Direct Connectを触ってみた

Transcript

1. 東京オフィス(本社) 〒108-0073 東京都港区三田3-13-16 三田43MTビル12F ベトナムオフィス 7th Floor, Mercury Building, No.444

   Hoang Hoa Tham Street, Thuy Khue ward, Tay Ho District, Hanoi city 札幌オフィス 〒060-0004 北海道札幌市中央区北4条西6-1 毎日札幌会館9F シリコンバレーインキュベーションセンター 3350 Scott Blvd. #29 Santa Clara, CA 95054 株式会社ビッグツリーテクノロジー＆コンサルティング Direct Connectを触ってみた 2024年7月12日

2. 2 Copyright © 2024 BTC Corporation All Rights Reserved. 自己紹介

   宇都宮 郁香（うつのみや ふみか） • 2022年 新卒入社 3年目 • DX事業部所属 • 新卒から現在まで某官公庁のクラウドCoE業務を担当 ＜保有資格＞

3. 3 Copyright © 2024 BTC Corporation All Rights Reserved. 用語説明

   Direct Connect ◼ 専用線とは、ある特定の拠点間を物理的（あるいは論理的）に1対1で接続するサービス GSS（ガバメントソリューションサービス） ◼ 府省など行政機関の業務用PCやネットワーク環境などの業務実施環境を、政府共通の標準的な環境とし てデジタル庁が提供するサービス Direct Connect

4. 4 Copyright © 2024 BTC Corporation All Rights Reserved. 実際の構成と作業内容

   AWS Cloud 東京リージョン システムA 基盤 TGW1 TGW2 Direct Connect Gateway 1 D庁アカウント Direct Connect Gateway 2 GSS 従来 のNW VPC（A.A.A.A） 疎通確認用EC2 従来は、Direct Connectに、Transit Gatewayを利用して約25アカウントが接続していました。 Direct Connectの接続と、25アカウント分のTGWの切替作業を実施しました。 システムB VPC（B.B.B.B） 疎通確認用EC2

5. 5 Copyright © 2024 BTC Corporation All Rights Reserved. 大変だったポイント①

   AWS Cloud 東京リージョン システムA 基盤 TGW1 TGW2 Direct Connect Gateway 1 D庁アカウント Direct Connect Gateway 2 GSS 従来 のNW VPC（A.A.A.A） 疎通確認用EC2 関係者やAWSアカウント間が増えたため、利用料の負担先や運用方法を事前に明確化し、 調整することが難しかった。 システムB VPC（B.B.B.B） 疎通確認用EC2 DNS DNS

6. 6 Copyright © 2024 BTC Corporation All Rights Reserved. Direct

   Connectの接続方式 No. 接続方式 概要 帯域保証 帯域幅 冗長化 用途 コスト ① 専用接続 ・物理的な専用回線 をAWSとの間に確立 有 ・ 1 Gbps ・ 10 Gbps ・100 Gbps ・専用接続を1つだけでは 冗長化構成とはならない ※DXロケーションを2つ、 かつ各ロケーションに2接 続が望ましい ・大量のデータ転送 ・低遅延、高いネットワー クパフォーマンスが求めら れる 高 ② ホスト型接続 ・Direct Connect デリバリーパートナーを 介してAWSと接続 有/無 ※ ※デリバリー パートナーによる ・ 50 Mbps ・100 Mbps ・200 Mbps ・300 Mbps ・400 Mbps ・500 Mbps ・ 1 Gbps※ ・ 2 Gbps※ ・ 5 Gbps※ ・ 10 Gbps※ ※1~10 Gbpsは デリバリーパートナー による ・ホスト型接続を１つだけ では冗長化構成とはなら ない ・中小規模のデータ転送 が主で、専用接続ほどの 帯域やパフォーマンスが不 要な場合 中 ③ ホスト型VIF ・Direct Connect デリバリーパートナーを 介してAWSと接続 ・ホスト型接続を更に 細分化し、複数の エンドユーザーで共有 有/無 ※ ※デリバリー パートナーによる ・ 50 Mbps ・100 Mbps ・200 Mbps ・300 Mbps ・400 Mbps ・500 Mbps ・ 1 Gbps ・ 2 Gbps ・ 5 Gbps ・ 10 Gbps ・ホスト型接続を１つだけ では冗長化構成とはなら ない ・複数のAWSアカウントを 持つ組織 ・リソース共有が必要 低 Direct Connectには、3つの接続方式が存在します。

7. 7 Copyright © 2024 BTC Corporation All Rights Reserved. Direct

   Connectのランニングコスト ランニングコスト 内訳 接続方式 データ転送の向き先 料金負担先 ポート使用料 ホスト型接続/ホスト型VIF ー ポートを所有しているDirect Connectデリバリーパート ナー 専用接続 ー ポートを所有している AWSアカウント データ転送料 ー データ転送アウト (AWS→オンプレミス) データ転送元となるAWSサービスを所有するアカウント データ転送イン (オンプレミス→AWS) （課金対象ではない） 参考：https://aws.amazon.com/jp/directconnect/pricing/ Direct Connectの月額利用料の内訳 Direct Connectのランニングコスト（利用料）はポート使用料とデータ転送量に大別されます。 • ポート利用料は、Direct Connectの接続方式よって料金負担先が異なります。 • マルチアカウント構成の場合、利用料の負担先が複雑になる可能性があるため、注意が必要です。

8. 8 Copyright © 2024 BTC Corporation All Rights Reserved. 大変だったポイント②

   AWS Cloud 東京リージョン システムA 基盤 TGW1 TGW2 Direct Connect Gateway 1 D庁アカウント Direct Connect Gateway 2 GSS 従来 のNW VPC（A.A.A.A/22） 疎通確認用EC2 切替前後のNWがそれぞれつながっているため、Direct Connect側で広報設定が必要でした。 システムB VPC（B.B.B.B/22） 疎通確認用EC2 許可されたプレフィックスの設定が必要 システムBに接続したい場合に2つの経路が存在 するが、B.B.B.B/22への通信はDXGW2に行く よう広報設定をする

9. 9 Copyright © 2024 BTC Corporation All Rights Reserved. 大変だったポイント③

   AWS Cloud 東京リージョン システムA 基盤 TGW1 TGW2 Direct Connect Gateway 1 D庁アカウント Direct Connect Gateway 2 GSS 従来 のNW VPC（A.A.A.A） 疎通確認用EC2 オンプレ側のNWやサーバについての情報共有ができておらず、特にDNSサーバ関連の問題が複数 発生しました。 システムB VPC（B.B.B.B） 疎通確認用EC2 DNS関連は要注意 • DNSサーバに登録する設定内容だけでなく、 申請先についても事前に明確化しておく。 • 申請から設定まで2週間ほどのリードタイムがか かるため注意 • AWSリソースの名前解決方法について、GSS から許容されている方式か要確認 DNS DNS

10. 10 Copyright © 2024 BTC Corporation All Rights Reserved. 小ネタ：実際に切替に失敗した事例

    AWS Cloud 東京リージョン 接続 TGW1 TGW2 Direct Connect Gateway 1 D庁アカウント Direct Connect Gateway 2 GSS 従来 のNW マルチAZ構成であるのに関わらず、TGW Attachmentを1つのAZでしか作成しなかった。 →TGW Attachmentは、TGWとの通信が発生するAZ毎に1つ作成する必要があります。 システムB VPC（B.B.B.B） DNS DNS Private AZ A Private Private Private AZ C TGW Attachment TGW Attachment AZ CでTGWを作成していないと、EC2 Cは TGWもといDirect Connectを利用して通信が できなくなってしまうため、注意 EC2 A EC2 C