Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Ch...
Search
inomaso
July 28, 2023
Technology
0
5.4k
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Check point for redundant configuration with Direct Connect and Site-to-Site VPN
Talked at "DevelopersIO 2023 #devio2023"
inomaso
July 28, 2023
Tweet
Share
More Decks by inomaso
See All by inomaso
CyberduckでMFAを利用してS3へ接続するための導入手順まとめ、を深掘りする / A summary of the implementation steps to connect to S3 using MFA with Cyberduck, in depth.
inomasosan
0
820
EC2のバックアップ運用について思いを馳せる / Thinking about EC2 backup operation
inomasosan
0
1.4k
CloudWatchアラームによるサービス継続のための監視入門 / Introduction to Monitoring for Service Continuity with CloudWatch Alarms
inomasosan
1
2.1k
プライベートサブネットにあるEC2へのアクセス方法を整理してみた / Organized access to EC2 on a private subnet.
inomasosan
0
29k
Former2でコード生成してGUIポチポチ卒業の第一歩を / Generate code with Former2 and take the first step to graduate from GUI operation.
inomasosan
1
3.1k
Other Decks in Technology
See All in Technology
マネジメントって難しい、けどおもしろい / Management is tough, but fun! #em_findy
ar_tama
7
1.1k
さくらのIaaS基盤のモニタリングとOpenTelemetry/OSC Hokkaido 2025
fujiwara3
3
450
What’s new in Android development tools
yanzm
0
320
AWS認定を取る中で感じたこと
siromi
1
190
Delta airlines®️ USA Contact Numbers: Complete 2025 Support Guide
airtravelguide
0
340
SmartNewsにおける 1000+ノード規模 K8s基盤 でのコスト最適化 – Spot・Gravitonの大規模導入への挑戦
vsanna2
0
140
OSSのSNSツール「Misskey」をさわってみよう(右下ワイプで私のOSCの20年を振り返ります) / 20250705-osc2025-do
akkiesoft
0
170
Enhancing SaaS Product Reliability and Release Velocity through Optimized Testing Approach
ropqa
1
230
開発生産性を測る前にやるべきこと - 組織改善の実践 / Before Measuring Dev Productivity
kaonavi
11
4.9k
How Do I Contact HP Printer Support? [Full 2025 Guide for U.S. Businesses]
harrry1211
0
120
AWS Organizations 新機能!マルチパーティ承認の紹介
yhana
1
280
無意味な開発生産性の議論から抜け出すための予兆検知とお金とAI
i35_267
5
13k
Featured
See All Featured
A designer walks into a library…
pauljervisheath
207
24k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
35
2.4k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Docker and Python
trallard
44
3.5k
Designing Experiences People Love
moore
142
24k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
29
9.6k
BBQ
matthewcrist
89
9.7k
KATA
mclloyd
30
14k
How to Ace a Technical Interview
jacobian
278
23k
Making Projects Easy
brettharned
116
6.3k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
Transcript
Direct Connect と Site-to-Site VPN による冗長化構成の勘所 2023/7/21 AWS事業本部 inomaso 1
自己紹介 2 猪股 翔(inomaso) クラスメソッド株式会社 AWS事業本部 コンサルティング部 ソリューションアーキテクト • 2023
APN ALL AWS Certifications Engineer • ブログ ◦ https://dev.classmethod.jp/author/inomata-sho/ • 好きな AWS サービス ◦ AWS Certificate Manager ◦ AWS Transit Gateway
はじめに 3 ❏ 想定聴講者 ❏ オンプレとAWS間の接続にDirect Connectと Site-to-Site VPNを併用したいが、検討ポイントが わからず困っている
❏ 話すこと ❏ Direct ConnectとSite-to-Site VPNをTransit Gatewayに紐付けた構成の勘所
アジェンダ 4 1. Direct Connectで過去に発生した障害 2. 代表的な冗長化の接続例 • ターゲットゲートウェイ 3.
Direct Connect + Site-to-Site VPNのポイント • 接続方式の妥当性確認 • 経路制御 • ASNの決め方
Direct Connectで過去に発生した障害 5
Direct Connectで過去に発生した障害 6 2021 年 9 月 2 日に東京リージョンでトラブル発生 ❏
日本時間の午前 7 時 30 分からDirect Connect接続が失われた ❏ 約 6 時間の間、オンプレミスとAWS間の接続不可の状態 ❏ 数ヶ月前に導入した「頻度の低いネットワークコンバージェンスイベン トおよびファイバ切断に対するネットワークの反応時間を最適化する ために導入された新しいプロトコル」が原因
Direct Connectで過去に発生した障害 どうすれば影響を受けずに済んだのか?? 7
Direct Connectで過去に発生した障害 8 AWSの可用性の取り組み ❏ AWSは責任共有モデルに基づき、可用性を高める努力を常に実施 している https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 9 なぜ冗長化が必要か? https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 10 なぜ冗長化が必要か? https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf 冗長化のポイント
Direct Connectで過去に発生した障害 11 冗長化の選択肢 https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 12 冗長化の選択肢 https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf 本セッションの対象
代表的な冗長化の接続例 13
代表的な冗長化の接続例 14 ターゲットゲートウェイの選び方 ❏ Direct ConnectやSite-to-Site VPNでオンプレミスとAWSを接続する 場合、AWS側の接続先に以下のターゲットゲートウェイが必要になり ます。 ❏
Virtual Private Gateway(VGW) ❏ Transit Gateway(TGW)
代表的な冗長化の接続例 15 Virtual Private Gateway(VGW) ❏ 小規模なネットワーク構成 ❏ VPCが1~数個程度
代表的な冗長化の接続例 16 Virtual Private Gateway(VGW) ❏ メリット ❏ 関連リソースが少ないため設定が容易 ❏
VGW自体に料金は発生しない ❏ デメリット ❏ VPC毎にVPN接続の追加が必要 ❏ VPC間で相互接続が必要な場合、VPC Peeringの設定が1対1で 必要
代表的な冗長化の接続例 17 Transit Gateway(TGW) ❏ 中規模以上のネットワーク構成 ❏ オンプレミスと通信が必要なVPCや、相互接続が必要なVPC数が 多い(もしくは将来的に増える可能性がある)
代表的な冗長化の接続例 18 Transit Gateway(TGW) ❏ メリット ❏ オンプレミスから複数のVPCへ接続する場合でも、Transit Gateway経由であれば、1つのVPN接続で通信可能 ❏
複数のVPN接続を束ね、Equal Cost Multi Path(ECMP)を利用し 帯域を増やすことが可能
代表的な冗長化の接続例 19 Transit Gateway(TGW) ❏ メリット ❏ 複数のルーティングテーブルを、Transit Gatewayのルートテーブ ルで柔軟に設計可能
❏ VPCの相互接続はTransit Gateway経由で可能 ❏ VPCからインターネットへのアウトバウンド通信するためのNATゲートウェイを 一つのVPCに集約 ❏ Interface型のVPCエンドポイントをShared VPCに集約 ❏ Gateway Load Balancerと組み合わせて、セキュリティアプライアンスをクラウ ドに集約
代表的な冗長化の接続例 20 Transit Gateway(TGW)
代表的な冗長化の接続例 21 Transit Gateway(TGW) ❏ デメリット ❏ Transit Gatewayを利用する場合、Direct Connectの仮想インター
フェイス(VIF)はTransit VIFが必要 ❏ Transit Gatewayへ接続するDirect ConnectやSite-to-Site VPN、 VPCが増えるたびに毎月の固定費として約50USD(東京リージョン) の料金が発生
Direct Connect + Site-to-Site VPN のポイント 22
Direct Connect + Site-to-Site VPN のポイント 23 接続方式の妥当性確認 ❏ メイン回線をDirect
Connect、バックアップ回線をSite-to-Site VPN ❏ 予算の都合上、Direct Connect回線を複数用意できない ❏ 障害時等でフェールオーバした場合、パフォーマンスに影響が出る 可能性を許容可能 ❏ Site-to-Site VPNに動的経路制御(BGP)を利用可能 ❏ フェールオーバ時に自動でSite-to-Site VPNの経路へ切り替え可 能
Direct Connect + Site-to-Site VPN のポイント 24 経路制御 ❏ Transit
Gatewayのルート評価順 ❏ BGPパス属性 ❏ オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 25 経路制御 | Transit
Gatewayのルート評価順 1. 送信先アドレスの最も具体的なルート(ロンゲストマッチ) 2. 送信先 IP アドレスが同じでもターゲットが異なるルートの場合、ルー トの優先順位は次の通り 2-1. 静的ルート (例えば、Site-to-Site VPN 静的ルート) 2-2. プレフィックスリスト参照ルート 2-3. VPC が伝達したルート 2-4. Direct Connect Gatewayが伝達したルート 2-5. Transit Gateway Connect が伝達したルート 2-6. Site-to-Site VPN が伝達したルート
Direct Connect + Site-to-Site VPN のポイント 26 経路制御 | Transit
Gatewayのルート評価順 ❏ AWSからオンプレミスへ通信する際の経路選択 ❏ Transit Gatewayルートテーブルへ、Direct Connect Gatewayと Site-to-Site VPNが同じIPアドレスを伝達した場合、Direct Connect Gatewayから伝達した経路が優先される ❏ Direct Connectがダウンした場合、Site-to-Site VPNが伝達した ルートのみとなるため、自動的に経路が切り替わる
Direct Connect + Site-to-Site VPN のポイント 27 経路制御 | Transit
Gatewayのルート評価順 DXGWの経路が 優先される
Direct Connect + Site-to-Site VPN のポイント 28 経路制御 | Transit
Gatewayのルート評価順 Site-to-Site VPNの 経路に切り替わる
Direct Connect + Site-to-Site VPN のポイント 29 経路制御 | Transit
Gatewayのルート評価順
Direct Connect + Site-to-Site VPN のポイント 30 経路制御 | BGPパス属性
❏ BGPパス属性は同じ宛先をもつ複数のBGPルートからベストパスを 選択するためにルータによって評価される属性値 ❏ オンプレミスからAWSへ通信する際に、Direct Connectをメイン回線 にするようLP(Local Preference)やAS-Path Prepend等で設定する 必要あり
Direct Connect + Site-to-Site VPN のポイント 31 経路制御 | BGPパス属性
❏ BGPパス属性を用いた経路制御の例 LP=200、Prependなし Active Standby LP=100、Prependあり 平常時はDirect Connect をベストパスとして選択
Direct Connect + Site-to-Site VPN のポイント 32 経路制御 | BGPパス属性
Direct Connect + Site-to-Site VPN のポイント 33 経路制御 | オンプレミスへの経路伝達
❏ オンプレミスからAWSへ通信するために、AWS側のCIDRを伝達す る必要がある ❏ 今回の構成の場合、伝達方法は以下の通り ❏ Direct Connect Gatewayの「許可されたプレフィックス」でVPCの CIDRを指定 ❏ Site-to-Site VPNのTransit Gatewayアタッチメントに関連付けて いるTransit GatewayルートテーブルのCIDR
Direct Connect + Site-to-Site VPN のポイント 34 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ Direct Connect Gatewayの「許可されたプレフィックス」に設定可 能なCIDRの上限あり ❏ 2023/4のアップデートで、上限が20→200に増えている ❏ VPCのCIDRを集約できた方が、VPC追加等による変更箇所を少 なくできるため、要件定義フェーズで一度検討しておきたい
Direct Connect + Site-to-Site VPN のポイント 35 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ 一方で、Direct Connect Gatewayの「許可されたプレフィックス」で VPCのCIDRのみを集約した場合、Site-to-Site VPN側はVPC毎の CIDRを伝達することとなりロンゲストマッチが発生 ❏ ロンゲストマッチとなった場合、オンプレミス側は常にSite-to-Site VPN側の経路を優先してしまう
Direct Connect + Site-to-Site VPN のポイント 36 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ ロンゲストマッチを回避するために、Site-to-Site VPN側にダミー経 路を追加し、オンプレミスのルータで不要な経路をフィルタする必要 がある
Direct Connect + Site-to-Site VPN のポイント 37 経路制御 | オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 38 経路制御 | オンプレミスへの経路伝達
DXGWと同じCIDRを伝達する ためにダミー経路を追加
Direct Connect + Site-to-Site VPN のポイント 39 経路制御 | オンプレミスへの経路伝達
オンプレミスのルータで不要 な経路をフィルタ
Direct Connect + Site-to-Site VPN のポイント 40 経路制御 | オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 41 ASNの決め方 | AS(Autonomous
System) ❏ 自律システム(縄張り/管理が行き届く範囲) ❏ 複数のルータが集まって構成される ❏ ISP、企業、研究機関、拠点毎に存在するイメージ ❏ IGP(AS内のルーティングプロトコル)とEGP(AS間のルーティングプ ロトコル)を分ける概念
Direct Connect + Site-to-Site VPN のポイント 42 ASNの決め方 | ASN(AS番号)
❏ ASを識別する番号 ❏ BGPはAS間で経路情報を交換するEGPの一種 ❏ BGPによる接続が行われたBGPルータは経路情報を交換する ❏ 経路情報を伝え合うことで何番のASにどのようなネットワークが存 在するのかがわかる ❏ 受信した経路情報のAS_PATHに自分のASN(AS番号)が含まれ ている場合、その経路情報を破棄する
Direct Connect + Site-to-Site VPN のポイント 43 ASNの決め方 | 設計ポイント
❏ AWS側とオンプレミス側で分ける ❏ Transit GatewayとDirectConnect Gatewayで分ける ❏ 別のTransit Gatewayと接続する場合も分ける ❏ オンプレミスの拠点毎に分ける
Direct Connect + Site-to-Site VPN のポイント 44 ASNの決め方 | ASNの例
Direct Connect + Site-to-Site VPN のポイント 45 ASNの決め方
本セッションのまとめ 46
本セッションのまとめ 47 ❏ 冗長化の必要性や選択肢 ❏ ターゲットゲートウェイ毎の特性 ❏ Direct ConnectとSite-to-Site VPNを併用した
ルーティング周りの設計ポイント
48