「ほぼ週刊AWSマイスターシリーズ Reloaded 〜AWS Direct Connect〜」メモ

AWSのウェビナーを聞きました。

今回のテーマは、AWS Direct Connectで、講師はAmazonソリューションアーキテクトの荒木さんでした。

Direct Connectというのは、エンタープライズで話題沸騰中の専用線サービスですね。BtoB! BtoB!

内容と質疑応答のメモを取ったので、貼っておきます。

責任範囲の話や、冗長化を考えたときにどうするかという話のあたりが、特に参考になりました。ありがとうございました。

本編メモ

Direct Connectの特徴
  • 使う場所は限定されない
    • 相互接続ポイントまで回線を引きさえすればOK
  • 帯域スループット向上
    • 10Gbps、あるいは1Gbps、必要な専用線を引けばよい
  • インターネットベースの接続よりも、一貫した(ブレない)ユーザエクスペリエンスを提供
  • ネットワークコスト削減
課金

回線利用料+データ転送量で計算される。

  • 回線利用料は全リージョンで同じ値段
    • 1Gbpsポート: $0.30/時間
    • 10Gbpsポート: $2.25/時間
  • データ転送量は、AWSへのインは無料。アウトは $0.045/GB
    • たとえば、通常のインターネット接続では $0.2/GB〜$0.12/GB

ただし、通信事業者の専用線サービス料金は別。AWSのコントロール下にないので注意。

注意点
  • Public IP transitは行わない
  • カスタマー間での直接通信はできない
  • リージョンごとの独立した契約
to Publicサービス
Public AS番号を使ったBGP接続
to VPC
Private AS番号を使ったBGP接続(これは、VPCVPNで使う場合と同じ。IPSecトンネルの代わりに、専用線上にVLANがあると考える)
AS番号取得の手続きのポイント
「少なくとも2つ以上のASと通信する」旨を伝えて、JPNICとかAPNICに申請する(1つはAWS、1つはtransit)。数が少なすぎると通らないことがあるので、少なくとも26bit、24bitくらいは取る。
Direct Connectで何ができるようになるのか?

AWSが、ネットワークとセキュリティへの3つの回答を提供します。

東京リージョンにはS3(EBS)へのImport/Exportがありませんでした。これからは、代わりにDirect Connectをどうぞ。
また、そのうちImport/Exportの代行ビジネスなんかも、誰かやってください。(←えぇっ!?)

事例
  • オンプレミスとのハイブリッド環境

たとえば、DATAPIPE社のサービス http://www.datapipe.com/products_services/managed_cloud/ では、変動するリソースをAWSに置き、Oracle RACはオンプレミスのDCに構えている。

オンプレミスにあるホストに、Virtual Applianceを入れる。(Virtual Applianceは、背後でアプリケーションサーバiSCSIで通信する)

Virtual Applianceは、スナップショットをAWS Storage Gateway Serviceに送り、それがS3へ行く。

この時、VirtualAppianceとStorage Gateway Service間が、ただのSSLだと速度が足りない場合に、Direct Connectを使う。

(明後日、ウェビナーで扱うから聞いてね!とのことです)

  • バックアップのさらにバックアップに

lifeline社の BLACKCLOUD EDGE v1.0(http://www.itlifeline.net/BLACKCLOUD.html)では、その用途にStorage Gatewayを使っている。このとき、速度が必要なのでDirect Connectを利用。

  • マルチホーム(cloudhub)での利用

cloudhub(http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPN_CloudHub.html)とは、Virtual Private Gatewayがハブになる接続形態で、VPCにすでにある。

このハブへの接続はVPNだが、Direct Connectを利用してもよい。

  • キャリアの広域LANサービスでの使用

最もデータが集まるところに、AWSを一拠点として追加する。

Direct Connect 利用までの流れ

AWS DirectConnect接続のステップのフローチャートが提示されました。

回線業者さんの選定から始まって、いろいろ作業があります。。。

AWS Direct Connect Solution Provider

Equinix、KVH、NRI、NTT Communications、Softbank Telecom…(敬称略)

  • いろいろな手続きを肩代わりしてくれるので、面倒な人はお任せしましょう
  • 自分でやるぞって人はSolution Providerの仕事にチャレンジしてね!
Direct Connectの構成概要

東京リージョンのDirect Connectの相互接続ポイントは、Equinix TY2(東京都品川区)です。AWSは、TY2内のAWS用ラックに、1Gbpsと10Gbpsの接続口を用意しています。

Direct Connectを使うには、まず、TY2と契約してラックを借りましょう。そこに必要な機器を自分で置きます。重要なのは、WAN終端装置とルーターです。

次に、エンドの拠点から(キャリア経由で)TY2内の自ラックに置いたWAN終端装置まで、線を引きます。そして、終端装置から、自ラックのVLANルーターへ繋げます。ここまでが、ユーザ側の責任範囲です。

最後に、上記のルータから、AWSラックのルータまで、TY2の構内配線で1Gbpsあるいは10Gbpxの線を繋いでもらいます。ここは、コロケーションプロバイダの責任範囲です。

AWSラックのルータから先は、AWSの責任範囲です。

論理接続の注意点
ワンポイント

VPCでのIPSecトンネルに代わって、VLANを使う感じです。

だから、VPCで環境構築して、全部テストしてから、Direct Connectに移行してもいいかもしれませんね!

質疑応答

Direct Connectの試験環境を提供してくれるプロバイダは? 物理接続のテストはやりにくいです…
面倒なことはソリューションプロバイダーさんにお任せしましょう!w ルーターのVLAN設定と、VPC設定が必要です。VPCでおなじみのIPSecの部分が、VLANになるだけではありますが・・・。AWSがconfigの検証をしているルーターCisco、Juniper、YAMAHA、他2社)等、BGP接続できるルータを選んでください。
大阪にもDirect Connectは来るんですか?
TY2のAWSラックというのは、2ラックあります。1ラックに1ルータが設置されています。そして、Meet-me-room(MMR)までの回線は、2系統です。ですから、もし冗長性が心配な場合は、まず、1Gbps、10Gbpsの構内配線を2本にすることを検討してください。次に、大阪など他地域の話になります。
具体的にどんなふうに接続できるんですか?
自社で手配する場合、まず、回線業者を選び、1Gbpsか10Gbpsの回線を契約します。次に、TY2に接続点ラックを契約して、いろいろ置きます。AWSがEquinixさんを選んでいるのは、キャリアニュートラルだからです。 どんなキャリアの回線契約も、理論上可能。たとえば、極端な話、NGN光NEXTとかWiMAXサービスのキャリアとかもOKです。
AWSとprivateピアを張るという認識でいいんですか?
Yes. ただし、Direct Connectを利用したPublicサービスとの接続と、privateピアには、違いもあります。まず、AWSISPではないので、お客様の回線をtransitしません。また、VPCへの回線は独立していて、Private AS番号を使います。この場合、Private Peeringという言い方はそぐわないでしょう。
西海岸の二箇所(北カリフォルニアのロサンジェルスサンノゼ)は、どう使い分ければいいんでしょう? オレゴンには繋げられないのでしょうか?
ロサンジェルスに近ければCoreSite、シリコンバレーに近ければEquinixを使ってくださいね、といった感じです。でも、場合によっては、両方ももちろん有りです。要望の量や精度によっては、今後増やしていいきます。オレゴンサンパウロは、いつとはいえませんが、近い将来に予定しています。
日本の料金は税込ですか?
おそらく。確認します。
構内配線の耐障害性、冗長性はどうなってますか? また、専用線のバックアップ回線はあるんですか?
お客様ラックにももう1個ルータを置いて、AWS側の2台のルータと、それぞれ繋ぐことになると思います。VPCのRedundant Connection(http://aws.typepad.com/aws/2011/08/amazon-vpc-far-more-than-everywhere.html)と同じで、BGP的に切り替わります。他にも、VRRP(Virtual Router Redundancy Protocol)を使ってもいいでしょうし、エンド拠点からTY2さんまでのキャリアの管路を2本以上用意するのもいいと思います(その場合、Equinixさんに2本の経路を引きたいと相談すればよいです)。もちろん、AWSラックのルータからAWSへは、複数本の回線で冗長化しています。もしTY2さん自体が災害の影響を受けたら?という質問には、インターネット側での別サイトや、マルチリージョンを提案しています。

(お客様ラックのルーターA)□――――(構内配線)――――■(AWSラックその1のルーター
(お客様ラックのルーターB)□――(別系統の構内配線)――■(AWSラックその2のルーター

# こんな感じでしょうか。

Direct ConnectのSLAはありますか?
定義していません。AWSの他のサービスと同じ 99.95% は、最低あります。Direct Connectは、他のサービスと一緒に使うものなので、トータルで考えてください。
ソリューションプロバイダーの対応や支援状況はわかりますか?
プロバイダーさんに直接聞いてください。オープンになっている情報としては、Equinixさんはコロケ貸しなので場所を借りたいときは相談してください。広域LAN話は、キャリアさんとして、NTTコムさんとソフトバンクテレコムさんにどうぞ。
災害時の復旧予想時間はどれくらいですか?
はっきりいえません。というのも、責任範囲が、AWS、コロケーション、ネットワークプロバイダ…と分かれているからです。キャリアさんの回線が壊れたら、今時であれば数十msecで切り替わるでしょう。お客様ラックのルーターが壊れたら、4h以内に駆けつけて直す等でしょうか?(注※運用次第ですね)。AWSラック内のルーターが壊れたら、速やかに回復するよう努力します。

・・・

以上でした。