AWS Direct Connect の回復性に関する推奨事項
AWS Direct Connect を使用して回復性を最大限まで向上
アマゾン ウェブ サービス (AWS) で、Amazon Virtual Private Cloud (Amazon VPC) およびオンプレミスのインフラストラクチャ間で回復性の高いネットワーク接続を実現できます。お客様は、この機能により信頼性が高く、スケーラブルで費用対効果に優れた方法で AWS のリソースを利用することができます。このページでは、AWS Direct Connect で確実に高い回復性を実現するベストプラクティスについて説明します。
推奨されるベストプラクティス
回復性が高く、耐障害性のあるネットワーク接続は、優れたアーキテクチャのシステムを実現する鍵となります。AWS では、複数のデータセンターから接続して物理的なロケーションの冗長性を確保することを推奨します。リモート接続を設計する際は、冗長ハードウェアおよび通信プロバイダーの使用をご検討ください。さらに、冗長ネットワーク接続全体で自動ロードバランシングおよび自動フェイルオーバーを行うために動的にルーティングされたアクティブ/アクティブ接続を使用することがベストプラクティスです。十分なネットワーク容量をプロビジョニングし、1 つのネットワーク接続に障害が起きても冗長接続がひっ迫・低下しないようにする必要があります。
AWS に接続するときは、次のトポロジーガイドラインを念頭に置いてください。
最大限の回復性: 重要な本番ワークロード向けのマルチサイト冗長デプロイ
個々の接続の終端が、複数のロケーションでそれぞれのデバイスにつながると最大の回復性が実現します。この設定により、お客様は障害に対し最大の回復性を実現できます。上記の図が示すとおり、このようなトポロジーでファイバー切断やデバイス障害、完了するロケーションの障害による接続障害に対する回復性が得られます。AWS Direct Connect ゲートウェイを使用し、あらゆる AWS Direct Connect ロケーションからどの AWS リージョン (中国の AWS リージョンを除く) にもアクセスできます。
回復性を最大化するための AWS Direct Connect サービスのコミットメントの詳細については、こちらのマルチサイト冗長 SLA を参照してください。
高い回復性: 重要な本番ワークロード向けのマルチサイト非冗長デプロイ
複数の場所にそれぞれ 1 つの接続を用意して高い回復性を実現するには、マルチサイト非冗長デプロイが推奨されます。上記の図が示すとおり、このようなトポロジーでファイバー切断やデバイス障害、完了するロケーションの障害による接続障害に対する回復性を確保します。AWS Direct Connect ゲートウェイを使用し、あらゆる AWS Direct Connect ロケーションからどの AWS リージョン (中国の AWS リージョンを除く) にもアクセスできます。
高い回復性を実現するための AWS Direct Connect サービスのコミットメントの詳細については、こちらのマルチサイト非冗長 SLA を参照してください。
重要ではないワークロード向けのシングルサイト冗長デプロイ
高い回復性を必要としない非クリティカルなワークロードについては、単独のロケーションで別のデバイスに終端がつながる 2 つ以上の接続を備えることで、シングルサイト冗長デプロイを推奨します。上記の図に示すとおり、あるロケーションでデバイス障害が起きた場合にこのようなトポロジーが役に立ちますが、全体のロケーションで障害が起きた場合には効果がありません。
本番環境のワークロードでは、AWS はマルチサイト冗長デプロイまたはマルチサイト非冗長デプロイ以外のデプロイを使用することをお勧めしません。
マルチリージョン回復性
回復性を高めるために、お客様はマルチリージョンフェイルオーバーを利用することもできます。これは、Transit Gateway Cross Region ピアリングと Direct Connect Gateway を使って実現できます。このブログでは、そのような実装を紹介しています。
Direct Connect のバックアップとしての AWS Site to Site VPN 接続
低コストのバックアップ接続とともに、プライマリ接続用に AWS Direct Connect を AWS に 1 つ以上接続するというメリットを求めるお客様もいます。VPN バックアップを用いて AWS Direct Connect 接続を確立することで、この目的を達成できます。
AWS Site to Site VPN は、VPN トンネルあたり最大 1.25 Gbps のスループットをサポートしますが、複数の AWS Site to Site VPN トンネルが同じ VGW で終了する場合、送信データの ECMP (Equal Cost Multi Path) はサポートしません。そのため、AWS Site to Site VPN を AWS Direct Connect 接続のバックアップとして 1 Gbps を超える速度で使用することは推奨されません。
回復性を高めるために、AWS のお客様は、AWS Direct Connect 接続のバックアップとして、AWS Transit Gateway で終端する AWS Site to Site VPN の使用を検討することができます。AWS Site to Site VPN と Transit Gateway を併用することで、複数の VPN トンネルでトラフィックを ECMP し、最大 50 Gbps を実現することができます。ただし、単一の VPN トンネルの帯域幅は 1.25 Gbps に制限されていることに注意が必要です。
AWS Direct Connect パートナーの選択に関する推奨事項
AWS Direct Connect パートナーは、お客様が AWS Direct Connect ロケーションとそのデータセンター、オフィス、またはコロケーション環境の間でネットワーク接続を確立するのをサポートします。AWS Direct Connect パートナーを選択する場合は、予算的に可能であれば 2 つのベンダーを採用することを検討し、プライベートネットワークの多様性を確保してください。接続をプランニングする場合、選択したパートナーと相談のうえ、上記のベストプラクティスのうちお客様のニーズに合ったものを決定し、実現に向けてパートナーが支援できる方法を検討してください。
まとめ
複数の AWS Direct Connect ロケーションでは、静的にルーティングされた接続よりも、動的にルーティングされた AWS への接続を複数使用することを推奨します。これにより、リモート接続が自動的にフェイルオーバーできるようになります。また、動的ルーティングにより、リモート接続でオンプレミスネットワークへの使用可能な優先ルート (該当する場合) を自動的に使用できます。高い回復力を備えた接続には、同じ物理的場所から接続している場合でも冗長なハードウェアが必要です。単一の AWS Direct Connect デバイスに接続する単一のオンプレミスデバイスに依存しないようにしてください。ミッションクリティカルなワークロードのバックアップとして、AWS Transit Gateway で終端する AWS Site to Site VPN の利用を検討することができます。また、Transit Gateway Cross Region Peering や Direct Connect Gateway を利用したマルチリージョンフェイルオーバーも検討することも考えられます。