「ほぼ週刊AWSマイスターシリーズ Reloaded 〜AWS Direct Connect〜」メモ

AWSのウェビナーを聞きました。

今回のテーマは、AWS Direct Connectで、講師はAmazonソリューションアーキテクトの荒木さんでした。

Direct Connectというのは、エンタープライズで話題沸騰中の専用線サービスですね。BtoB！ BtoB！

内容と質疑応答のメモを取ったので、貼っておきます。

AWS Direct Connect（公式、日本語ページ） http://aws.amazon.com/jp/directconnect/
Togetter http://togetter.com/li/253403 （by [twitter:@kaz_goto]さん）
AWS Direct Connect 詳細 - AWSマイスターシリーズ Reloaded http://www.slideshare.net/kentamagawa/aws-direct-connect-aws-reloaded

責任範囲の話や、冗長化を考えたときにどうするかという話のあたりが、特に参考になりました。ありがとうございました。

本編メモ

Direct Connectの特徴

使う場所は限定されない
- 相互接続ポイントまで回線を引きさえすればOK
帯域スループット向上
- 10Gbps、あるいは1Gbps、必要な専用線を引けばよい
インターネットベースの接続よりも、一貫した（ブレない）ユーザエクスペリエンスを提供
ネットワークコスト削減

課金

回線利用料＋データ転送量で計算される。

回線利用料は全リージョンで同じ値段
- 1Gbpsポート: $0.30/時間
- 10Gbpsポート: $2.25/時間
データ転送量は、AWSへのインは無料。アウトは $0.045/GB
- たとえば、通常のインターネット接続では $0.2/GB〜$0.12/GB

ただし、通信事業者の専用線サービス料金は別。AWSのコントロール下にないので注意。

注意点

Public IP transitは行わない
- EC2インスタンスをProxyサーバにできる
- VPCからインターネットゲートウェイを使えばpublicサービス（S3)なども使える
カスタマー間での直接通信はできない
リージョンごとの独立した契約

to Publicサービス: Public AS番号を使ったBGP接続
to VPC: Private AS番号を使ったBGP接続（これは、VPCをVPNで使う場合と同じ。IPSecトンネルの代わりに、専用線上にVLANがあると考える）

AS番号取得の手続きのポイント: 「少なくとも2つ以上のASと通信する」旨を伝えて、JPNICとかAPNICに申請する（1つはAWS、1つはtransit）。数が少なすぎると通らないことがあるので、少なくとも26bit、24bitくらいは取る。

Direct Connectで何ができるようになるのか？

AWSが、ネットワークとセキュリティへの3つの回答を提供します。

専用線
VPN接続（VPC）
シングルテナント（VPC内EC2）

東京リージョンにはS3（EBS）へのImport/Exportがありませんでした。これからは、代わりにDirect Connectをどうぞ。
また、そのうちImport/Exportの代行ビジネスなんかも、誰かやってください。（←えぇっ！？）

事例

オンプレミスとのハイブリッド環境

たとえば、DATAPIPE社のサービス http://www.datapipe.com/products_services/managed_cloud/ では、変動するリソースをAWSに置き、Oracle RACはオンプレミスのDCに構えている。

Amazon Storage Gatewayとの連携

オンプレミスにあるホストに、Virtual Applianceを入れる。（Virtual Applianceは、背後でアプリケーションサーバとiSCSIで通信する）

Virtual Applianceは、スナップショットをAWS Storage Gateway Serviceに送り、それがS3へ行く。

この時、VirtualAppianceとStorage Gateway Service間が、ただのSSLだと速度が足りない場合に、Direct Connectを使う。

（明後日、ウェビナーで扱うから聞いてね！とのことです）

バックアップのさらにバックアップに

lifeline社の BLACKCLOUD EDGE v1.0（http://www.itlifeline.net/BLACKCLOUD.html）では、その用途にStorage Gatewayを使っている。このとき、速度が必要なのでDirect Connectを利用。

マルチホーム（cloudhub）での利用

cloudhub（http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPN_CloudHub.html）とは、Virtual Private Gatewayがハブになる接続形態で、VPCにすでにある。

このハブへの接続はVPNだが、Direct Connectを利用してもよい。

キャリアの広域LANサービスでの使用

最もデータが集まるところに、AWSを一拠点として追加する。

Direct Connect 利用までの流れ

AWS DirectConnect接続のステップのフローチャートが提示されました。

回線業者さんの選定から始まって、いろいろ作業があります。。。

AWS Direct Connect Solution Provider

Equinix、KVH、NRI、NTT Communications、Softbank Telecom…（敬称略）

いろいろな手続きを肩代わりしてくれるので、面倒な人はお任せしましょう
自分でやるぞって人はSolution Providerの仕事にチャレンジしてね!

Direct Connectの構成概要

東京リージョンのDirect Connectの相互接続ポイントは、Equinix TY2（東京都品川区）です。AWSは、TY2内のAWS用ラックに、1Gbpsと10Gbpsの接続口を用意しています。

Direct Connectを使うには、まず、TY2と契約してラックを借りましょう。そこに必要な機器を自分で置きます。重要なのは、WAN終端装置とルーターです。

次に、エンドの拠点から（キャリア経由で）TY2内の自ラックに置いたWAN終端装置まで、線を引きます。そして、終端装置から、自ラックのVLANルーターへ繋げます。ここまでが、ユーザ側の責任範囲です。

最後に、上記のルータから、AWSラックのルータまで、TY2の構内配線で1Gbpsあるいは10Gbpxの線を繋いでもらいます。ここは、コロケーションプロバイダの責任範囲です。

AWSラックのルータから先は、AWSの責任範囲です。

論理接続の注意点

VLANを設置
Public向けの接続は1つのみ
VPC向けは複数
- ルーターにVLANを定義 → VPC作成 → VPN ゲートウェイIDをAWSに通知

ワンポイント

VPCでのIPSecトンネルに代わって、VLANを使う感じです。

だから、VPCで環境構築して、全部テストしてから、Direct Connectに移行してもいいかもしれませんね！

質疑応答

Direct Connectの試験環境を提供してくれるプロバイダは？物理接続のテストはやりにくいです…: 面倒なことはソリューションプロバイダーさんにお任せしましょう！ｗルーターのVLAN設定と、VPC設定が必要です。VPCでおなじみのIPSecの部分が、VLANになるだけではありますが・・・。AWSがconfigの検証をしているルーター（Cisco、Juniper、YAMAHA、他2社）等、BGP接続できるルータを選んでください。

大阪にもDirect Connectは来るんですか？: TY2のAWSラックというのは、2ラックあります。1ラックに1ルータが設置されています。そして、Meet-me-room（MMR）までの回線は、2系統です。ですから、もし冗長性が心配な場合は、まず、1Gbps、10Gbpsの構内配線を2本にすることを検討してください。次に、大阪など他地域の話になります。

具体的にどんなふうに接続できるんですか？: 自社で手配する場合、まず、回線業者を選び、1Gbpsか10Gbpsの回線を契約します。次に、TY2に接続点ラックを契約して、いろいろ置きます。AWSがEquinixさんを選んでいるのは、キャリアニュートラルだからです。 どんなキャリアの回線契約も、理論上可能。たとえば、極端な話、NGN光NEXTとかWiMAXサービスのキャリアとかもOKです。

AWSとprivateピアを張るという認識でいいんですか？: Yes. ただし、Direct Connectを利用したPublicサービスとの接続と、privateピアには、違いもあります。まず、AWSはISPではないので、お客様の回線をtransitしません。また、VPCへの回線は独立していて、Private AS番号を使います。この場合、Private Peeringという言い方はそぐわないでしょう。

西海岸の二箇所（北カリフォルニアのロサンジェルスとサンノゼ）は、どう使い分ければいいんでしょう？オレゴンには繋げられないのでしょうか？: ロサンジェルスに近ければCoreSite、シリコンバレーに近ければEquinixを使ってくださいね、といった感じです。でも、場合によっては、両方ももちろん有りです。要望の量や精度によっては、今後増やしていいきます。オレゴンやサンパウロは、いつとはいえませんが、近い将来に予定しています。

日本の料金は税込ですか？: おそらく。確認します。

構内配線の耐障害性、冗長性はどうなってますか？また、専用線のバックアップ回線はあるんですか？: お客様ラックにももう1個ルータを置いて、AWS側の2台のルータと、それぞれ繋ぐことになると思います。VPCのRedundant Connection（http://aws.typepad.com/aws/2011/08/amazon-vpc-far-more-than-everywhere.html）と同じで、BGP的に切り替わります。他にも、VRRP（Virtual Router Redundancy Protocol）を使ってもいいでしょうし、エンド拠点からTY2さんまでのキャリアの管路を2本以上用意するのもいいと思います（その場合、Equinixさんに2本の経路を引きたいと相談すればよいです）。もちろん、AWSラックのルータからAWSへは、複数本の回線で冗長化しています。もしTY2さん自体が災害の影響を受けたら？という質問には、インターネット側での別サイトや、マルチリージョンを提案しています。

（お客様ラックのルーターA）□――――（構内配線）――――■（AWSラックその1のルーター）
（お客様ラックのルーターB）□――（別系統の構内配線）――■（AWSラックその2のルーター）

# こんな感じでしょうか。

Direct ConnectのSLAはありますか？: 定義していません。AWSの他のサービスと同じ 99.95% は、最低あります。Direct Connectは、他のサービスと一緒に使うものなので、トータルで考えてください。

ソリューションプロバイダーの対応や支援状況はわかりますか？: プロバイダーさんに直接聞いてください。オープンになっている情報としては、Equinixさんはコロケ貸しなので場所を借りたいときは相談してください。広域LAN話は、キャリアさんとして、NTTコムさんとソフトバンクテレコムさんにどうぞ。

災害時の復旧予想時間はどれくらいですか？: はっきりいえません。というのも、責任範囲が、AWS、コロケーション、ネットワークプロバイダ…と分かれているからです。キャリアさんの回線が壊れたら、今時であれば数十msecで切り替わるでしょう。お客様ラックのルーターが壊れたら、4h以内に駆けつけて直す等でしょうか？（注※運用次第ですね）。AWSラック内のルーターが壊れたら、速やかに回復するよう努力します。

・・・

以上でした。