Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Ch...
Search
inomaso
July 28, 2023
Technology
0
5.5k
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Check point for redundant configuration with Direct Connect and Site-to-Site VPN
Talked at "DevelopersIO 2023 #devio2023"
inomaso
July 28, 2023
Tweet
Share
More Decks by inomaso
See All by inomaso
CyberduckでMFAを利用してS3へ接続するための導入手順まとめ、を深掘りする / A summary of the implementation steps to connect to S3 using MFA with Cyberduck, in depth.
inomasosan
0
820
EC2のバックアップ運用について思いを馳せる / Thinking about EC2 backup operation
inomasosan
0
1.4k
CloudWatchアラームによるサービス継続のための監視入門 / Introduction to Monitoring for Service Continuity with CloudWatch Alarms
inomasosan
1
2.1k
プライベートサブネットにあるEC2へのアクセス方法を整理してみた / Organized access to EC2 on a private subnet.
inomasosan
0
29k
Former2でコード生成してGUIポチポチ卒業の第一歩を / Generate code with Former2 and take the first step to graduate from GUI operation.
inomasosan
1
3.1k
Other Decks in Technology
See All in Technology
SEQUENCE object comparison - db tech showcase 2025 LT2
nori_shinoda
0
270
QuickSight SPICE の効果的な運用戦略~S3 + Athena 構成での実践ノウハウ~/quicksight-spice-s3-athena-best-practices
emiki
0
240
第64回コンピュータビジョン勉強会「The PanAf-FGBG Dataset: Understanding the Impact of Backgrounds in Wildlife Behaviour Recognition」
x_ttyszk
0
140
american airlines®️ USA Contact Numbers: Complete 2025 Support Guide
supportflight
1
120
PO初心者が考えた ”POらしさ”
nb_rady
0
230
【あのMCPって、どんな処理してるの?】 AWS CDKでの開発で便利なAWS MCP Servers特集
yoshimi0227
6
610
SRE不在の開発チームが障害対応と 向き合った100日間 / 100 days dealing with issues without SREs
shin1988
1
1.1k
CDKTFについてざっくり理解する!!~CloudFormationからCDKTFへ変換するツールも作ってみた~
masakiokuda
1
190
2025-07-06 QGIS初級ハンズオン「はじめてのQGIS」
kou_kita
0
180
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
54
22k
Sansanのデータプロダクトマネジメントのアプローチ
sansantech
PRO
0
220
マルチプロダクト環境におけるSREの役割 / SRE NEXT 2025 lunch session
sugamasao
1
230
Featured
See All Featured
Fireside Chat
paigeccino
37
3.5k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
GraphQLの誤解/rethinking-graphql
sonatard
71
11k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
161
15k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
5.9k
Building a Modern Day E-commerce SEO Strategy
aleyda
42
7.4k
Documentation Writing (for coders)
carmenintech
72
4.9k
Optimising Largest Contentful Paint
csswizardry
37
3.3k
Mobile First: as difficult as doing things right
swwweet
223
9.7k
What's in a price? How to price your products and services
michaelherold
246
12k
Intergalactic Javascript Robots from Outer Space
tanoku
271
27k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Transcript
Direct Connect と Site-to-Site VPN による冗長化構成の勘所 2023/7/21 AWS事業本部 inomaso 1
自己紹介 2 猪股 翔(inomaso) クラスメソッド株式会社 AWS事業本部 コンサルティング部 ソリューションアーキテクト • 2023
APN ALL AWS Certifications Engineer • ブログ ◦ https://dev.classmethod.jp/author/inomata-sho/ • 好きな AWS サービス ◦ AWS Certificate Manager ◦ AWS Transit Gateway
はじめに 3 ❏ 想定聴講者 ❏ オンプレとAWS間の接続にDirect Connectと Site-to-Site VPNを併用したいが、検討ポイントが わからず困っている
❏ 話すこと ❏ Direct ConnectとSite-to-Site VPNをTransit Gatewayに紐付けた構成の勘所
アジェンダ 4 1. Direct Connectで過去に発生した障害 2. 代表的な冗長化の接続例 • ターゲットゲートウェイ 3.
Direct Connect + Site-to-Site VPNのポイント • 接続方式の妥当性確認 • 経路制御 • ASNの決め方
Direct Connectで過去に発生した障害 5
Direct Connectで過去に発生した障害 6 2021 年 9 月 2 日に東京リージョンでトラブル発生 ❏
日本時間の午前 7 時 30 分からDirect Connect接続が失われた ❏ 約 6 時間の間、オンプレミスとAWS間の接続不可の状態 ❏ 数ヶ月前に導入した「頻度の低いネットワークコンバージェンスイベン トおよびファイバ切断に対するネットワークの反応時間を最適化する ために導入された新しいプロトコル」が原因
Direct Connectで過去に発生した障害 どうすれば影響を受けずに済んだのか?? 7
Direct Connectで過去に発生した障害 8 AWSの可用性の取り組み ❏ AWSは責任共有モデルに基づき、可用性を高める努力を常に実施 している https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 9 なぜ冗長化が必要か? https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 10 なぜ冗長化が必要か? https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf 冗長化のポイント
Direct Connectで過去に発生した障害 11 冗長化の選択肢 https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 12 冗長化の選択肢 https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf 本セッションの対象
代表的な冗長化の接続例 13
代表的な冗長化の接続例 14 ターゲットゲートウェイの選び方 ❏ Direct ConnectやSite-to-Site VPNでオンプレミスとAWSを接続する 場合、AWS側の接続先に以下のターゲットゲートウェイが必要になり ます。 ❏
Virtual Private Gateway(VGW) ❏ Transit Gateway(TGW)
代表的な冗長化の接続例 15 Virtual Private Gateway(VGW) ❏ 小規模なネットワーク構成 ❏ VPCが1~数個程度
代表的な冗長化の接続例 16 Virtual Private Gateway(VGW) ❏ メリット ❏ 関連リソースが少ないため設定が容易 ❏
VGW自体に料金は発生しない ❏ デメリット ❏ VPC毎にVPN接続の追加が必要 ❏ VPC間で相互接続が必要な場合、VPC Peeringの設定が1対1で 必要
代表的な冗長化の接続例 17 Transit Gateway(TGW) ❏ 中規模以上のネットワーク構成 ❏ オンプレミスと通信が必要なVPCや、相互接続が必要なVPC数が 多い(もしくは将来的に増える可能性がある)
代表的な冗長化の接続例 18 Transit Gateway(TGW) ❏ メリット ❏ オンプレミスから複数のVPCへ接続する場合でも、Transit Gateway経由であれば、1つのVPN接続で通信可能 ❏
複数のVPN接続を束ね、Equal Cost Multi Path(ECMP)を利用し 帯域を増やすことが可能
代表的な冗長化の接続例 19 Transit Gateway(TGW) ❏ メリット ❏ 複数のルーティングテーブルを、Transit Gatewayのルートテーブ ルで柔軟に設計可能
❏ VPCの相互接続はTransit Gateway経由で可能 ❏ VPCからインターネットへのアウトバウンド通信するためのNATゲートウェイを 一つのVPCに集約 ❏ Interface型のVPCエンドポイントをShared VPCに集約 ❏ Gateway Load Balancerと組み合わせて、セキュリティアプライアンスをクラウ ドに集約
代表的な冗長化の接続例 20 Transit Gateway(TGW)
代表的な冗長化の接続例 21 Transit Gateway(TGW) ❏ デメリット ❏ Transit Gatewayを利用する場合、Direct Connectの仮想インター
フェイス(VIF)はTransit VIFが必要 ❏ Transit Gatewayへ接続するDirect ConnectやSite-to-Site VPN、 VPCが増えるたびに毎月の固定費として約50USD(東京リージョン) の料金が発生
Direct Connect + Site-to-Site VPN のポイント 22
Direct Connect + Site-to-Site VPN のポイント 23 接続方式の妥当性確認 ❏ メイン回線をDirect
Connect、バックアップ回線をSite-to-Site VPN ❏ 予算の都合上、Direct Connect回線を複数用意できない ❏ 障害時等でフェールオーバした場合、パフォーマンスに影響が出る 可能性を許容可能 ❏ Site-to-Site VPNに動的経路制御(BGP)を利用可能 ❏ フェールオーバ時に自動でSite-to-Site VPNの経路へ切り替え可 能
Direct Connect + Site-to-Site VPN のポイント 24 経路制御 ❏ Transit
Gatewayのルート評価順 ❏ BGPパス属性 ❏ オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 25 経路制御 | Transit
Gatewayのルート評価順 1. 送信先アドレスの最も具体的なルート(ロンゲストマッチ) 2. 送信先 IP アドレスが同じでもターゲットが異なるルートの場合、ルー トの優先順位は次の通り 2-1. 静的ルート (例えば、Site-to-Site VPN 静的ルート) 2-2. プレフィックスリスト参照ルート 2-3. VPC が伝達したルート 2-4. Direct Connect Gatewayが伝達したルート 2-5. Transit Gateway Connect が伝達したルート 2-6. Site-to-Site VPN が伝達したルート
Direct Connect + Site-to-Site VPN のポイント 26 経路制御 | Transit
Gatewayのルート評価順 ❏ AWSからオンプレミスへ通信する際の経路選択 ❏ Transit Gatewayルートテーブルへ、Direct Connect Gatewayと Site-to-Site VPNが同じIPアドレスを伝達した場合、Direct Connect Gatewayから伝達した経路が優先される ❏ Direct Connectがダウンした場合、Site-to-Site VPNが伝達した ルートのみとなるため、自動的に経路が切り替わる
Direct Connect + Site-to-Site VPN のポイント 27 経路制御 | Transit
Gatewayのルート評価順 DXGWの経路が 優先される
Direct Connect + Site-to-Site VPN のポイント 28 経路制御 | Transit
Gatewayのルート評価順 Site-to-Site VPNの 経路に切り替わる
Direct Connect + Site-to-Site VPN のポイント 29 経路制御 | Transit
Gatewayのルート評価順
Direct Connect + Site-to-Site VPN のポイント 30 経路制御 | BGPパス属性
❏ BGPパス属性は同じ宛先をもつ複数のBGPルートからベストパスを 選択するためにルータによって評価される属性値 ❏ オンプレミスからAWSへ通信する際に、Direct Connectをメイン回線 にするようLP(Local Preference)やAS-Path Prepend等で設定する 必要あり
Direct Connect + Site-to-Site VPN のポイント 31 経路制御 | BGPパス属性
❏ BGPパス属性を用いた経路制御の例 LP=200、Prependなし Active Standby LP=100、Prependあり 平常時はDirect Connect をベストパスとして選択
Direct Connect + Site-to-Site VPN のポイント 32 経路制御 | BGPパス属性
Direct Connect + Site-to-Site VPN のポイント 33 経路制御 | オンプレミスへの経路伝達
❏ オンプレミスからAWSへ通信するために、AWS側のCIDRを伝達す る必要がある ❏ 今回の構成の場合、伝達方法は以下の通り ❏ Direct Connect Gatewayの「許可されたプレフィックス」でVPCの CIDRを指定 ❏ Site-to-Site VPNのTransit Gatewayアタッチメントに関連付けて いるTransit GatewayルートテーブルのCIDR
Direct Connect + Site-to-Site VPN のポイント 34 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ Direct Connect Gatewayの「許可されたプレフィックス」に設定可 能なCIDRの上限あり ❏ 2023/4のアップデートで、上限が20→200に増えている ❏ VPCのCIDRを集約できた方が、VPC追加等による変更箇所を少 なくできるため、要件定義フェーズで一度検討しておきたい
Direct Connect + Site-to-Site VPN のポイント 35 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ 一方で、Direct Connect Gatewayの「許可されたプレフィックス」で VPCのCIDRのみを集約した場合、Site-to-Site VPN側はVPC毎の CIDRを伝達することとなりロンゲストマッチが発生 ❏ ロンゲストマッチとなった場合、オンプレミス側は常にSite-to-Site VPN側の経路を優先してしまう
Direct Connect + Site-to-Site VPN のポイント 36 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ ロンゲストマッチを回避するために、Site-to-Site VPN側にダミー経 路を追加し、オンプレミスのルータで不要な経路をフィルタする必要 がある
Direct Connect + Site-to-Site VPN のポイント 37 経路制御 | オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 38 経路制御 | オンプレミスへの経路伝達
DXGWと同じCIDRを伝達する ためにダミー経路を追加
Direct Connect + Site-to-Site VPN のポイント 39 経路制御 | オンプレミスへの経路伝達
オンプレミスのルータで不要 な経路をフィルタ
Direct Connect + Site-to-Site VPN のポイント 40 経路制御 | オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 41 ASNの決め方 | AS(Autonomous
System) ❏ 自律システム(縄張り/管理が行き届く範囲) ❏ 複数のルータが集まって構成される ❏ ISP、企業、研究機関、拠点毎に存在するイメージ ❏ IGP(AS内のルーティングプロトコル)とEGP(AS間のルーティングプ ロトコル)を分ける概念
Direct Connect + Site-to-Site VPN のポイント 42 ASNの決め方 | ASN(AS番号)
❏ ASを識別する番号 ❏ BGPはAS間で経路情報を交換するEGPの一種 ❏ BGPによる接続が行われたBGPルータは経路情報を交換する ❏ 経路情報を伝え合うことで何番のASにどのようなネットワークが存 在するのかがわかる ❏ 受信した経路情報のAS_PATHに自分のASN(AS番号)が含まれ ている場合、その経路情報を破棄する
Direct Connect + Site-to-Site VPN のポイント 43 ASNの決め方 | 設計ポイント
❏ AWS側とオンプレミス側で分ける ❏ Transit GatewayとDirectConnect Gatewayで分ける ❏ 別のTransit Gatewayと接続する場合も分ける ❏ オンプレミスの拠点毎に分ける
Direct Connect + Site-to-Site VPN のポイント 44 ASNの決め方 | ASNの例
Direct Connect + Site-to-Site VPN のポイント 45 ASNの決め方
本セッションのまとめ 46
本セッションのまとめ 47 ❏ 冗長化の必要性や選択肢 ❏ ターゲットゲートウェイ毎の特性 ❏ Direct ConnectとSite-to-Site VPNを併用した
ルーティング周りの設計ポイント
48
inomasosan
nori_shinoda
emiki
x_ttyszk
supportflight
nb_rady
yoshimi0227
shin1988
masakiokuda
kou_kita
soudai
sansantech
sugamasao
paigeccino
yeseniaperezcruz
sonatard
sstephenson
zakiyama
aleyda
carmenintech
csswizardry
swwweet
michaelherold
tanoku
afnizarnur
