Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Ch...
Search
inomaso
July 28, 2023
Technology
6.7k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Check point for redundant configuration with Direct Connect and Site-to-Site VPN
Talked at "DevelopersIO 2023 #devio2023"
inomaso
July 28, 2023
More Decks by inomaso
See All by inomaso
CyberduckでMFAを利用してS3へ接続するための導入手順まとめ、を深掘りする / A summary of the implementation steps to connect to S3 using MFA with Cyberduck, in depth.
inomasosan
0
1.1k
EC2のバックアップ運用について思いを馳せる / Thinking about EC2 backup operation
inomasosan
0
1.8k
CloudWatchアラームによるサービス継続のための監視入門 / Introduction to Monitoring for Service Continuity with CloudWatch Alarms
inomasosan
1
2.3k
プライベートサブネットにあるEC2へのアクセス方法を整理してみた / Organized access to EC2 on a private subnet.
inomasosan
0
31k
Former2でコード生成してGUIポチポチ卒業の第一歩を / Generate code with Former2 and take the first step to graduate from GUI operation.
inomasosan
1
3.3k
Other Decks in Technology
See All in Technology
「勝手に広まる」人気 AI エージェントを爆速で作ろう!(AWS Summit Japan 2026講演資料)
minorun365
PRO
10
2.5k
攻撃者視点で考えるDetection Engineering
cryptopeg
3
2.1k
AI 不只幫你寫 Code: 當專案從 300 暴增到 1500, 我們如何撐住 DevOps
appleboy
0
210
AIチャット検索改善の3週間
kworkdev
PRO
2
170
いまさら聞けない「仕様駆動開発入門」 〜AI活用時代の開発プロセスを考える〜
findy_eventslides
2
200
自宅LLMの話
jacopen
1
720
AI-DLCを “そのまま導入しなかった”話 ~組織に合わせてアジャストした 私たちの実践共有~
hiroramos4
PRO
1
420
AI Agentをシステムに組み込む前にゆるく向き合ってみる
hayama17
0
120
【2026年版】 ベクトル検索とEmbedding最前線
mocobeta
23
7.4k
【Snowflake Summit 2026 Recap!!】Snowflake Summit Deep Dive: Security & Governance
civitaspo
1
310
iOS アプリの「これって不具合ですか?」を AI に調べてもらう
miichan
0
140
アジャイルな経理と Claude Code と経営の未来
kawaguti
PRO
3
190
Featured
See All Featured
How to train your dragon (web standard)
notwaldorf
97
6.7k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.3k
New Earth Scene 8
popppiees
3
2.4k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
370
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
118
120k
We Analyzed 250 Million AI Search Results: Here's What I Found
joshbly
1
1.4k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
Music & Morning Musume
bryan
47
7.2k
What the history of the web can teach us about the future of AI
inesmontani
PRO
1
620
Writing Fast Ruby
sferik
630
63k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
440
Transcript
Direct Connect と Site-to-Site VPN による冗長化構成の勘所 2023/7/21 AWS事業本部 inomaso 1
自己紹介 2 猪股 翔(inomaso) クラスメソッド株式会社 AWS事業本部 コンサルティング部 ソリューションアーキテクト • 2023
APN ALL AWS Certifications Engineer • ブログ ◦ https://dev.classmethod.jp/author/inomata-sho/ • 好きな AWS サービス ◦ AWS Certificate Manager ◦ AWS Transit Gateway
はじめに 3 ❏ 想定聴講者 ❏ オンプレとAWS間の接続にDirect Connectと Site-to-Site VPNを併用したいが、検討ポイントが わからず困っている
❏ 話すこと ❏ Direct ConnectとSite-to-Site VPNをTransit Gatewayに紐付けた構成の勘所
アジェンダ 4 1. Direct Connectで過去に発生した障害 2. 代表的な冗長化の接続例 • ターゲットゲートウェイ 3.
Direct Connect + Site-to-Site VPNのポイント • 接続方式の妥当性確認 • 経路制御 • ASNの決め方
Direct Connectで過去に発生した障害 5
Direct Connectで過去に発生した障害 6 2021 年 9 月 2 日に東京リージョンでトラブル発生 ❏
日本時間の午前 7 時 30 分からDirect Connect接続が失われた ❏ 約 6 時間の間、オンプレミスとAWS間の接続不可の状態 ❏ 数ヶ月前に導入した「頻度の低いネットワークコンバージェンスイベン トおよびファイバ切断に対するネットワークの反応時間を最適化する ために導入された新しいプロトコル」が原因
Direct Connectで過去に発生した障害 どうすれば影響を受けずに済んだのか?? 7
Direct Connectで過去に発生した障害 8 AWSの可用性の取り組み ❏ AWSは責任共有モデルに基づき、可用性を高める努力を常に実施 している https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 9 なぜ冗長化が必要か? https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 10 なぜ冗長化が必要か? https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf 冗長化のポイント
Direct Connectで過去に発生した障害 11 冗長化の選択肢 https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
Direct Connectで過去に発生した障害 12 冗長化の選択肢 https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf 本セッションの対象
代表的な冗長化の接続例 13
代表的な冗長化の接続例 14 ターゲットゲートウェイの選び方 ❏ Direct ConnectやSite-to-Site VPNでオンプレミスとAWSを接続する 場合、AWS側の接続先に以下のターゲットゲートウェイが必要になり ます。 ❏
Virtual Private Gateway(VGW) ❏ Transit Gateway(TGW)
代表的な冗長化の接続例 15 Virtual Private Gateway(VGW) ❏ 小規模なネットワーク構成 ❏ VPCが1~数個程度
代表的な冗長化の接続例 16 Virtual Private Gateway(VGW) ❏ メリット ❏ 関連リソースが少ないため設定が容易 ❏
VGW自体に料金は発生しない ❏ デメリット ❏ VPC毎にVPN接続の追加が必要 ❏ VPC間で相互接続が必要な場合、VPC Peeringの設定が1対1で 必要
代表的な冗長化の接続例 17 Transit Gateway(TGW) ❏ 中規模以上のネットワーク構成 ❏ オンプレミスと通信が必要なVPCや、相互接続が必要なVPC数が 多い(もしくは将来的に増える可能性がある)
代表的な冗長化の接続例 18 Transit Gateway(TGW) ❏ メリット ❏ オンプレミスから複数のVPCへ接続する場合でも、Transit Gateway経由であれば、1つのVPN接続で通信可能 ❏
複数のVPN接続を束ね、Equal Cost Multi Path(ECMP)を利用し 帯域を増やすことが可能
代表的な冗長化の接続例 19 Transit Gateway(TGW) ❏ メリット ❏ 複数のルーティングテーブルを、Transit Gatewayのルートテーブ ルで柔軟に設計可能
❏ VPCの相互接続はTransit Gateway経由で可能 ❏ VPCからインターネットへのアウトバウンド通信するためのNATゲートウェイを 一つのVPCに集約 ❏ Interface型のVPCエンドポイントをShared VPCに集約 ❏ Gateway Load Balancerと組み合わせて、セキュリティアプライアンスをクラウ ドに集約
代表的な冗長化の接続例 20 Transit Gateway(TGW)
代表的な冗長化の接続例 21 Transit Gateway(TGW) ❏ デメリット ❏ Transit Gatewayを利用する場合、Direct Connectの仮想インター
フェイス(VIF)はTransit VIFが必要 ❏ Transit Gatewayへ接続するDirect ConnectやSite-to-Site VPN、 VPCが増えるたびに毎月の固定費として約50USD(東京リージョン) の料金が発生
Direct Connect + Site-to-Site VPN のポイント 22
Direct Connect + Site-to-Site VPN のポイント 23 接続方式の妥当性確認 ❏ メイン回線をDirect
Connect、バックアップ回線をSite-to-Site VPN ❏ 予算の都合上、Direct Connect回線を複数用意できない ❏ 障害時等でフェールオーバした場合、パフォーマンスに影響が出る 可能性を許容可能 ❏ Site-to-Site VPNに動的経路制御(BGP)を利用可能 ❏ フェールオーバ時に自動でSite-to-Site VPNの経路へ切り替え可 能
Direct Connect + Site-to-Site VPN のポイント 24 経路制御 ❏ Transit
Gatewayのルート評価順 ❏ BGPパス属性 ❏ オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 25 経路制御 | Transit
Gatewayのルート評価順 1. 送信先アドレスの最も具体的なルート(ロンゲストマッチ) 2. 送信先 IP アドレスが同じでもターゲットが異なるルートの場合、ルー トの優先順位は次の通り 2-1. 静的ルート (例えば、Site-to-Site VPN 静的ルート) 2-2. プレフィックスリスト参照ルート 2-3. VPC が伝達したルート 2-4. Direct Connect Gatewayが伝達したルート 2-5. Transit Gateway Connect が伝達したルート 2-6. Site-to-Site VPN が伝達したルート
Direct Connect + Site-to-Site VPN のポイント 26 経路制御 | Transit
Gatewayのルート評価順 ❏ AWSからオンプレミスへ通信する際の経路選択 ❏ Transit Gatewayルートテーブルへ、Direct Connect Gatewayと Site-to-Site VPNが同じIPアドレスを伝達した場合、Direct Connect Gatewayから伝達した経路が優先される ❏ Direct Connectがダウンした場合、Site-to-Site VPNが伝達した ルートのみとなるため、自動的に経路が切り替わる
Direct Connect + Site-to-Site VPN のポイント 27 経路制御 | Transit
Gatewayのルート評価順 DXGWの経路が 優先される
Direct Connect + Site-to-Site VPN のポイント 28 経路制御 | Transit
Gatewayのルート評価順 Site-to-Site VPNの 経路に切り替わる
Direct Connect + Site-to-Site VPN のポイント 29 経路制御 | Transit
Gatewayのルート評価順
Direct Connect + Site-to-Site VPN のポイント 30 経路制御 | BGPパス属性
❏ BGPパス属性は同じ宛先をもつ複数のBGPルートからベストパスを 選択するためにルータによって評価される属性値 ❏ オンプレミスからAWSへ通信する際に、Direct Connectをメイン回線 にするようLP(Local Preference)やAS-Path Prepend等で設定する 必要あり
Direct Connect + Site-to-Site VPN のポイント 31 経路制御 | BGPパス属性
❏ BGPパス属性を用いた経路制御の例 LP=200、Prependなし Active Standby LP=100、Prependあり 平常時はDirect Connect をベストパスとして選択
Direct Connect + Site-to-Site VPN のポイント 32 経路制御 | BGPパス属性
Direct Connect + Site-to-Site VPN のポイント 33 経路制御 | オンプレミスへの経路伝達
❏ オンプレミスからAWSへ通信するために、AWS側のCIDRを伝達す る必要がある ❏ 今回の構成の場合、伝達方法は以下の通り ❏ Direct Connect Gatewayの「許可されたプレフィックス」でVPCの CIDRを指定 ❏ Site-to-Site VPNのTransit Gatewayアタッチメントに関連付けて いるTransit GatewayルートテーブルのCIDR
Direct Connect + Site-to-Site VPN のポイント 34 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ Direct Connect Gatewayの「許可されたプレフィックス」に設定可 能なCIDRの上限あり ❏ 2023/4のアップデートで、上限が20→200に増えている ❏ VPCのCIDRを集約できた方が、VPC追加等による変更箇所を少 なくできるため、要件定義フェーズで一度検討しておきたい
Direct Connect + Site-to-Site VPN のポイント 35 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ 一方で、Direct Connect Gatewayの「許可されたプレフィックス」で VPCのCIDRのみを集約した場合、Site-to-Site VPN側はVPC毎の CIDRを伝達することとなりロンゲストマッチが発生 ❏ ロンゲストマッチとなった場合、オンプレミス側は常にSite-to-Site VPN側の経路を優先してしまう
Direct Connect + Site-to-Site VPN のポイント 36 経路制御 | オンプレミスへの経路伝達
❏ 設計の注意点 ❏ ロンゲストマッチを回避するために、Site-to-Site VPN側にダミー経 路を追加し、オンプレミスのルータで不要な経路をフィルタする必要 がある
Direct Connect + Site-to-Site VPN のポイント 37 経路制御 | オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 38 経路制御 | オンプレミスへの経路伝達
DXGWと同じCIDRを伝達する ためにダミー経路を追加
Direct Connect + Site-to-Site VPN のポイント 39 経路制御 | オンプレミスへの経路伝達
オンプレミスのルータで不要 な経路をフィルタ
Direct Connect + Site-to-Site VPN のポイント 40 経路制御 | オンプレミスへの経路伝達
Direct Connect + Site-to-Site VPN のポイント 41 ASNの決め方 | AS(Autonomous
System) ❏ 自律システム(縄張り/管理が行き届く範囲) ❏ 複数のルータが集まって構成される ❏ ISP、企業、研究機関、拠点毎に存在するイメージ ❏ IGP(AS内のルーティングプロトコル)とEGP(AS間のルーティングプ ロトコル)を分ける概念
Direct Connect + Site-to-Site VPN のポイント 42 ASNの決め方 | ASN(AS番号)
❏ ASを識別する番号 ❏ BGPはAS間で経路情報を交換するEGPの一種 ❏ BGPによる接続が行われたBGPルータは経路情報を交換する ❏ 経路情報を伝え合うことで何番のASにどのようなネットワークが存 在するのかがわかる ❏ 受信した経路情報のAS_PATHに自分のASN(AS番号)が含まれ ている場合、その経路情報を破棄する
Direct Connect + Site-to-Site VPN のポイント 43 ASNの決め方 | 設計ポイント
❏ AWS側とオンプレミス側で分ける ❏ Transit GatewayとDirectConnect Gatewayで分ける ❏ 別のTransit Gatewayと接続する場合も分ける ❏ オンプレミスの拠点毎に分ける
Direct Connect + Site-to-Site VPN のポイント 44 ASNの決め方 | ASNの例
Direct Connect + Site-to-Site VPN のポイント 45 ASNの決め方
本セッションのまとめ 46
本セッションのまとめ 47 ❏ 冗長化の必要性や選択肢 ❏ ターゲットゲートウェイ毎の特性 ❏ Direct ConnectとSite-to-Site VPNを併用した
ルーティング周りの設計ポイント
48