AWS Direct Connectの基本とAWS側の設定手順

この記事を書いたメンバー:

榊原慶太

AWS Direct Connectの基本とAWS側の設定手順

目次

ハイブリッドクラウドコンサルティング部の榊原です。
先日、個人の環境では中々触れないAWS Direct Connectの設定を経験できました。
せっかくなので知識整理がてら基本知識とAWS側の設定手順を記します。

基本説明

Direct Connectとは

AWSを勉強したての時、私は「Direct ConnectとはAWS-お客様のオンプレミス環境間を専用線でつないでくれるサービスだ」と思い込んでいました。しかし実際は違います。AWS公式Blackbeltの13ページ目が分かりやすいのでこちらから図と説明を引用します。

(Direct Connectとは)お客様がキャリヤから調達する専用線の片端とAWS Cloudを、Direct Connectロケーションで接続するサービスです

Direct ConnectだけでAWSとオンプレミス環境を通信できるわけではありません。別途通信キャリヤとの契約が必要です。失礼しました。こちらは自分でDXロケーションに機器を置いて設定も可能です。

Direct Connectロケーションとは

上でご覧いただいた通り、会社のデータセンターとAWSの間にはDirect Connectロケーションというものがあります。Direct Connectロケーションの説明は書籍「要点整理から攻略する『AWS認定 高度なネットワーキング-専門知識』」の記述がわかりやすかったので、こちらから引用します。

ダイレクトコネクトロケーションはデータセンター事業者によって運営されている世界各地のデータセンターであり、AWSの個々のリージョンに複数、用意されています。(中略)大阪リージョン(ap-northeast-3)については1つも用意されておらず、東京リージョンと兼用するという扱いになっています。

このダイレクトコネクトロケーションはAWSが保有や管理しているデータセンターではなく、あくまでもデータセンター事業者によりコロケーション(ハウジング)サービスを行うデータセンターとして提供されています。つまり、AWS自身もコロケーションサービスの利用者としてデータデンター事業者と契約してダイレクトコネクトルーターを設置しているという関係です。

さて、今回Direct Connectで接続したいAWSリソースは大阪リージョンにありました。上記引用部分にある通り、大阪リージョンでDirect Connectを使う場合、東京リージョン用のダイレクトコネクトロケーションを使用するのがポイントです。Direct Connectロケーションの公式ページを見ると、2023年10月8日現在、東京リージョン用のDirect Connectロケーションは東京と台北に2か所、大阪、印西に1か所存在します。なので大阪リージョンをメインで扱う場合、大阪に存在する東京リージョン用のDirect Connectロケーションを選択しましょう。

東京リージョンのDirect Connectロケーションで大阪リージョンでアクセスできるのかという疑問については、AWS Direct Connectのドキュメントに答えがありました。一つDirect Connect接続を用意できれば、中国リージョンを除いた他のリージョンにもDirect Connect接続が可能です。下に引用文を記します。

パブリックリージョン、または AWS GovCloud (US) 内の AWS Direct Connect ロケーションは、その他すべてのパブリックリージョン (中国 (北京および寧夏) を除く) のパブリックサービスにアクセスできます。パブリックリージョン、または AWS GovCloud (US) 内の AWS Direct Connect 接続を、その他すべてのパブリックリージョン (中国 (北京と寧夏) を除く) にあるアカウントの VPC にアクセスするように設定することもできます。したがって、単一の AWS Direct Connect 接続を使用して、マルチリージョンサービスを構築できます。パブリック AWS サービスにアクセスするか、別のリージョンの VPC にアクセスするかに関係なく、すべてのネットワークトラフィックが AWS グローバルネットワークのバックボーンで保持されます。

仮想プライベートゲートウェイ(VGW)とは

VPN接続やDirect Connectを使う際、VPC側で用意するゲートウェイです。VGWはVPCに対して一つしかアタッチできないのでご注意ください。

前提

対象の構成は以下の通りです。また、あくまでAWS側の操作に焦点を当てているため、本記事で説明するのは下記構成図の赤マスク部分です。仮想インターフェース(Virtual Interface, 以下VIF)の構築、データセンターとDirect Connectロケーション間の設定、VPCやサブネット等の構築は完了しているものとします。

VIFにはいくつか種類がありますが、今回はVPC内のリソースにアクセスしたいのでプライベートVIFを使用します。

手順詳細

Direct Connectを実装するまでに必要な全体手順は以下の通りです。
本記事では➃の手順を解説します。
➀Direct Connectロケーションの選択
➁物理接続の準備
➂物理接続内の仮想インターフェースを用意
➃Direct Connectゲートウェイを用意し接続(AWS操作)

VGWの構築・設定

VPCのコンソールからVGWを作成します。ちなみにここで設定するVGWのプライベートASNですが、このあと設定するDirect Connect ゲートウェイにも同じプライベートASNが使用できます。(AWS 公式ドキュメントより


VGWが作成されますので接続したいリソースがあるVPCにアタッチしましょう。


VGWがVPCにアタッチされたらVGWの構築と設定は完了です。

Direct Connectゲートウェイの構築・設定

Direct ConnetcのコンソールからDirect Connect ゲートウェイを作成します。


サイドバーの「仮想インターフェイス」、対象の仮想インターフェイスを、「承諾する」を選択します。リージョンがap-northeast-1になっていますが、上で説明したとおり大阪リージョンでDirect Connectを使用する際は東京リージョンのDirect Connectロケーションを使うので問題ないです。


VIFの状態が「available」になるまで待ちます。一旦状態は「down」となるのですが、しばらくすると「available」になります。(なぜこのような挙動となるかは不明です。)availableになるまでは約15分ほどかかりましたが、余裕を見て30分ほど時間がかかると考えておくとよいでしょう。


Direct Connect GatewayとVIF側の接続は完了したので、次はDirect Connect GatewayとVGWの接続を行います。サイドバーのDirect Connect ゲートウェイから作成したDirect connectゲートウェイを選択し、ゲートウェイの関連付けから、「ゲートウェイを関連付ける」を選択します。


ゲートウェイには先ほど作成したVGWを、許可されたプレフィックスにはVGWにアタッチしたVPCのCIDRを選択して「ゲートウェイを関連付ける」を選択します。


以上でDirect Connect Gatewayの設定は完了です。

ルートテーブルの編集

仕上げにAWS内の接続したいリソースが存在するサブネットが使用するルートテーブルを編集します。送信先の社内IPのターゲットを先ほど作成したVGW(vgw-xxx)に設定すれば完了です。スクリーンショットは省略します。

これで疎通可能になります。もしうまくいかない場合はAWS側のセキュリティグループやNACL等、あるいはオンプレ側のセキュリティアプライアンスの設定等を確認しましょう。

最後に

今回はDirect Connectの基本説明、AWS側の設定手順について記しました。入社してからやりたいことの一つに、「プライベートでは中々触れないサービスの経験をしたい」という希望があったので今回叶って本当によかったです。ここまでお読みいただきありがとうございました。

カテゴリー
タグ

この記事を書いたメンバー

榊原慶太
榊原慶太

技術検証、re:Invent参加、AWS資格全冠のための勉強教材等、幅広く記事にしています。皆様のお役に立てば幸いです。最近は会社ブログメインで記事投稿しています。

SAPシステムや基幹システムのクラウド移行・構築・保守、
DXに関して
お気軽にご相談ください

03-6260-6240 (受付時間 平日9:30〜18:00)