[SolutionArchitect Pro] AWS Direct Connect -DX-

Jayendra’s Blog

この記事は自己学習用に「AWS Direct Connect – DX – Certification（Jayendra’s Blogより）」を日本語に訳した記事です。

---

ダイレクトコネクトの概要

• AWS ダイレクトコネクトは、インターネットを使用して AWS クラウドサービスを利用するための代替手段を提供するネットワークサービスです。
• AWS ダイレクトコネクトは、お使いのルーターに接続されているケーブルの一端を持つ標準の1ギガビットまたは10ギガビットイーサネット光ケーブルを経由して、AWS ダイレクトコネクトの場所に内部ネットワークをリンクします。
• 1Gbps および10Gbps ポートを使用して、ダイレクトコネクト接続を確立できます。50Mbps、100Mbps、200Mbps、300Mbps、400Mbps、500Mbs の速度は、AWS ダイレクトコネクトをサポートするあらゆる APN パートナーから注文することができます。
• AWS ダイレクトコネクトは、ネットワークパス内のインターネットサービスプロバイダをバイパスして、EC2 & S3 や仮想プライベートクラウド (VPC) などのために AWS クラウドに直接仮想インターフェイスを作成するのに役立ちます。
• AWS ダイレクトコネクトの場所は、関連付けられているリージョン内の Amazon Web サービスへのアクセスを提供し、他の米国リージョンへのアクセスも可能です (米国地域でダイレクトコネクトしている場合)。たとえば、米国の AWS ダイレクトコネクトの場所への単一接続をプロビジョニングし、それを使用して、すべての米国リージョンおよび AWS GovCloud (米国) のパブリック AWS サービスにアクセスすることができます。
• 各 AWS ダイレクトコネクトの場所により、地理的に近い AWS リージョン内のすべてのアベイラビリティーゾーンへの接続が可能になります。

ダイレクトコネクトの利点

• 帯域幅コストの削減
  • 専用接続を介して転送されたすべてのデータは、インターネットデータ転送レートではなく、AWS ダイレクトコネクトのデータ転送レートによって料金がかかります。
  • AWS との間でデータを直接転送すると、インターネットサービスプロバイダへの帯域幅のコミットメントが減少します。
• 一貫性のあるネットワークパフォーマンス
  • ダイレクトコネクトは、インターネットに比べて広く変化することができるように専用の接続とより一貫性のあるネットワークパフォーマンスの経験を提供します。
• AWS サービスの互換性
  • ダイレクトコネクトはネットワークサービスであり、S3、EC2、VPC などのすべての AWS サービスで動作します。
• AWS VPC へのプライベート接続
  • ダイレクトコネクトプライベート仮想インターフェイスの使用ネットワークと VPC の間に専用の高帯域幅ネットワーク接続を確立できます。
• Elastic
  • ダイレクトコネクトは、より高い帯域幅接続を使用するか、複数の接続を確立することによって、ニーズを満たすように簡単にスケーリングできます。

ダイレクトコネクト　vs IPsec VPN 接続

• VPC VPN 接続は、IPsec を使用して、イントラネットと Amazon VPC 間の暗号化されたネットワーク接続をインターネット経由で確立します。
• VPN 接続は数分で構成でき、即時のニーズに適したソリューションであり、帯域幅を控えめにする必要があり、インターネットベースの接続性に固有の変動を許容できます。
• AWS ダイレクトコネクトにはインターネットは含まれていません。代わりに、イントラネットと Amazon VPC 間で専用のプライベートネットワーク接続を使用します。
• VPN 接続は実際のハードウェアとインフラストラクチャを必要とし、数千になる可能性があるため、ダイレクトコネクト接続に比べて非常に安価です（今のところ月額$ 37.20）。

ダイレクトコネクト・アナトミー（解剖学）

• Amazon は AWS のリージョンとは異なる場所 (コロケーション施設と呼ばれる) にまたがって AWS ダイレクトコネクト POP を維持します。
• AWS ダイレクトコネクト POP から AWS リージョンへの接続は、AWS 自体によって維持されます。
• コンシューマとして、ラックスペースを購入するか、コロケーション施設内にすでにインフラストラクチャを持っている AWS APN パートナーのいずれかを使用して、カスタマーゲートウェイを構成することができます。
• AWS ダイレクトコネクト POP とコロケーション施設内のカスタマーゲートウェイとの接続は、クロスコネクトと呼ばれます。
• カスタマーゲートウェイから顧客データセンターへの接続は、任意のサービスプロバイダネットワークを使用して確立できます。
• AWS でダイレクトコネクト接続が作成されると、LOA-CFA (Letter Of Authority – Connecting Facility Assignment) が受信されます。
• LOA-CFA は、コロケーション施設または APN パートナーにクロスコネクトを確立するためにハンドオーバすることができます。
• クロスコネクトと CGW と顧客データセンター間の接続が確立されると、仮想インターフェイスを作成できます。
• AWS ダイレクトコネクトには、AWS VPC にアクセスするための VGW が必要です
• 仮想インターフェイス
  • 各 AWS ダイレクトコネクト接続には仮想インターフェイスが必要です。
  • 各 AWS ダイレクトコネクト接続は、1つ以上の仮想インターフェイスで構成できます。
  • パブリック仮想インターフェイスは、公開されている SQS、S3、EC3、Glacier などのパブリックリソースに接続するために作成できます。
  • プライベート IP アドレスを持つインスタンスなどの VPC に接続するための仮想インターフェイスを作成できます。
  • 各仮想インターフェイスには、VLAN ID、インターフェイス IP アドレス、ASN、および BGP キーが必要です。
• AWS ダイレクトコネクト接続を別の AWS アカウントと共に使用するには、そのアカウントのホストされた仮想インターフェイスを作成します。これらのホストされた仮想インターフェイスは、標準の仮想インターフェイスと同じように機能し、パブリックリソースまたは VPC に接続できます。

ダイレクトコネクトの冗長性

• ダイレクトコネクト接続は冗長性を提供せず、各接続がルータ上のポートと Amazon ルーター間の単一の専用接続で構成されているため、ハードウェアデバイスに対して複数のシングルポイント障害が発生します
• 冗長性は
  • 2番目のダイレクトコネクト接続を確立する。好ましくは別のコロケーション施設で異なるルータと AWS ダイレクトコネクト POP を使用して。
  • VGW へのカスタマー DC 間の IPsec VPN 接続
• 同じ AWS ダイレクトコネクトの場所で要求された複数のポートの場合、Amazon 自体は、ハードウェア障害からの影響を防ぐために、冗長な Amazon ルーターでプロビジョニングすることを確認します。

---

AWS認定試験の練習問題

• 質問はインターネットから収集され、答えは自分の知識と理解に基づいてマークされます（これはあなたと異なる場合があります）。
• AWSサービスは毎日更新され、回答と質問はすぐに時代遅れになる可能性がありますので、それに応じて調査してください。
• AWSのアップデートのペースを追うためにAWS試験の質問は更新されないため、基礎となる機能が変更されても質問が更新されないことがあります。
• さらなるフィードバック、ディスカッション、修正を可能にします。

1. 顧客がオンプレミスのデータセンターを AWS に拡張するためのソリューションを構築しています。お客様は、VPC への専用およびプライベート接続を 50 Mbps で必要とします。この要件を満たす AWS
   製品または機能は？
   1. Amazon VPC peering
   2. Elastic IP アドレス
   3. AWS ダイレクトコネクト
   4. Amazon VPC 仮想プライベートゲートウェイ
2. Amazon の Web サービスへのダイレクトコネクト接続を所有する方法はありますか?
   1. VPC には暗号化されたトンネルを作成できますが、接続は所有していません。
   2. はい、それは Amazon ダイレクトコネクトと呼ばれています。
   3. いいえ、AWS はパブリックインターネットからのアクセスのみを許可します。
   4. はい、それはダイレクトコネクトと呼ばれる
3. 組織は、社内のデータセンターと AWS との間にインターネットベースの VPN 接続を確立しました。彼らは、VPN から AWS ダイレクトコネクトへの移行を検討している。インターネットベースの VPN接続から AWS ダイレクトコネクトへの切り替えを検討するために、組織がどのような運用上の関心事であるか？
   1. AWS ダイレクトコネクトは、インターネットベースの VPN 接続よりも冗長性が高くなります。
   2. AWS ダイレクトコネクトは、インターネットベースの VPN 接続よりも優れた復元性を提供します。
   3. AWS ダイレクトコネクトは、インターネットベースの VPN 接続よりも高い帯域幅を提供します。
   4. AWS ダイレクトコネクトは、インターネットベースの VPN 接続よりもネットワークプロバイダの選択をより細かく制御します。
4. AWS ダイレクトコネクトでは、リージョン内のすべての AZ にアクセスできますか？
   1. 接続の種類によって異なります。
   2. 違います
   3. はい
   4. リージョンに1つだけアベイラビリティーゾーンがある場合のみ。複数存在する場合は、1つのアベイラビリティーゾーンのみに直接アクセスできます。
5. AWS への AWS ダイレクトコネクションを確立しました。リンクがアップされ、ルートが顧客の端からアドバタイズされていますが、お客様は VPC 内の EC2 インスタンスからデータセンターに存在するサーバーに接続できません。この状況を解決するための実行可能なソリューションを提供するオプションは次のどれですか。(2 つの回答を選択)
   1. ターゲットとして IPsec VPN 接続を使用してルートテーブルにルートを追加する (VPN に関する情報)
   2. 仮想プライベートゲートウェイへのルート伝播を有効にする (VGW)
   3. カスタマーゲートウェイ (CGW) へのルート伝播を有効にする (VGW でルート伝播が有効になっている)
   4. [route] コマンドを使用して、すべてのインスタンスのルートテーブルを変更します。(routeコマンドは使用できません)
   5. 顧客のオンプレミス環境にルートを追加して、インスタンス VPC サブネットルートテーブルを変更します。
6. 会社が構成し、2つの VPC: vpc-1 と vpc-2 をピアリングしています。vpc-1 にはプライベートサブネットのみが含まれ、vpc-2 にはパブリックサブネットのみが含まれます。同社は、1つの AWS ダイレクトコネクト接続とプライベート仮想インターフェイスを使用して、オンプレミスネットワークを vpc-1 と接続します。vpc-1 への接続のフォールトトレランスを向上させる2つの方法はどれですか。2つの回答を選択
   1. vpc-2 とオンプレミスネットワークの間でインターネット経由でハードウェア VPN を確立します。(ピアしている VPC はエッジからエッジへのルーティングをサポートしていません)
   2. vpc-1 とオンプレミスネットワークの間でインターネット経由でハードウェア VPN を確立する。
   3. 新しい AWS ダイレクトコネクト接続とプライベート仮想インターフェイスを vpc-2 と同じリージョンに確立します (ピア vpc はエッジからエッジへのルーティングをサポートしていません)。
   4. vpc-1 とは異なる AWS リージョンに新しい AWS ダイレクトコネクト接続とプライベート仮想インタフェースを確立する (vpc-1 と同じリージョンにある必要があります)
   5. vpc-1 と同じ AWS リージョンに新しい AWS ダイレクトコネクト接続とプライベート仮想インタフェースを確立する。
7. 会社では、以前に、オンプレミスのデータセンターと AWS との間で動的にルーティングされた VPN 接続を構成していました。最近、ダイレクトコネクト接続をプロビジョニングし、新しい接続の使用を開始したいと考えています。AWS コンソールでダイレクトコネクト設定を構成した後、次のオプションを使用すると、ユーザーにとって最もシームレスな移行が可能になりますか？
   1. 既存の VPN 接続を削除してルーティングループを回避するには、ダイレクトコネクト・ルーターを適切な設定で構成し、verity ネットワークトラフィックはダイレクトコネクトを利用します。
   2. VPN ルーターよりも高い BGP 優先順位でダイレクトコネクト・ルーターを構成し、ネットワークトラフィックがダイレクトコネクトを利用していることを確認してから、既存の VPN 接続を削除します。
   3. ダイレクトコネクト接続をポイントするように VPC ルートテーブルを更新する適切な設定を使用してダイレクトコネクト・ルーターを構成するネットワークトラフィックがダイレクトコネクトを利用していることを確認し、VPN 接続を削除します。
   4. ダイレクトコネクト・ルーターを構成し、ダイレクトコネクト接続をポイントするように VPC ルートテーブルを更新し、より高い BGP 優先度で VPN 接続を構成します。ネットワークトラフィックがダイレクトコネクト接続を利用していることを確認する。
8. Amazon VPC のアプリケーションサーバーのネットワークインフラストラクチャを設計しています。ユーザーは、インターネットからのすべてのアプリケーションインスタンス、およびオンプレミスネットワークからのアクセスを行います。オンプレミスネットワークは、AWS ダイレクトコネクトリンク経由で VPC に接続されます。上記の要件を満たすようにルーティングを設計するにはどうすればいいですか？
   1. インターネットゲートウェイ経由で既定のルートを使用して、単一のルーティングテーブルを構成します。AWS ダイレクトコネクトのカスタマールータで BGP 経由でデフォルトルートを伝播します。すべての VPC サブネットにルーティングテーブルを関連付ける (既定のルートを伝播すると競合が発生する)
   2. インターネットゲートウェイ経由で既定のルートを使用して、単一のルーティングテーブルを構成します。オンプレミスネットワークの特定のルートを、AWS ダイレクトコネクトのカスタマールーターの BGP 経由で伝播します。すべての VPC サブネットにルーティングテーブルを関連付けます。
   3. 2つの既定のルートを持つ単一のルーティングテーブルを構成する: インターネットゲートウェイ経由のインターネットへの接続 VPN ゲートウェイ経由のオンプレミスネットワークへのもう1つは、VPC 内のすべてのサブネットでこのルーティングテーブルを使用します。(既定のルートは2つありません)
   4. インターネットゲートウェイ経由で既定のルートを持つ2つのルーティングテーブルを構成し、VPN ゲートウェイ経由で既定のルートを持つもう1つは、両方のルーティングテーブルを各 VPC サブネットに関連付けます。(インスタンスはパブリックサブネットに存在し、1つのルーティングテーブルが関連付けられている必要があります)
9. AWS ダイレクトコネクトを実装しています。AWS ダイレクトコネクトリンクを介して、Amazon S3 などの AWS パブリックサービスエンドポイントを使用する予定です。インターネットサービスプロバイダへの既存のリンクを使用するには、他のインターネットトラフィックが必要です。Amazon S3 などのサービスにアクセスするために AWSダイレクトコネクトを構成する正しい方法は何ですか？
   1. AWS ダイレクトコネクトリンクでパブリックインターフェイスを構成します。Amazon S3 をポイントする AWS ダイレクトコネクトリンク経由で静的ルートを設定します。BGP を使用して AWS への既定のルートをアドバタイズします。
   2. AWS ダイレクトコネクトリンクにプライベートインターフェイスを作成します。Amazon S3 をポイントする AWS ダイレクトコネクトリンク経由で静的ルートを構成する VPC 内のネットワークへの特定のルートを構成します。
   3. AWS ダイレクトコネクトリンクにパブリックインターフェイスを作成します。BGP ルートを既存のルーティングインフラストラクチャに再配布すると、ネットワークの特定のルートが AWS にアドバタイズされます。
   4. AWS ダイレクトコネクトリンクにプライベートインターフェイスを作成します。BGP ルートを既存のルーティングインフラストラクチャに再配布し、既定のルートを AWS にアドバタイズします。
10. 既存のデータセンターと AWS 間のネットワーク接続を設計するように求められました。アプリケーションの EC2インスタンスは、データセンターにある既存のバックエンドリソースに接続できる必要があります。AWS とデータセンターとの間のネットワークトラフィックは、数ヶ月の間に1秒あたり最大10GBまで小さくなりますが、開始されます。あなたのアプリケーションの成功は、迅速に市場に取得することに依存しています。目的を達成するために、次のどのようなデザインオプションがありますか。
    1. バックエンド・アプリケーションの内部 ELB を迅速に作成し、データ・センターと VPC 間で 1 Gbps のクロス接続をプロビジョニングする DirectConnect リクエストを送信し、必要に応じて DirectConnect 接続の数またはサイズを増やします。
    2. VPC インスタンスの EIPとインターネットゲートウェイを割り当てて、バックエンドアプリケーションへの迅速かつ一時的なアクセスに使用し、VPC と既存のオンプレミス機器との間の VPN 接続をプロビジョニングします。
    3. VPC と既存のオンプレミス機器間の VPN 接続をプロビジョニングし、DirectConnect パートナー要求を送信して、データセンターと DirectConnect の場所との間のクロスコネクトをプロビジョニングし、VPN 接続から必要に応じて1つ以上の DirectConnect 接続に切断します。
    4. データ・センターと VPC 間で 1 Gbps のクロスコネクトをプロビジョニングするために DirectConnect リクエストを迅速に送信し、必要に応じて DirectConnect 接続の数またはサイズを増やします。
11. データセンター内で実行されている仮想マシンから Amazon VPC にレガシアプリケーションを移動することを使命としています。残念ながら、このアプリは多数のオンプレミスサービスにアクセスする必要があり、アプリを構成したユーザーはまだあなたの会社に対して機能しません。さらに悪いことにそれのためのドキュメントはありません。VPC 内で実行されているアプリケーションが再構成されることなく、その内部の依存関係に戻ってアクセスできるようにするにはどうすればいいでしょうか。(3 つの回答を選択)
    1. VPC と内部サービスを収容するネットワーク間の AWS ダイレクトコネクトリンク (VPN または通信用 DX)
    2. VPN 接続を許可するインターネットゲートウェイ。(仮想およびカスタマーゲートウェイが必要です)
    3. VPC インスタンス上の Elastic IP アドレス (プライベートサブネットがオンプレミスネットワークとも対話できるため、EIPは必要ありません)
    4. 1つのオンプレミス (IPアドレスが競合しない) と競合しない IP アドレス空間
    5. インスタンスが依存関係の IP アドレスを解決できるようにする Amazon Route 53 のエントリ (Route 53は必要ありません)
    6. 現在の仮想マシンのVM Import（仮想マシンをインポートして、AWS に VM をコピーします。マニュアルがないため、最初から設定することはできません）

---

リファレンス

• Direct_Connect_User_Guide