技術記事

AWS Direct Connectに入門する

AWS Direct Connectを理解したかったので書きます。

AWS SAPの勉強を通していろんなサービスとその技術を学びたいぞシリーズ。
今回はAWS Direct Connectを勉強した。

AWS Direct Connectについて

オンプレミスとAWSを専用線で結び、色々なメリットを享受するサービス。

じゃあどんなメリットが享受できるのか、つまりなんでDirect Connectを使うのか。そして専用線で結ぶとはどんなことを指しているのか。

専用線を使いたい理由はほとんど決まっている気がしていて、だいたいセキュリティ強化・パフォーマンス強化のため。どれくらいパフォーマンスが強化されるかというと、Direct Connectには100Gbpsのデータ転送を最大で提供する。自分の家の回線速度を測ってみると200Mbpsだったので50倍…?。さらに通常インターネットと違って専用線なのでネットワークが安定しているのも良い。

さきほど最大で100Gbpsといったが、Direct Connectは接続を作成する時に速度を選ぶことができる。専用線タイプだと1Gbps,10Gbps,100Gbpsから選択可能で、ホスト接続タイプだともっと柔軟で50Mbps,100,200,300,400,500,1Gbps,2,5,10から選択可能。専用線とホスト接続については後述する。

セキュリティの強化は、単にパブリックのインターネットをパケットが通過しないという意味で傍受のリスクが減り、セキュリティが向上する。実はDirect Connectのトラフィックは暗号化されておらず、暗号化するにはAWS Site-to-Site VPNを使う必要がある。
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/encryption-in-transit.html

AWS Direct Connectの仕組み

オンプレミスとAWSを1本の物理ネットワーク線で結ぶわけではない(過去の自分)。

BlackBeltを読む限り、Direct Connect LocationというAWSが用意しているデータセンターがあり、そのDirect Connect Locationとやらに接続するサービス。

image
https://d1.awsstatic.com/webinars/jp/pdf/services/20210209-AWS-Blackbelt-DirectConnect.pdf

Direct Connect LocationにはAWSのラックがあるようで、そこにガチャっと回線を差し込むイメージ。ただしこの話はユーザーの機器がデータセンターにある専用接続パターンであり、一般的(しらんけど)には回線提供事業者の回線を使ってDirect Connectを実現するパターンが多いと思う。そのパターンだとユーザーがガチャっと物理線を差し込んだりする手順はない。回線提供事業者はパートナーと呼ばれていて、AWSのドキュメントに載っている。

以下の記事を読みながらもう少し詳しく見る。
https://dev.classmethod.jp/articles/direct-connect-guide/
https://oji-cloud.net/2019/12/18/post-3759/
https://blog.serverworks.co.jp/2021/04/05/100639

Location内の接続について

ドキュメントを読むと、専用接続とホスト接続の2つの接続パターンがある。

専用接続はユーザーの機器がLocationにあるパターンで、物理イーサネット接続を構成する。ホスト接続はAWS Direct Connectパートナーが物理接続を行っていて、ユーザーはそこから論理接続を借りるパターン。ホスト接続はさらに専有型・共有型に分かれている。

専有型は物理接続を丸ごとユーザーに渡すパターンで、共有型は接続はVIF(論理インターフェース)を提供してもらう。

VIFについて

仮想インターフェースとは、接続を通してAWSリソースにアクセスするための仮想的なインターフェースのことで、
BGPピアたるものを確立するらしい。BGPとはルーティングプロトコルの一種で、これによりユーザ側とAWS側のルーティング情報が伝達され、経路が確立するという仕組みらしい。

VIFには3種類あるので、おそらく用途に合わせてVIFを作成する。

  • public vif
    • パブリックIPを使ってAWSのパブリックサービスにアクセスする。すべてのリージョンにアクセスできる。
  • private vif
    • プライベートIPを使ってAWS VPC内のリソースにアクセスする。1つのVPCに対して1つのVIFが必要。
  • transit vif
    • Transit Gatewayを使っている場合にはこれを指定する。Transit VIFは1,2,5,10Gbpsの接続しか認められておらず、さらに共有型接続では使えない。

終わりに

概念は分かったけどネットワークに詳しくないために何が起きているかはさっぱり。

© 2024 takamin_55's blog
のんびり生きていきたい。
Image by Freepik
Built with Hugo
Theme Stack designed by Jimmy