オンプレミスへの Direct Connect 接続のネットワークトラフィックパスに、複数の回線で影響を与えるにはどうすればよいですか。

所要時間3分

オンプレミスへの AWS Direct Connect 接続のネットワークトラフィックパスに複数の回線を介して影響を与えたいと考えています。

簡単な説明

異なる AWS リージョンで複数の Direct Connect 回線を使用して、帯域幅と高可用性を拡大することができます。リージョン間の回線のディストリビューションに応じて、Border Gateway Protocol (BGP) コミュニティタグをオンプレミスのプレフィックスでアドバタイズすることで、Direct Connect トラフィックに影響を与えることができます。

複数の Direct Connect 接続に共通する設定は次のとおりです。

同じリージョン内の同じ仮想プライベートゲートウェイ (VGW) に添付された Direct Connect 接続で作成されたプライベート仮想インターフェイス。
同じ Direct Connect Gateway (DXGW) に添付され、任意のリージョンの複数の VGW に関連付けられた Direct Connect 接続で作成されたプライベート仮想インターフェイス。
同じ DXGW に添付され、任意のリージョンの複数のトランジットゲートウェイに関連付けられた Direct Connect 接続で作成されたトランジット仮想インターフェイス。

解決方法

ユースケースに基づいて Direct Connect 接続のネットワークトラフィックパスに影響を与えるには、次の手順に従います。

プライベートおよびトランジット仮想インターフェイスのデフォルト動作とその影響方法

デフォルトの動作に影響を与えるには、 Autonomous System (AS: 自律システム) パスのプリペンドと次のローカルプリファレンス BGP コミュニティタグを使用することがベストプラクティスです。

7224:7100 – プリファレンス低
7224:7200 – プリファレンス中
7224:7300 – プリファレンス高

ローカルプリファレンス BGP コミュニティタグは、プリファレンスが最も低いものから順に評価されます (最も高い優先度のものが優先される場合)。BGP セッションでアドバタイズする各プレフィクスについて、コミュニティタグを適用して、リターントラフィックのために関連付けられたパスの優先度を示すことができます。

詳細については、「BGP コミュニティを使用して、AWS から自分のネットワークへの Direct Connect リンクの優先ルーティングパスに影響を与えるにはどうすればよいですか。」を参照してください。

シナリオ 1

us-east-1 リージョンに 1 つの Direct Connect 接続 (DX1) があり、eu-west-1 リージョンに 2 つ目の接続 (DX2) があります。DX1 と DX2 にプライベート仮想インターフェイス (VIF) が作成され、オンプレミスデバイスからアドバタイズされる同じプレフィックスが使用されます。DX1 および DX2 VIF には、us-east-1、eu-west-1、ap-southeast-1 リージョンの 3 つの VGW に関連付けられた DXGW が添付されます。

DX1 の VIF で BGP コミュニティタグ 7224:7300 をアドバタイズする場合、us-east-1 リージョンの Amazon Virtual Private Cloud (Amazon VPC) からのトラフィックは変化しません。eu-west-1 リージョンと ap-southeast-1 リージョンからのトラフィックは DX1 を優先します。これは、同じリージョンプリファレンスが BGP コミュニティによって上書きされるためです。

DX1 と DX2 の VIF で BGP タグ 7224:7300 をアドバタイズする場合、異なるリージョンのすべての Amazon VPC からのトラフィックは DX1 と DX2 でロードバランスされます。これは、同じリージョンプリファレンスが BGP コミュニティによって上書きされるためです。

DX1 の AS プリペンドで両方の VIF で BGP タグ 7224:7300 をアドバタイズすると、すべてのリージョンの Amazon VPC からのトラフィックは DX2 を優先します。これは、リージョンのプリファレンスが等しいものとして上書きされるためです。その後、AWS は AS のパス長を検証し、DX2 のパスプレフィックスが DX1 より短いことを検出します。

BGP コミュニティタグなしで DX1 の VIF にプリペンドする AS を 1 つだけアドバタイズする場合、us-east-1 および eu-west-1 リージョンの Amazon VPC からのトラフィックは変更されません。ap-southeast-1 リージョンからのトラフィックは DX2 を優先します。これは、リージョンプリファレンスが AS パス長よりも優先度が高いためです。

シナリオ 2

us-east-1 リージョンに Direct Connect 接続 DX1 と DX2 があり、オンプレミスデバイスからアドバタイズされた同じプレフィックスを使用するプライベート仮想インターフェイスがある。プライベート仮想インターフェイスに、us-east-1 および eu-west-1 リージョンの 3 つの VGW に関連付けられた DXGW が添付されます。

DX1 の VIF で BGP タグ 7224:7300 をアドバタイズする場合、 us-east-1 および eu-west-1 リージョンからのトラフィックは DX1 を優先します。これは、同じリージョンプリファレンスが BGP コミュニティによって上書きされるためです。

DX1 と DX2 の両方の VIF で BGP タグ 7224:7300 をアドバタイズしても、異なるリージョンの VPC からのトラフィックは変化しません。これは、ロードバランシングの BGP コミュニティタグによってリージョンプリファレンスが上書きされるためです。

BGP コミュニティタグなしで DX1 の VIF にプリペンドする AS を 1 つだけアドバタイズする場合、us-east-1 および eu-west-1 リージョンプリファレンスDX2の Amazon VPC からのトラフィックは変更されません。これは、 us-east-1 リージョンと eu-west-1 リージョンのリージョンプリファレンスが同じで、DX2 の AS パスが短くなるためです。

シナリオ 1 とシナリオ 2

要因に影響を与えずにオンプレミスのプレフィックスをアドバタイズする場合、デフォルトのエグレストラフィックの動作は次のようになります。

DX1 は同じリージョンにあるため、us-east-1 リージョンの Amazon VPC から送信されたトラフィックが優先されます。DX2 は同じリージョンにあるため、eu-west-1 リージョンの Amazon VPC から送信されたトラフィックが優先されます。ap-southeast-1 はリモートリージョンであるため、Amazon VPC から送信されたトラフィックは DX1 と DX2 間でロードバランスされます。
us-east-1 リージョンの Amazon VPC から送信されたトラフィックは、DX1 と DX2 が同じリージョンにあるため、ロードバランスされます。eu-west-1 リージョンの Amazon VPC から送信されたトラフィックは、DX1 と DX2 でロードバランスされます。

パブリック仮想インターフェイスのデフォルト動作とその影響方法

次のシナリオでは、同じリージョンに 2 つの Direct Connect 接続があり、オンプレミスデバイスからアドバタイズされた同じパブリック仮想インターフェイスとプレフィックスを使用します。

AWS 方向からのエグレストラフィックは、要因に影響を与えることなく、パブリック VIF 全体でロードバランスされます。デフォルトの動作に影響を与えるには、パブリック ASN をプリペンドした自律システム (AS) を使用するのがベストプラクティスです。プライベート ASN しか使用できない場合は、優先するパブリック VIF からより具体的なプレフィクスをアドバタイズして、最も長いプレフィクスの一致によってルーティングパスが決定されるようにするのがベストプラクティスです。

パブリック仮想インターフェイスの一般的な非対称ルーティングシナリオ

Direct Connect では、次の BGP プレフィックスを使用できます。

7224:9100 — ローカル AWS リージョン
7224:9200 — 一つの大陸にあるすべての AWS リージョン
7224:9300 — グローバル (すべてのパブリック AWS リージョン)

詳細については、「BGP コミュニティのスコープ」を参照してください。

次のシナリオでは、パブリック仮想インターフェイスを持つ us-east-1 リージョンに Direct Connect 接続があるとします。Direct Connect 接続とローカルサービスのインターネットプロバイダーを介して、コミュニティタグ 7224:9100 が付いた同じオンプレミスのパブリックプレフィックスをアドバタイズしています。

us-east-1 リージョンの Amazon Simple Storage Service (Amazon S3) バケットにアクセスしている場合、インバウンドトラフィックとアウトバウンドトラフィックは Direct Connect 接続を経由します。

eu-west-1 リージョンの Amazon S3 バケットにアクセスしている場合、インバウンドトラフィックは Direct Connect 接続を経由し、アウトバウンドトラフィックはローカルサービスインターネットプロバイダーを経由します。これは、プレフィックスが eu-west-1 リージョンに伝播されず、非対称ルーティングが発生するためです。

us-east-1 リージョンの Amazon S3 バケットにアクセスしていて、かつアウトバウンドトラフィックがローカルサービスインターネットプロバイダーを使用してオンプレミスを経由している場合、非対称ルーティングが発生します。これは、同じプレフィックスを受信した場合、AWS がローカルサービスのインターネットプロバイダーではなく Direct Connect 接続経由でアウトバウンドトラフィックを送信することを優先するためです。