Amazon Web Services ブログ

Category: AWS Direct Connect

学術研究機関でのSINET5を経由したAWSの利用

日本の学術研究機関においてもAWSの利用が進んでいます。それに伴い、最近SINET5関連の質問が増えて参りましたので、ここで少し整理をしてみたいと思います。 そもそもSINET5とは何でしょうか?SINETとは学術情報ネットワーク(Science Information NETwork)で、日本全国の大学、研究機関の学術情報基盤として国立情報学研究所が構築、運用している情報通信ネットワークです。詳しくは構築、運用元である国立情報学研究所のSINETのWebページ(https://www.sinet.ad.jp/)を見ていただければよいと思います。当該ページには参加機関の情報も載っており、既に多くの学術研究機関がSINETに接続されております。インターネットへの接続はSINETの基本サービスである「インターネット接続(IPv4/IPv6 Dual)」を利用し、SINETを経由して行っている機関が多数です。 さて本題のSINET5を経由したAWSの利用ですが、実は次の2つの形態があります。 学術教育機関内から普通にAWSを利用する SINETクラウド接続サービスを利用する どちらの場合も通常SINET網からパケットが外に出て行くことなくAWS網内に到達します。 多くの機関では、最初の方で触れたSINETの基本サービスである「インターネット接続(IPv4/IPv6 Dual)」にてインターネットへと接続していますので、インターネットへ出て行くパケットは図1の(1)の経路を通り、インターネットへ抜けていきます。この状態でAWSを使うとどうなるでしょうか?実はAWSはSINETとIX(Internet Exchange)にてピアリングをしています。PeeringDBなどで確認いただけると思いますが、SINETとAWSが複数のIXで100Gbps以上でピアリングしております。つまり、普通に機関内からAWSにアクセスすると図1の(2)の経路のように、SINETの出口でAWS網内に入る形となり、いわゆる一般的なインターネットに出て行くことなく通信が可能です。何か手続き等は必要ありませんので、普通にAWSを使うだけです。学内、SINET網内は他のパケットと混在する形になりますので、必要に応じて通信の暗号化をしていただくことをお勧めしています。 さて、次にSINETクラウド接続サービスを利用した場合について説明します。このクラウド接続サービスは簡単に言うとSINET接続拠点間に論理的に分離されたVLANを提供するものです。これはSINETのL2VPNのサービスを利用したものとなり、L2レベルで分離したネットワークを利用可能ですが、AWSを利用する場合には、AWS側と機関側の間でルーティング情報の交換の必要があるため、機関側にBGPルータが必要となります(図1の(3))。本ブログ執筆時(2019年6月時点)では、SINET5とAWS間を結ぶ物理回線費用はAWS側が負担しており既に物理回線は開通済みで、60を超える機関でご利用頂いております。AWS側から見てデータoutとなるデータ転送費は利用者に負担して頂く必要がありますが、インターネット経由と比べDirect Connect経由となるため転送費が抑えられるメリットがあります。利用にはSINETの接続拠点間の設定と、AWSアカウントへDirect Connectの仮想インタフェースを割り当てる必要がありますので、SINET側、AWS側それぞれに申請が必要となります。ブログ執筆時点では電子メールベースで学術研究機関から申請する形となります。詳しくはSINETのWebページから「クラウド接続」のページをお読みください。本ブログ執筆時点では、SINETクラウド接続サービス用に10Gbpsの回線複数本でSINET5-AWS間を接続しておりますが、SINET側接続部にて単一障害点が発生する可能性があり、インターネットVPNでの経路バックアップを推奨しています。インターネットVPNと呼んではいますが、先に説明をしましたように、実際には図1の(2)の経路を通ることになりますので、SINET網内出口からAWS網内へ入る形となります。 最後に、どちらの形態を選ぶかですが、AWSを利用する目的により個々で異なりますので、一概に語ることはできません。目安となる点をお伝えしておきたいと思います。 通常の利用をお勧めする場合 とにかく高速(数Gbps超)にデータをAWSに転送し続けたい 小さく始めたい。研究室単位で始めたい BGPルータを用意することができない 研究データ管理基盤(GakuNin RDM)のストレージ先 データバックアップ先としての利用 パブリックエンドポイントを提供するサービスの利用(Amazon S3, Amazon Workspaces等) クラウド接続サービスをお勧めする場合 定常的に大量のダウンロードが発生する 機関として1つのアカウントに集約済み 機密性の高いデータの転送(機関にて利用する通信経路の規約等がある場合) AWSへのデータ転送は追加費用が必要ありませんので、データoutの方向についてデータ量がどれくらいなのか?や、BGPルータの導入維持費とデータ転送・インターネットVPNの費用との比較などもどちらの形態にするかの検討する材料となるでしょう。 — パブリックセクター ソリューションアーキテクト 櫻田 図1 SINET5とAWSの接続

Read More

[AWS Black Belt Online Seminar] AWS Direct Connect 資料及び QA 公開

先日 (2018/11/14) 開催しました AWS Black Belt Online Seminar「AWS Direct Connect」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 AWS Black Belt Online Seminar AWS Direct Connect from Amazon Web Services Japan その他の過去資料はこちら Q. Public VIFを使ってオンプレから通信する場合、AWSから提供される/31のグローバルIPにNATする必要があると思いますが、それは利用者側のNW機器で行う必要がある認識で合っていますでしょうか? A. はい。認識合っております。利用者側のNW機器でNATをお願いいたします。 Q. ホスト接続、共有型のものと利用シーンが同じと思ったのですが、何か違いはありますでしょうか? A. ほぼ同じです。共有型の場合は帯域がほかのお客様と共有され、パートナーにより帯域がギャランティされるかどうかは異なります。ホスト接続は帯域がAWSとパートナーにより保証されます。また、共有型では仮想インターフェイスの設定はパートナーが行いますが、ホスト接続の場合はお客様にてセルフサービスで実施していただく必要があります。 Q. DirectConnectGatewayの利用有無による金額変動はありますか? A. 追加料金はかかりません。Direct Connect Gatewayの追加によりリモートリージョンへの転送料金が追加になっておりますので詳しくは料金表をご参照ください。 今後の AWS Black Belt Online Seminar のスケジュール 直近で以下のオンラインセミナーを予定しています。各オンラインセミナーの詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております! 11月分申込先 ≫  12月分申込先 ≫ AWS Key Management Service (KMS) 2018 年 11 月 […]

Read More

AWS Direct Connect アップデート – Link Aggregation Groups, Bundles そして re:Inventの一部振り返り

は、大規模な顧客に対してオフィス、データセンターやコロケーション設備におけるプライベートでハードウェア専有のネットワーク接続の設立を支援します。1 Gbps と 10 Gbps の接続を設立することで、顧客にとってはネットワークコストの削減、データ転送スループットの向上、そしてインターネット基盤で可能な接続よりもさらに安定したネットワーク接続を確立することができます。本日は、Direct Connect の新しい Link Aggregation 機能についてご紹介します。また、新しい Direct Connect バンドルについて、そして Direct Connect をどのように活用して 2016 年の最先端の顧客エクスペリエンスを提供していることについてもさらに詳しくお話ししたいと思います。 Link Aggregation グループ 顧客なかには自身のロケーションと 46 の Direct Connect ロケーションのうちの 1 つに複数の接続 (一般的にはポートと呼ばれる) を設立することをお望みの方もいらっしゃると思います。このような顧客のなかには、AWS の外部におけるネットワーク問題に対しても復元力がある高度な利用可能性をもったリンクの設立が希望でしょう。また、さらなるデータ転送スループットのみを必要とする場合もあります。このような顧客にとって重要なユースケースをサポートするために、最大で 4 つまでのポートの購入とそのすべてを単一管理の接続として扱うことができるサービスの提供が始まりました。これは、Link Aggregation グループ、あるいは LAG と呼ばれます。このサービスを設立すると、トラフィックはポートを通して個別のパケット接続レベルで負荷分散されます。すべてのポートは同時にアクティブとなり、単一の BGP セッションとして提供されます。グループ間のトラフィックは、動的 LACP (Link Aggregation Control Protocol、または ISO/IEC/IEEE 8802-1AX:2016) を通して管理されます。グループの作成時には、接続が有効となる際にアクティブとなるべきポートの最低数も指定する必要があります。複数のポートを持った新しいグループを注文して、既存のポートをこの新しいグループに加えることもできます。どちらの場合でも、すべてのポートは同じスピード (1 Gbps あるいは 10 Gbps) であることが必要です。グループとしてのすべてのポートは、AWS […]

Read More