AWS (構築・運用・コンサル)|知る×学ぶ
AWS、本格業務利用の最適解!「AWS Direct Connect」の基礎知識
「AWS Direct Connect」、導入が加速している同サービスですが、まだ検討中という企業も決してめずらしくありません。
言わずと知れたアマゾンの”専用ネットワーク接続サービス”ですが、一見すると少し敷居の高いサービスかのように見えるものの、AWSの本格業務利用を検討する際、これ以上に現実的な選択肢は他にないといっても良いでしょう。
数人のチームでAWSを試験運用しているうちならばまだしも、全社員がAWS上の業務システムに常時接続するようになった場合、ネットワークの「安定性」や「性能」「セキュリティー」の確保は、まさに企業情報システムの命題になります。そんなとき頼りになるのが「AWS Direct Connect」です。専用回線とはいえ、APNパートナーが提供しているサービスを利用すれば、短期に、しかも安価に高品質なネットワークを手に入れることができます。
そこで当記事では、AWSの業務適用を本格化する際に押さえておきたいAWS Direct Connectの基礎知識と、お勧めのネットワーク構成をご紹介します。
▼ ハイライト
1. AWSとのネットワーク接続には、”3つ”の方式がある
2. AWS Direct Connectの基礎知識
3. AWS Direct Connectの購入は「APNパートナー経由」が手堅い
4. お勧めのAWS Direct Connectネットワーク構成
1. AWSとのネットワーク接続には、”4つ”の方式がある
AWSとのネットワーク接続方式について簡単におさらいしておきたいと思います。話はとてもシンプルです。実は私たちがAWSへつながるための選択肢は、大別するとたったの4つしかありません。それは次のようなものです。
1-1. インターネット
基本的には一般ユーザー向けの回線になりますので、業務用途にそのまま使用することはないでしょう。法人利用なら、やはり最低限”VPN(Virtual Private Network)”レベルのセキュリティーは確保しておきたいところです。
1-2. IPsec VPN
その数あるVPN技術のひとつが「IPsec VPN」。これは利用する回線そのものは「インターネット」と同じですが、ネットワークの間に専用の暗号化機器を挟み込み(主にはIPsec規格に対応しているルーターになります)、 VPNの文字通り仮想のプライベートネットワークを形成するというものです。インターネットゆえ回線の品質はそこそこではあるものの、ネットワークに完結したかたちで暗号化の仕組みを構築でき(OSI7階層モデルのIP層で実装されるため、アプリケーションへの影響度合いが小さい)、なによりそのリーズナブルな価格から、手軽に利用できるセキュアな法人向けネットワークとして支持されています。
実際AWSでの利用例も多く、筆者が関わった案件でも頻繁に目にしています。ただし、主な用途は「メンテナンス回線」といったところでしょうか。AWSの試験利用に着手し、社内から取り急ぎ接続するための手段として重宝されている印象です。たしかに、限られたメンバーによる断続的な利用であれば、品質・コストともに非常に使い勝手のよい通信手段であることに間違いありません。
しかし、AWSの業務利用が活発化し、ユーザー数やトラフィックが増えてくると事態は少しづつ変わってきます。何しろ土台となる回線そのものはいわゆるインターネットですから、時にネットワークの遅延やスループットの低下が発生することは否めません。正常稼働が当たり前のように期待される情報/基幹系システムや、翌朝の業務開始までの完了が必須のバッチ処理など、重要性の高い業務システムを預けるネットワークとしては、心もとないというのが正直なところです。そこで第3の選択肢として浮上してくるのが「AWS Direct Connect」です。
1-3. AWS Direct Connect
AWSが自社の公認インフラとして認知された際や、オンプレミスとAWSのシステム連携に着手するにあたり、AWSと直結されたプライベート回線は、最も実現性の高いネットワーク構築手段として取り組みを検討することになるでしょう。
1-4. CTC Cloud Connect
CTC Cloud ConnectはAWS、Microsoft Azure、GCP、Oracle Cloud 等のクラウドサービスとオンプレミスを、最短 5 営業日という速さでセキュア且つ低遅延で接続するサービスです。
2. AWS Direct Connectの基礎知識
ところで皆さんはDirect Connectについて、どんな認識をお持ちでしょうか? 「AWSとユーザーの設備を専用の回線で直接接続するアマゾン社提供のネットワークサービス」。これぐらいがよくあるDirect Connectの認識なのではないかな、と思います。
図 1. AWS Direct Connectの一般的なイメージ
もちろん、これで大枠は問題ありません。ですが、実際にDirect Connectを使い始めるとなると、もう一歩理解を進める必要があります。そこでまずは、Direct Connectを知る上でカギとなる3つのポイントをご紹介したいと思います。
2-1. AWS Direct Connectに接続するには「接続のための接続」が必要
Direct Connectの構築にあたり論理的な設定はすべてオンラインで行えるものの、物理的な結線が併せて必要になることは言うまでもありません。さて、ここで アマゾン社が提供してくれる物理的なDirect Connectサービスの提供範囲はどこまでかというと、それを説明したものが以下の図です。実は、AWSシステムにDirect Connectで接続するためには”接続のための接続”が必要になるのです。
図 2. AWS Direct Connectのサービス提供範囲とユーザーによる回線の確保が必要な範囲
Direct Connectの物理的なポートは、データセンター事業者である「エクイニクス社(*1)」の運営する東京都内のデータセンターに設置されています。そして、AWS Direct Connectが提供するサービスの範囲は、AWS(Amazon VPC)ネットワークからこのポートまで。このポートが責任分界点です。
*1. Equinix:エクイニクス。世界各国に展開するグローバルなデータセンター事業者。日本国内には東京都内4か所、大阪市内1か所にセンターをもつ。
つまり、ユーザーがDirect Connectを利用するためには、該当サービスの契約に併せて、自社の設備(オフィス、データセンター、コロケーション…)からエクイニクス社のデータセンター内のラックまで、何らかの回線を確保する必要があるのです。
なお、ここの回線の敷設要領については、ユーザーの社内業務システムのネットワーク構成や契約中の設備の状況等々諸所の事情によって最適な答えが変わるため、何が優れているか一概には言えません。また、すべての設備をユーザー自らが調達せずとも、通信事業者やデータセンター事業者、SIerなどAPNパートナー各社が独自企画のDirect Connect接続サービスを展開しており、こういった条件を総合的に考慮して、自社に適したネットワークを模索するかたちになります。詳しくはおってご紹介します。
2-2.「物理接続」と「論理接続」
AWS Direct Connectは、エクイニクス社の物理ポートが実体として存在するように、原則的には「物理接続」単位で提供されるサービスになります。しかし、Direct Connectを1回線契約したからといって、接続できるAmazon VPCネットワークがひとつしかない、ということではありません。
Direct Connectは実際にはふたつのレイヤーから成り立っており、それは「物理接続」と「論理接続」です。
ひとつの物理接続の中に複数の論理接続(VLAN)を構成することで、複数のAmazon VPCネットワークにアクセスすることができます(Amazon VPCと一対一でひもづくのは論理接続です)。
図 3. AWS Direct Connectにおける物理接続と論理接続
なお、先ほど少し触れたAPNパートナーの独自企画サービスには「物理接続」と「論理接続」のどちらも提供しているケースがあるため、契約の際には該当する接続形態をしっかりと確認するようにしましょう。
2-3. AWS Direct Connectのメニューは「10Gbsp」と「1Gbps」の2種
最後にもう一点。アマゾン社が提供するAWS Direct Connectのサービスメニューとしては、転送速度の異なるふたつの選択肢「10Gbps」と「1Gbps」があることをお伝えしておきたいと思います。Mbps単位の細かなメニューはありません。
図 4. AWS Direct Connectのメニューは、原則「10Gbps」と「1Gbps」の2種
しかし、その一方でAPNパートナーが提供するサービスメニューにはMbps単位のものが存在します。これはつまりAPNパートナーの独自企画です。Direct Connect再販にあたっての差別化要素として、パートナーが保有している帯域幅を切り売りしているかたちです。これらをあらかじめ知っておくと、Direct Connectサービスがより選びやすくなるかもしれません。
3. AWS Direct Connectの購入は「APNパートナー経由」が手堅い
さて、すでに何度も触れていますが、実はDirect Connectは必ずしもアマゾン社から購入する必要はありません。むしろ、小規模利用・リードタイム(構築期間)短縮を図るなら、APNパートナー経由の方が柔軟な対応を得られる場合が多々あります。たしかに数年前まで、まだパートナー企画のサービスが充実していなかった頃は、アマゾン社から直接購入するほかありませんでしが、状況が変わったいまではできあいのサービスを”利用”する方が、むしろクラウドらしいネットワーク調達スタイルといえるかもしれません。
従って、AWS Direct Connect利用の定石は、まず「APNパートナー独自企画サービス」の利用を検討し、そちらで条件が満たせない場合に「アマゾン社からの直接調達」を考える、という流れになります。とはいえ現在、後者を採用せずとも、ほとんどの要件をパートナー提供サービスで満たすことができるでしょう。
4. お勧めのAWS Direct Connectネットワーク構成
それではいよいよ、業務システムとAWSをDirect Connectで接続する際のお勧めのネットワーク構成をご紹介します。現在、APNパートナーが提供している独自企画サービスにはさまざまなものがありますが、ざっくりと言えば次の3つに分類することができるでしょう。
4-1. WAN接続型
図 5. WAN接続型
■ お勧めのユースケース
- 短期調達・安価にDirect Connectを利用したい。
- 契約中の通信事業者がDirect Connect接続サービスを提供している。
Direct Connectの利用を検討する際、まず選択肢にあがるのがWANを経由してAWSに接続するかたちです。もし、すでに契約中の閉域網を提供している通信事業者がDirect Connect接続サービスを運営しているなら、だいたい「数週間~1か月」のリードタイムでDirect Connectを使い始めることができます。
しかもコストの点でのメリットも。本来Direct Connectは「10Gbpsもしくは1Gbps」の2つのサービスメニューのみですが、通信事象者がDirect Connectの帯域を切り売りしている場合、利用者としてはMbps単位での契約も可能になります。Direct Connectをスモールスタートで試してみたい場合には、まさにうってつけの利用形態です。
ただし注意点もあります。それはDirect Connectの利用目的がバックアップやBI(Buisiness Intelligence)で使用する分析用データの転送であったとき。これらは往々にして規模の大きなデータを取り扱うため、回線を他のシステムと兼用している場合に、帯域を圧迫してしまう可能性があります。
そのため、大量データの転送が予想される場合には、十分な性能が確保できるかを事前に確認し、必要に応じて回線の利用時間を分けたり、もしくは契約の追加、場合によっては「3. 専用回敷設型」を利用するなど、適宜対策をとるようにしましょう。
4-2. データセンター拡張型
図 6. データセンター拡張型
■ お勧めのユースケース
- 短期調達・安価にDirect Connectを利用したい。
- 契約中のデータセンター事業者がDirect Connect接続サービスを提供している。
- 既存の情報システムが単一の設備(データセンターなど)に集約されている。
会社の情報システムを特定のデータセンターに集約しているような場合には、契約中のデータセンター事業者が提供しているDirect Connect接続サービスを検討するのがお勧めです。
このサービスの最大のメリットは、なんといっても「利用の手軽さ」。Direct Connect接続に発生するほとんどの作業(工事)をデータセンター事業者に任せられるため、場合によってはラックに設置されたパッチパネルとの結線だけで(さすがに1~数週間程度のリードタイムは発生しますが)、社内システムをAWSに直結することが可能です。
回線の種別も論理/物理、帯域幅もMbps単位でのメニューが考えられますので、その点は契約中のデータセンター事業者に詳細を確認してみると良いでしょう。
既存で契約中のデータセンターがあり、かつシステムが集約されているというハードルの高さはあるものの、使えるものならぜひ利用しておきたい接続形態です。利用者からすれば、システムが直接契約しているデータセンターにあるのかAWSにあるかをそれほど意識しないで済むため、ある意味、情報システムのクラウド化における理想的なかたちということができるかもしれません。
4-3. 専用線敷設型(論理/物理)
最後に「専用線敷設型」にも触れておきたいと思います。これは文字通り、Direct Connectに専用線を確保する接続形態で、基本的に数か月単位のリードタイムと相応の費用負担を覚悟する必要があります。従って通常利用というよりは、何か特別な要件に対応するため、というのが実際の使いどころです。
ここではふたつ例をご紹介します。まずひとつめは、「バックアップやBI(Business Intelligence)のデータ転送など、Direct Connectに大量のトラフィックが発生する」というケースです。
図 7. 専用線敷設型(論理)
■ お勧めのユースケース
- Direct Connectに大量のトラフィックが発生する可能性がある。
実際、筆者が過去に対応したケースでは、主に動画を格納したファイルサーバーとの通信に専用線敷設型のDirect Connectサービスを適用したことがありました。もしDirect Connectを既設の閉域網に直接接続した場合、他の業務システムとのネットワーク帯域の干渉が予想されたためです。
続いてもう一例、「大量のAmazon VPCネットワークを収容したい場合」にも専用線敷設型が向いています。
図 8. 専用線敷設型(物理)
■ お勧めのユースケース
- 多数のAmazon VPCネットワークを収容したい。
こちらは実際のところ、専用線というよりも「物理接続」を確保したいというのが本当の理由です。
多くのリーズナブルなDirect Connect接続サービスが提供してくれるのは「論理接続」です。これはAmazon VPCと一対一に対応しており手軽に利用することができる一方で、当然接続したいVPCと同数の回線を契約する必要があります。しかしこれが物理接続であれば、ひとつの物理接続の中に複数の論理接続をユーザーが任意に作成、ひいてはVPCを多数引き込むことができるわけです。
接続対象となるVPCの数が多ければ多いほどコストメリットを得られやすくなりますが、とはいえそこまで潤沢にVPCを利用するケースというのはまれであり、こちらは参考程度に覚えておいていただければ良いかと思います。
最後に
以上、AWS Direct Connectの基礎知識と、お勧めのネットワーク構成のご紹介でした。今後AWS導入が本格化した際に、もといAWS導入を本格化するために、ぜひ当記事をご利用いただけたらと思います。最後に各ネットワーク構成の特徴をまとめた一覧を掲載しておきますので、こちらも併せてご覧くださいませ。
