AWS、本格業務利用の最適解!「AWS Direct Connect」の基礎知識

aws-direct-connect-cover

「AWS Direct Connect」、導入が加速している同サービスですが、まだ検討中という企業も決してめずらしくありません。

言わずと知れたアマゾンの”専用ネットワーク接続サービス”ですが、一見すると少し敷居の高いサービスかのように見えるものの、AWSの本格業務利用を検討する際、これ以上に現実的な選択肢は他にないといっても良いでしょう。

数人のチームでAWSを試験運用しているうちならばまだしも、全社員がAWS上の業務システムに常時接続するようになった場合、ネットワークの「安定性」や「性能」「セキュリティー」の確保は、まさに企業情報システムの命題になります。そんなとき頼りになるのが「AWS Direct Connect」です。専用回線とはいえ、APNパートナーが提供しているサービスを利用すれば、短期に、しかも安価に高品質なネットワークを手に入れることができます。

そこで当記事では、AWSの業務適用を本格化する際に押さえておきたいAWS Direct Connectの基礎知識と、お勧めのネットワーク構成をご紹介します。

この記事の著者:江口 智
ITインフラコンサルタント。Amazon Web Servicesの導入コンサルティングや運用支援など、クラウドを軸としたITインフラ構築支援を得意とする。

AWSとのネットワーク接続には、”3つ”の方式がある

それではまずAWSとのネットワーク接続方式について簡単におさらいしておきたいと思います。話はとてもシンプルです。実は私たちがAWSへつながるための選択肢は、大別するとたったの3つしかありません。それは次のようなものです。

  • インターネット
  • IPsec VPN
  • AWS Direct Connect

まず「インターネット」ですが、これはいわゆる普通のインターネットを指します。基本的には一般ユーザー向けの回線になりますので、業務用途にそのまま使用することはないでしょう。法人利用なら、やはり最低限”VPN(Virtual Private Network)”レベルのセキュリティーは確保しておきたいところです。

その数あるVPN技術のひとつが「IPsec VPN」。これは利用する回線そのものは「インターネット」と同じですが、ネットワークの間に専用の暗号化機器を挟み込み(主にはIPsec規格に対応しているルーターになります)、 VPNの文字通り仮想のプライベートネットワークを形成するというものです。インターネットゆえ回線の品質はそこそこではあるものの、ネットワークに完結したかたちで暗号化の仕組みを構築でき(OSI7階層モデルのIP層で実装されるため、アプリケーションへの影響度合いが小さい)、なによりそのリーズナブルな価格から、手軽に利用できるセキュアな法人向けネットワークとして支持されています。

実際AWSでの利用例も多く、筆者が関わった案件でも頻繁に目にしています。ただし、主な用途は「メンテナンス回線」といったところでしょうか。AWSの試験利用に着手し、社内から取り急ぎ接続するための手段として重宝されている印象です。たしかに、限られたメンバーによる断続的な利用であれば、品質・コストともに非常に使い勝手のよい通信手段であることに間違いありません。

しかし、AWSの業務利用が活発化し、ユーザー数やトラフィックが増えてくると事態は少しづつ変わってきます。何しろ土台となる回線そのものはいわゆるインターネットですから、時にネットワークの遅延やスループットの低下が発生することは否めません。正常稼働が当たり前のように期待される情報/基幹系システムや、翌朝の業務開始までの完了が必須のバッチ処理など、重要性の高い業務システムを預けるネットワークとしては、心もとないというのが正直なところです。

そこで第3の選択肢として浮上してくるのが「AWS Direct Connect」です。AWSが自社の公認インフラとして認知された際や、オンプレミスとAWSのシステム連携に着手するにあたり、AWSと直結されたプライベート回線は、最も実現性の高いネットワーク構築手段として取り組みを検討することになるでしょう。

AWS Direct Connectの基礎知識

ところで皆さんはDirect Connectについて、どんな認識をお持ちでしょうか? 「AWSとユーザーの設備を専用の回線で直接接続するアマゾン社提供のネットワークサービス」。これぐらいがよくあるDirect Connectの認識なのではないかな、と思います。

AWS Direct Connectの一般的なイメージ
AWS Direct Connectの一般的なイメージ

もちろん、これで大枠は問題ありません。ですが、実際にDirect Connectを使い始めるとなると、もう一歩理解を進める必要があります。そこでまずは、Direct Connectを知る上でカギとなる3つのポイントをご紹介したいと思います。

1.AWS Direct Connectに接続するには「接続のための接続」が必要

Direct Connectの構築にあたり論理的な設定はすべてオンラインで行えるものの、物理的な結線が併せて必要になることは言うまでもありません。さて、ここで アマゾン社が提供してくれる物理的なDirect Connectサービスの提供範囲はどこまでかというと、それを説明したものが以下の図です。実は、AWSシステムにDirect Connectで接続するためには”接続のための接続”が必要になるのです。

AWS Direct Connectのサービス提供範囲とユーザーによる回線の確保が必要な範囲
AWS Direct Connectのサービス提供範囲とユーザーによる回線の確保が必要な範囲

Direct Connectの物理的なポートは、データセンター事業者である「エクイニクス社(*)」の運営する東京都内のデータセンターに設置されています。そして、AWS Direct Connectが提供するサービスの範囲は、AWS(Amazon VPC)ネットワークからこのポートまで。このポートが責任分界点です。

※Equinix:エクイニクス。世界各国に展開するグローバルなデータセンター事業者。日本国内には東京都内4か所、大阪市内1か所にセンターをもつ。http://www.equinix.co.jp/

つまり、ユーザーがDirect Connectを利用するためには、該当サービスの契約に併せて、自社の設備(オフィス、データセンター、コロケーション…)からエクイニクス社のデータセンター内のラックまで、何らかの回線を確保する必要があるのです。

なお、ここの回線の敷設要領については、ユーザーの社内業務システムのネットワーク構成や契約中の設備の状況等々諸所の事情によって最適な答えが変わるため、何が優れているか一概には言えません。また、すべての設備をユーザー自らが調達せずとも、通信事業者やデータセンター事業者、SIerなどAPNパートナー各社が独自企画のDirect Connect接続サービスを展開しており、こういった条件を総合的に考慮して、自社に適したネットワークを模索するかたちになります。詳しくはおってご紹介します。

2.「物理接続」と「論理接続」

AWS Direct Connectは、エクイニクス社の物理ポートが実体として存在するように、原則的には「物理接続」単位で提供されるサービスになります。しかし、Direct Connectを1回線契約したからといって、接続できるAmazon VPCネットワークがひとつしかない、ということではありません。Direct Connectは実際にはふたつのレイヤーから成り立っており、それは「物理接続」と「論理接続」です。ひとつの物理接続の中に複数の論理接続(VLAN)を構成することで、複数のAmazon VPCネットワークにアクセスすることができます(Amazon VPCと一対一でひもづくのは論理接続です)。

AWS Direct Connectにおける物理接続と論理接続
AWS Direct Connectにおける物理接続と論理接続

なお、先ほど少し触れたAPNパートナーの独自企画サービスには「物理接続」と「論理接続」のどちらも提供しているケースがあるため、契約の際には該当する接続形態をしっかりと確認するようにしましょう。

3.AWS Direct Connectのメニューは「10Gbsp」と「1Gbps」の2種

最後にもう一点。アマゾン社が提供するAWS Direct Connectのサービスメニューとしては、転送速度の異なるふたつの選択肢「10Gbps」と「1Gbps」があることをお伝えしておきたいと思います。Mbps単位の細かなメニューはありません。

AWS Direct Connectのメニューは、原則「10Gbps」と「1Gbps」の2種
AWS Direct Connectのメニューは、原則「10Gbps」と「1Gbps」の2種

しかし、その一方でAPNパートナーが提供するサービスメニューにはMbps単位のものが存在します。これはつまりAPNパートナーの独自企画です。Direct Connect再販にあたっての差別化要素として、パートナーが保有している帯域幅を切り売りしているかたちです。これらをあらかじめ知っておくと、Direct Connectサービスがより選びやすくなるかもしれません。

AWS Direct Connectの購入は「APNパートナー経由」が手堅い

さて、すでに何度も触れていますが、実はDirect Connectは必ずしもアマゾン社から購入する必要はありません。むしろ、小規模利用・リードタイム(構築期間)短縮を図るなら、APNパートナー経由の方が柔軟な対応を得られる場合が多々あります。たしかに数年前まで、まだパートナー企画のサービスが充実していなかった頃は、アマゾン社から直接購入するほかありませんでしが、状況が変わったいまではできあいのサービスを”利用”する方が、むしろクラウドらしいネットワーク調達スタイルといえるかもしれません。

従って、AWS Direct Connect利用の定石は、まず「APNパートナー独自企画サービス」の利用を検討し、そちらで条件が満たせない場合に「アマゾン社からの直接調達」を考える、という流れになります。とはいえ現在、後者を採用せずとも、ほとんどの要件をパートナー提供サービスで満たすことができるでしょう。

Pocket

コメント