📌

[ANS-C01]Direct Connect まとめ

2023/02/06に公開

AWS

network

ans

tech

Direct Connect

イメージはAWSとオンプレミス環境を接続する占有線サービス
→正しくはDirect Connectロケーション内でAWSと接続するサービス

開始方法

コンソール上から接続の作成を行う　※ここがリクエスト
LOA-CFAをダウンロードする (Letter of Authorization and Connecting Facility Assignment )
クロスネットワーク接続 (別名クロスコネクト) を完了する
VIFを作成する
ルータ設定用ファイルをダウンロードする(VIFのステータスがアップになってから)

※接続リクエスト後にポートスピードの変更はできない

占有型

単一のユーザが占有する接続
　→コンソール/CLI/API経由でのリクエストを行う
指定できるポートは 1/10/100Gbps

ホスト型

Direct Connectパートナーがプロビジョニングを行う
　→リクエスト先はDirect Connectパートナープログラムのパートナー
指定できるポートは 50/100/200/300/400/500Mbps, 1/2/5/10Gbps

クロスコネクト

AWS Direct Connect ロケーションに設置した機器をAWSネットワークに接続すること
　→完了することでVIFの作成が可能になる

機器がまだ設置できていない場合、APNのパートナー企業に設置依頼を行う

LAG

Link Aggregation Group
複数の接続を論理的に集約し利用できる帯域幅を増やす

最大リンク数は4(1GBか10GB)、占有型、同一の帯域幅、同一のDirect Connectエンドポイントで終了する必要アリ

作成時、作成後両方でLAGの設定を行うことは可能
　→作成後の場合、LAGの作成中に通信断が発生する

要件

イーサネットトランスポート
シングルモードファイバ
1000BASE-LX、10GBASE-LR、100GBASE-LR4
802.1Q VLANのサポート

VIF

AWS Direct Connect 仮想インターフェイス

パブリックVIF

AWSのパブリックサービスにアクセスを行う
S3などへの接続やSite-to-Site VPNの使用時
※現在S3へはPrivateLinkでの接続が可能だがコストに注意

プライベートVIF

VPC内のリソースに対してアクセスを行う
Direct Connect ゲートウェイタイプが推奨されている
　→VGWと違い複数のVPCに対して接続可能なため

トランジットVIF

Direct Connectゲートウェイに関連付けられたTransit Gatewayにアクセスを行う

ホスト型VIF

別アカウントのDirect Connect接続を使用する際に使う
パブリック/VPCリソースにアクセス可能

BGP

Border Gateway Protocol
AS間の経路情報を広報するルーティングプロトコル

ASパス属性

以下がルーティング時の優先度
We Love Oranges AS Oranges Mean Pure Refreshment
*訳注：直訳すると「私たちはオレンジが好きです。なぜならオレンジは純粋な、(私たちを) リフレッシュさせてくれるもの、を意味するから。」
　→Weight, Local Pref, Originate, AS_PATH, Origin, MED, Paths, RouterID

Direct Connectで使用できるのはLocal Pref/AS_Path/MED
　→パブリックVIFの場合、パブリックAS利用時のみでAS_Path属性が使用可能

Local Pref

一番優先される
高い値が優先される

AS_Path

経路広告が通過したAS番号を連結したもの
短いほど優先される

MED

低い値が通線される
特定の経路を指定する際に使用する

AS番号

パブリックASN(AS番号)を使用する場合、ユーザが所有しているもの
プライベートASNを使用する場合、64512 ~ 65535

コミュニティタグ

BGPでのルート公告時に付与、優先度の決定に使用

パブリックVIFで使用可能

AWSに広告するプレフィックスの伝播を制御するためのBGP コミュニティ

7224:9100—ローカル AWS リージョン内のみに伝播
7224:9200—同じ大陸のすべての AWS リージョン (例：北米全域)に伝播
7224:9300—グローバル (すべてのパブリック AWS リージョン)に伝播
デフォルト＝すべてのパブリック AWS リージョン (グローバル) に伝播
※7224:1 - 7224:65535 はDirect Connectに予約されている

AWSが広告するプレフィックスに付与されるBGP コミュニティ

7224:8100— AWS Direct Connect のプレゼンスポイントが関連付けられている

AWS リージョンと同じリージョンから送信されるルート

7224:8200—AWS Direct Connect のプレゼンスポイントが関連付けられている大陸と同じ大陸から送信されるルート
タグなし—グローバル (すべてのパブリック AWS リージョン)

プライベートVIFで使用可能

AWSに広告する経路のローカルプリファレンスを制御するためのBGPコミュニティ

7224:7100—優先設定: 低
7224:7200—優先設定: 中
7224:7300—優先設定: 高

VPN

パブリックVIFを使用して接続
接続先はVGW

冗長構成

デュアルロケーションでの分散（同一/他リージョン構成）

iBGPをオンプレルータで使用し、パス属性ベースで制御

AWSからのルート評価は以下の順

より詳細な(サブネットマスクが小さな)ルート
BGP Local Preference Community タグ
BGP AS Path 属性

Active/Activeの場合、AWSへ送信するBGPルートのASパス長、LPコミュニティパス、MEDとAWSから受信するBGPルートのLP値を同一にする必要アリ

Active/Standbyの場合、AWSへ送信するBGPルートのASパス長をStandby側長くなるようにする(AS-Path Prepend)、AWSから受信するBGPルートのLP値をStandby側で小さくなるようにする

BFDの有効化はユーザルートの設定に依存。検出間隔の最低は300ミリ秒×3回(約1秒)

Direct Connect ゲートウェイ

VGWとプライベートVIFをグループ化する機能
オンプレミスとVPCを1対多で接続する

関連付けは1つのプライベートVIF+Direct Connect ゲートウェイで10VPCまで可能

※VPC間でのルーティングは不可のためPeeringまたはTGWの利用が必要

制限

BGPセッションの広告数は最大100
　→超えた場合セッションが停止する
そのため経路集約を検討する