェイス (VIF) を作成する — Direct Connect 接続ごとに 50 VIFs を作成し、最大 50 個の VPCs に接続できます (1 つの VIF は 1 つの VPC への接続を提供します）。VPC ごとに 1 つの BGP ピアリングがあります。この設定での接続は、Direct Connect ロケーションが置かれている AWS リージョンに制限されます。VIF から VPC への one-to-one マッピング (およびグローバルアクセスの欠如) により、これはランディングゾーンの VPCs にアクセスする最も望ましくない方法となります。
オプション 2: 複数の VGWs (各 VGW は VPC にアタッチされます) — Direct Connect ゲートウェイはグローバルに利用可能なリソースです。Direct Connect ゲートウェイは、任意のリージョンに作成し、 GovCloud （中国を除く) を含む他のすべてのリージョンからアクセスできます。Direct Connect Gateway は、1 つのプライベート VIF を介して、任意の AWS アカウントで最大 20 VGWs VPCs に (VPG を介して) グローバルに接続できます。これは、ランディングゾーンが少数の VPCs (10 個以下の VPCsで構成されている場合や、グローバルアクセスが必要な場合に最適なオプションです。Direct Connect 接続ごとに、Direct Connect Gateway ごとに 1 つの BGP ピアリングセッションがあります。Direct Connect ゲートウェイは、北/南トラフィックフロー専用であり、VPC から VPC への接続は許可されません。詳細については、 AWS Direct Connect ドキュメントの「仮想プライベートゲートウェイの関連付け」を参照してください。このオプションでは、Direct Connect ロケーションが格納されている AWS リージョンへの接続は制限されません。 AWS Direct Connect ゲートウェイは北/南のトラフィックフロー専用であり、VPC から VPC への接続は許可されません。このルールの例外は、同じ AWS Direct Connect ゲートウェイと同じ仮想インターフェイスにアタッチされた VPCs VGWs にスーパーネットがアドバタイズされる場合です。この場合、VPCs は AWS Direct Connect エンドポイントを介して相互に通信できます。詳細については、AWS Direct Connect ゲートウェイのドキュメントを参照してください。
オプション 3: Transit Gateway に関連付けられた Direct Connect ゲートウェイにトランジット VIF を作成する — Transit VIF を使用して、Transit Gateway インスタンスを Direct Connect ゲートウェイに関連付けることができます。は、すべてのポート速度で Transit Gateway への接続をサポートする AWS Direct Connect ようになりました。高速接続 (1Gbps 以上) が必要ない場合、Transit Gateway ユーザーにコスト効率の高い選択肢を提供します。これにより、Transit Gateway に接続する速度が 50、100、200、300、400、500 Mbps で Direct Connect を使用できます。Transit VIF を使用すると、単一のトランジット VIF および BGP ピアリングを介して、異なる AWS リージョンと AWS アカウント間で AWS Direct Connect 、ゲートウェイごとに最大 6 つの Transit Gateway インスタンス (数千の VPCs に接続できます) にオンプレミスデータセンターを接続できます。これは、複数の VPCs を大規模に接続するためのオプションの中で最も簡単なセットアップですが、Transit Gateway のクォータに注意してください。注意すべき重要な制限の 1 つは、トランジット VIF 経由で Transit Gateway からオンプレミスルーターにアドバタイズできるプレフィックスは 200 個のみです。上記のオプションでは、Direct Connect の料金が発生します。このオプションでは、Transit Gateway アタッチメントとデータ処理料金も発生します。詳細については、Direct Connect ドキュメントの「Transit Gateway の関連付け」を参照してください。
オプション 4: Direct Connect パブリック VIF 経由で Transit Gateway への VPN 接続を作成する — パブリック VIF を使用すると、パブリック IP アドレスを使用してすべての AWS パブリックサービスとエンドポイントにアクセスできます。Transit Gateway で VPN アタッチメントを作成すると、AWS 側で VPN エンドポイントの 2 つのパブリック IP アドレスを取得します。これらのパブリック IPsには、パブリック VIF 経由でアクセスできます。パブリック VIF では、必要な数の Transit Gateway インスタンスへの VPN 接続を作成できます。パブリック VIF 経由で BGP ピアリングを作成すると、AWS は AWS パブリック IP 範囲全体をルーターにアドバタイズします。特定のトラフィックのみを許可するには (VPN 終了エンドポイントへのトラフィックのみを許可するなど）、ファイアウォールのオンプレミス施設を使用することをお勧めします。このオプションは、ネットワークレイヤーで Direct Connect を暗号化するために使用できます。
オプション 5: プライベート IP VPN AWS Direct Connect を使用して経由で Transit Gateway への VPN 接続を作成する — プライベート IP VPN は、お客様がプライベート IP アドレスを使用して Direct Connect 経由で AWS Site-to-Site VPN 接続をデプロイできるようにする機能です。この機能を使用すると、パブリック IP アドレスを必要とせずに Direct Connect 接続を介してオンプレミスネットワークと AWS 間のトラフィックを暗号化できるため、セキュリティとネットワークプライバシーが同時に強化されます。プライベート IP VPN は Transit VIFs、Transit Gateway を使用して、顧客の VPCs とオンプレミスネットワークへの接続を、より安全でプライベート、スケーラブルな方法で一元管理できます。
オプション 6: トランジット VIF 経由で Transit Gateway への GRE トンネルを作成する – Transit Gateway Connect アタッチメントタイプは GRE をサポートします。Transit Gateway Connect を使用すると、SD-WAN ネットワーク仮想アプライアンスと Transit Gateway の間に IPsec VPNs を設定することなく、SD-WAN インフラストラクチャを AWS にネイティブに接続できます。GRE トンネルは、Transit Gateway Connect をアタッチメントタイプとするトランジット VIF を介して確立でき、VPN 接続と比較してより高い帯域幅パフォーマンスを提供します。詳細については、ブログ記事「Simplify SD-WAN connectivity with AWS Transit Gateway Connect」を参照してください。

「Transit VIF to Direct Connect Gateway」オプションは、Direct Connect 接続ごとに AWS リージョン 1 つの BGP セッションを使用して、特定のポイント (Transit Gateway) のすべてのオンプレミス接続を統合することができるため、最適なオプションであるように思えます。ただし、このオプションに関する制限と考慮事項によっては、ランディングゾーンの接続要件に合わせてプライベート VIF とトランジット VIFs の両方を使用する場合があります。

次の図は、VPC に接続するためのデフォルトの方法として Transit VIF を使用し VPCs 、非常に大量のデータをオンプレミスのデータセンターからメディア VPC に転送する必要があるエッジユースケースにプライベート VIF を使用するサンプル設定を示しています。プライベート VIF は、Transit Gateway のデータ処理料金を回避するために使用されます。ベストプラクティスとして、冗長性を最大化するには、2 つの異なる Direct Connect ロケーションに少なくとも 2 つの接続が必要です。合計 4 つの接続が必要です。接続ごとに 1 つの VIF を作成し、合計で 4 つのプライベート VIFs と 4 つのトランジット VIFs。VPN は、 AWS Direct Connect 接続へのバックアップ接続として作成することもできます。

「トランジット VIF 経由で Transit Gateway への GRE トンネルを作成する」オプションを使用すると、SD-WAN インフラストラクチャを AWS にネイティブに接続できます。これにより、SD-WAN ネットワーク仮想アプライアンスと Transit Gateway の間で IPsec VPNs を設定する必要がなくなります。

ハイブリッド接続のサンプルリファレンスアーキテクチャ

ネットワーク管理境界の境界を有効にする Direct Connect リソースを作成するには、ネットワークサービスアカウントを使用します。Direct Connect 接続、Direct Connect ゲートウェイ、および Transit Gateway はすべて、ネットワークサービスアカウントに存在することができます。ランディングゾーンと接続を共有する AWS Direct Connect には、を介して Transit Gateway を AWS RAM 他のアカウントと共有します。

Direct Connect 接続の MACsec セキュリティ

お客様は、特定のロケーションで 10 Gbps および 100 Gbps の専用接続の Direct Connect 接続で MAC Security Standard (MACsec ) 暗号化 (IEEE 802.1AE) を使用できます。この機能を使用すると、お客様はレイヤー 2 レベルでデータを保護でき、Direct Connect は point-to-point 暗号化を提供します。Direct Connect MACsec 機能を有効にするには、MACsec の前提条件が満たされていることを確認します。MACsec は hop-by-hopリンクをベースで保護するため、デバイスには Direct Connect デバイスとの直接レイヤー 2 隣接関係が必要です。ラストマイルプロバイダーは、接続が MACsec と連携することを確認するのに役立ちます。詳細については、「AWS Direct Connect 接続への MACsec セキュリティの追加」を参照してください。

AWS Direct Connect 障害耐性に関する推奨事項

を使用すると AWS Direct Connect、お客様はオンプレミスネットワークから Amazon VPCsと AWS リソースへの回復力の高い接続を実現できます。お客様が複数のデータセンターから接続して、単一ポイントの物理的な位置の障害を排除することがベストプラクティスです。また、ワークロードのタイプに応じて、冗長性のために複数の Direct Connect 接続を使用することをお勧めします。

また、AWS は、サービスレベルアグリーメント (SLA) AWS Direct Connect の要件に最適なモデルを特定し、それに応じて Direct Connect 接続を使用してハイブリッド接続を設計するのに役立つ、接続ウィザードを提供する Resiliency Toolkit も提供しています。詳細については、AWS Direct Connect 「障害耐性に関する推奨事項」を参照してください。

AWS Direct Connect SiteLink

以前は、オンプレミスネットワークの site-to-site リンクの設定は、ダークファイバーやその他のテクノロジー、IPSEC VPNs を介した直接回路構築、またはなどのテクノロジーを備えたサードパーティーの回路プロバイダー MetroEthernet、またはレガシー T1 回路を使用することによってのみ可能でした。の導入により SiteLink、お客様はロケーションで終了するオンプレミス AWS Direct Connect ロケーションの直接 site-to-site 接続を有効にできるようになりました。Direct Connect 回路を使用して、トラフィックを VPCs経由でルーティングすることなく site-to-site 接続を提供し、AWS リージョンを完全にバイパスします。

これで、 AWS Direct Connect ロケーション間の最速パスでデータを送信することで、グローバルネットワーク内のオフィスとデータセンターの間に、グローバルで信頼性の高い pay-as-you-go 接続を確立できます。

のサンプルリファレンスアーキテクチャ AWS Direct Connect SiteLink

を使用する場合 SiteLink、まずオンプレミスネットワークを世界中の 100 を超える AWS Direct Connect ロケーションのいずれかの AWS に接続します。次に、それらの接続に仮想インターフェイス (VIFsを作成し、を有効にします SiteLink。すべての VIFs が同じ AWS Direct Connect ゲートウェイ (DXGW) にアタッチされると、それらの間でデータの送信を開始できます。高速で安全で信頼性の高い AWS グローバルネットワークを使用して、データは送信先への AWS Direct Connect ロケーション間の最短パスをたどります。 AWS リージョンを使用するには、にリソースは必要ありません SiteLink。

では SiteLink、DXGW は SiteLink 有効な VIFs を介してルーターから IPv4/IPv6 プレフィックスを学習し、BGP のベストパスアルゴリズムを実行し、 NextHop や AS_Path などの属性を更新し、これらの BGP プレフィックスをその DXGW に関連付けられた SiteLink対応 VIFs の残りの部分に再アドバタイズします。VIF SiteLink でを無効にすると、DXGW はこの VIF を介して学習したオンプレミスプレフィックスを他の SiteLinkが有効な VIFs にアドバタイズしません。 SiteLink 無効化された VIF からのオンプレミスプレフィックスは、DXGW に関連付けられた AWS Virtual Private Gateway (VGWs) インスタンスや Transit Gateway (TGW) インスタンスなどの DXGW Gateway 関連付けにのみアドバタイズされます。

Sitelink がトラフィックフローを許可する例

SiteLink を使用すると、お客様は AWS グローバルネットワークを使用して、高帯域幅と低レイテンシーでリモートロケーション間のプライマリまたはセカンダリ/バックアップ接続として機能し、動的ルーティングを使用して、どのロケーションが相互に、および AWS リージョンリソースと通信できるかを制御できます。

詳細については、「の紹介 AWS Direct Connect SiteLink」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

VPN

インターネットへの一元的な出力