adtech studio

Direct Connect Gateway を利用した海外リージョンとの接続

By komei

AWS ネットワーク

こんにちは。アドテクスタジオでネットワークエンジニアをしている山本 孔明です。

Direct Connect について

以前に VPCエンドポイントを使ったS3プライベートアクセスのススメ でも触れましたが、弊社ではプライベートクラウドと AWS を Direct Connect で接続しています。
日本の Equinix を経由しているため、AWS 東京リージョンとの接続に利用しています。ちなみに、 Direct Connect って何だろう?という人は以下の公式ページを参照してください。

https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/Welcome.html

イメージ図としては以下の通りなのですが、(構成にもよりますが) ざっくり言うと閉域網で AWS Direct Connect endpoint と Customer Router を BGP で接続して、AWS のVPC へ作成した Subnet を内部ネットワークとして扱うものです。

公式ページより引用

 

公式ページも記載がありますが、満たすべきネットワーク要件の一つに以下があり、東京( Equinix TY2, Tokyo, Japan )経由で接続を行っている場合は、AWS Direct Connect Endpoint として東京リージョンを選択することとなります。

ネットワークが既存している AWS Direct Connect ロケーションと同じ場所にある。利用可能な AWS Direct Connect ロケーションの詳細については、「AWS Direct Connect 製品の詳細」を参照してください。

Direct Connect Gateway とは?

従来の構成の Virtual Private Gateway と AWS Direct Connect Endpoint との間に入る仮想デバイスです。それで何が意味あるの?ってところなのですが、

Direct Connect Gateway を利用することで以下のメリットがあります。

  • 複数の VGW (仮想プライベートゲートウェイ)を接続することが可能
  • 作成すると複数のリージョンに Direct Connect Gateway が複製され、そのリージョンの VGWを接続することが可能

つまりこの Direct Connect Gateway を利用することで、海外のリージョンとプライベートクラウドを東京の Direct Connect 契約の上で実現することが可能となります。

US ので例になりますが、以下の図がイメージしやすいかと思います。

公式ページより引用

 

弊社でも既に半年程度の利用実績があり安定して稼働しています。今までは VPC ピアリングと NAT の組み合わせや VPN 接続をする必要がありましたが、シンプルな構成で作成できる点や VPN に比べてオーバヘッドが少ない点が大きなメリットと感じています。

Direct Connect Gateway の作成方法

作成方法は非常に簡単です。

1. Direct Connect Gateway の作成

Direct Connect を契約しているロケーションで作成してください。
名前と ASN 番号を入力するのみです。後々、VGW や VIF を接続していくための仮想デバイスです。

2. Virtual Interface の作成

自身のアカウントに Direct Connect 接続も対象の VPC も存在する場合は、My AWS Account を選ぶと、Direct Connect Gatewayを VIF 作成時に接続することが可能です。
※ マスターアカウントを持って、VIF を他のアカウントに作成する場合は、そちらのアカウントで VIF の作成を承諾する際に Direct Connect Gateway と接続することができます。

3. Direct Connect Gateway に VGW を接続

Direct Connect Gateway の設定画面から該当のデバイスを選択して、アクション -> 仮想プライベートゲートウェイの関連付けを選択します。
VGW には VPC を紐付けておく必要があります

4. ルートテーブルに VGW からのルート伝播

ルートテーブル -> ルート伝播 -> 仮想プライベートゲートウェイの伝播を「はい」に設定する

このあたりの手順は頻度によっては GUI で実施する必要はないかなと思います。自動化しておくと良いと思います。

まとめ

海外リージョンでも Direct Connect Gateway が見えますので、該当リージョンで 3 と 4 の手順を繰り返すことで東京の Direct Connect 接続に紐付いた Direct Connect Gateway に海外リージョンの VGW(VPC)を接続することが可能となります。

簡単に Ping を打ってみただけですが、都内の某所からバージニアまで140 から 150 msec 程度でした。

海外にシステム構築をしても社内の LDAP や共通システムなどを変えずに利用したいなどのニーズに容易に答えることが可能になりました。