[AWS Black Belt Online Seminar] 発注者のための AWS ネットワーク入門資料及び QA 公開

こんにちは、マーケティングの鬼形です。

先日 (2018/5/15) 開催しました AWS Black Belt Online Seminar「発注者のための AWS ネットワーク入門」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。

20180515 AWS Black Belt Online Seminar 発注者のためのネットワーク入門

Q1. 最近サポートされたセカンダリ CIDR ブロックによる VPC 拡張の注意点について教えてください。

A. VPC 拡張をすると、拡張をしたアドレスブロックが BGP で VPN や Direct connect でアナウンスされるので経路数1でルータにフィルタリングをしていると、追加した経路がフィルタされたり、BGP の経路が落ちたりする可能性があります。また、下記のようにアドレスの制限があるものの、アドレス重複をする事故を起こす可能性がありますので、追加するアドレスが使われていないかよくご確認をお願いします。IPv4 CIDR ブロック関連付けの制限をご参照ください。

Q2. ネットワークの負荷・応答に関する勘所について教えてください。AZ 選定や VPC 設計に影響されますか。

A. AZ 選定や VPC 設計には影響しません。どちらかというと EC2 インスタンスのサイズやグループ設定によります。こちらをご参照ください。

Q3. リージョン内 AZ 間の接続は、利用者で接続設計する必要がありますか。

A. AWS 側で自動設定されますので、接続設計は不要です。

Q4. TCP セッション引継ぎはクラウドでは技術的に不可能という理解でよいでしょうか。拠点間距離が離れても、ハートビートをとればできるように見受けられました。

A. 技術的には可能ですが、現実的ではないというのが回答となります。TCP セッション引き継ぎは、1つのデータセンター内のロードバランサの冗長を考えたときに使われる概念ですが AZ 内のロードバランサー単位の冗長化より、AWS では AZ をまたいだロードバランサーを用いたフェイルオーバーを推奨しています。複数 AZ でのフェイルオーバーがデータセンターレベルの切り替え発生に相当することを考慮すれば、セッション同期よりも耐障害性は上がっています。

Q5. P39 の設定について　ルータは VPC 内のルータをさしますか。

A. 説明が不足していて申し訳ございません。これはお客様側のルータのことを指しています。お客様側のルータを設定するにあたり、ルータの設定をした経験がない、運用経験がない、などのご要望にパートナーがサポートをします。

Q6. セキュリティグループに設定できる設定の上限が 250 までだと思うのですが、その上限を超えた設定をしたい場合は、どのようにしたらよろしいでしょうか。

A. こちらのドキュメントにあるとおり、現時点では、250 を超えて設定をすることはできません。セキュリティグループによるグルーピングなどを使って数を減らすようお願いします。

Q7. ポート時間料金とは、ポートを使用している時間でしょうか。

A. はい、ポートを使用している時間となります。

参考: https://aws.amazon.com/jp/directconnect/faqs/より以下ご参照ください。

Q: 課金されるポート時間はどのように定義されていますか?
ポート時間は AWS ルーターとお客様のルーターの間で接続が確立されたとき、またはお客様がポートを注文してから 90 日後のいずれか早いほうの時点で請求されます。ポート料金のご請求は引き続き、AWS Direct Connect ポートがご利用のためにプロビジョニングされると発生します。ポートへの課金停止をご希望の場合は、AWS Direct Connect サービスをキャンセルするにはどうすればよいですか?の手順に従ってキャンセル手続きをお願いします。

Q8. パートナーにより拡張された AWS Direct Connect はパートナー料金＋ AWS の Direct Connect 料金でしょうか。それとも AWS のDirect Connect 料金のみでしょうか。

A. パートナー料金＋Direct Connect 料金となります。パートナーのメニューによっては Direct Connect 料金が内包されているものもあります。

Q9. 冗長に係るホワイトペーパーをご教示ください。

A. AWS Well-Architectedフレームワークをご参照ください。また AWS を用いた耐障害性の高いアプリケーションの構築も参考になります。

Q10. 海外リージョンにおく場合、インスタンス料金が下がるとありますがコスト以外に海外に EC2 を置くことで気をつけることはありますか？

A. 海外に置きますので、レイテンシーを気にする必要があります。またデータ保管について、法令が国によって違いますので、センシティブデータを保管する場合は法令に注意する必要があります。

Q11. Direct Connect は MTU1500 固定の認識ですが、VMware on AWSに接続する場合も変わりませんでしょうか？

A. はい、1500 になります。

Q12. ダイレクトコネクトのパートナーさんが多くて迷います。どのように選べばよいでしょうか。

A. 弊社営業、もしくはお近くのAPNパートナーにご相談ください。個別相談会も開催しておりますので、こちらもご活用ください。

Q13. Direct Connect を利用する場合の監視はどのようにやるのがベストプラクティスでしょうか？

A. 外部監視ツールを使うなどいろいろ方法はありますが、AWS のみで完結したい場合は CloudWatch と CloudWatch アラームの組み合わせが良いかと考えます。

https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/monitoring-cloudwatch.html

Q14. オンプレからAWSへ移行するときの移行NW構成で注意しておくことはありますか

A. ケースバイケースで一概には言えませんが、P18 で述べたアドレスブロックの確保と、帯域の見積もりがキモになります。例えば大量のデータを移行する場合には AWS Snowballという選択肢もあります。

Q15. Direct Connect はインターネット VPN の種類でしょうか？

A. Direct Connect は AWS とお客様との環境をつなぐ専用線を利用した接続を提供するサービスです。VPN サービスは別途あります。こちらをご参照ください。

Amazon Web Services ブログ

[AWS Black Belt Online Seminar] 発注者のための AWS ネットワーク入門 資料及び QA 公開