Direct Connect のパブリック VIF を設定するにはどうすればよいですか?

最終更新日: 2022 年 1 月 12 日

AWS Direct Connect のパブリック VIF を設定したいと考えています。

簡単な説明

パブリック VIF はパブリック IP アドレスを使用して、Amazon Elastic Compute Cloud (Amazon EC2) などのすべての AWS パブリックサービスにアクセスします。

注: パブリック VIF はインターネットへのアクセスには使用できません。

解決方法

次の手順に従って、シナリオに基づいて AWS Direct Connect パブリック VIF を設定します。

IPv4 アドレスの割り当てとアドレッシング、およびボーダーゲートウェイプロトコル (BGP) AS 番号 (ASN)

IPv4 アドレスの場合は、次のいずれかのオプションを使用します。

  • 所有しているパブリック IPv4 CIDR ブロックを使用します。
  • パブリック IPv4 ブロックを所有していない場合は、AWS Direct Connect パートナープログラムまたは ISP のパートナーに、パブリック IPv4 CIDR を提供できるかどうかを確認してください。LOA-CFA 承認フォームには、これらのパブリック IP プレフィックスの使用が許可されていることを明記したものを必ず含めてください。
  • AWS サポートに連絡して、パブリック IPv4 CIDR をリクエストすることもできます。ユースケースを必ず提供してください。AWS はすべてのパブリック IPv4 CIDR リクエストに対する承認を保証できないことに注意してください。詳細については、Management Agent の前提条件をご参照ください。
  • BGP セッションのユーザ側のパブリックまたはプライベート BGP ASN。パブリック ASN を使用する場合は、お客様が所有者であることが必要です。プライベート ASN を使用する場合は、1~2147483647 の範囲内でなくてはなりません。パブリック仮想インターフェイスにプライベート ASN を使用する場合、自律システムのプリペンドは機能しません。

注:IPv6 アドレスの場合、AWS は自動的に /125 IPv6 CIDR を割り当てます。独自のピア IPv6 アドレスを指定することはできません。

パブリック VIF を介したプレフィックスと BGP ASN の承認

パブリック仮想インターフェイスを作成すると、以下の情報が Direct Connect チームによる承認の対象となります:

  • BGP 自律システム番号 (パブリック ASN の場合のみ)
  • 公開ピア IP アドレス
  • 仮想インターフェイスを介してアドバタイズする予定のパブリックプレフィックス

承認される前にプレフィクスをアドバタイズした場合は、BGP セッションをクリアし、承認後にプレフィクスを再アドバタイズする必要がある場合があります。

詳細については、「My Direct Connect パブリック仮想インターフェイスが「検証中」状態のままになっています。承認を受けるにはどうすればよいですか?を参照して下さい。

パブリック VIF を介した広告プレフィックス

BGP を使用して少なくとも 1 つのパブリックプレフィクスをアドバタイズする必要があります。

ピアリングに使用されるパブリック IP アドレスおよびアドバタイズされるパブリック IP アドレスは、Direct Connect でアナウンスまたは使用される他のパブリック IP アドレスと重複することはできません。WHOIS クエリを使用して、BGP ASN および IP アドレスプレフィックスの所有権を確認できます。

出力例:

AS    | IP        | BGP Prefix   | CC | Registry | Allocated  | AS Name
12345 | 192.0.2.0 | 192.0.2.0/24 | US | arin     | 1991-12-19 | EXAMPLE-02, US

パブリック VIF 経由でオンプレミスで受け取った AWS プレフィックス

パブリック VIF で BGP が確立されると、使用可能なすべてのローカルおよびリモートの AWS リージョンプレフィックスを受け取ります。使用可能なプレフィックスを確認するには、AWS から受け取ったプレフィックスの BGP コミュニティを確認します。詳細については、「Direct Connect により AWS パブリック仮想インターフェイスを介してアドバタイズおよび受信されるルートを制御するにはどうすればよいですか?」を参照してください。

AWS Direct Connect は以下の BGP コミュニティをアドバタイズされたルートに適用します

  • 7224:8100 - Direct Connect ポイントオブプレゼンスがある AWS リージョンから発信されるルート
  • 7224:8200 - Direct Connect ポイントオブプレゼンスがある大陸から始まるルート
  • タグなし - グローバル (すべてのパブリック AWS リージョン)

パブリック VIF 経由で AWS に接続する

Direct Connect は、インバウンドパケットフィルタリングを実行して、トラフィックの送信元がアドバタイズされたプレフィックスから発信されたことを確認します。

アドバタイズするプレフィックスからパブリック VIF に接続するようにしてください。パブリック VIF にアドバタイズされていないプレフィックスからは接続できません。