CTC Cloud Blog CTCクラウドブログ

技術・ノウハウ

AWS、本格業務利用の最適解!「AWS Direct Connect」の基礎知識

2015.04.14

AWS

AWS担当の江口です。ここ最近は「AWS Direct Connect」のご相談をよくいただきます。

言わずと知れたアマゾンの"専用ネットワーク接続サービス"ですが、一見すると少し敷居の高いサービスのように見えるものの、AWSの本格業務利用を検討する際、これほど現実的な選択肢も他にありません。

数人のチームでAWSを試験運用しているうちならばまだしも、全社員がAWS上の業務システムに常時接続するようになった場合、ネットワークの「安定性」や「性能」「セキュリティ」の確保は、まさに企業情報システムの命題といっても過言では無いでしょう。そんなとき頼りになるのが「AWS Direct Connect」です。専用回線とはいえ、APNパートナーが提供しているサービスを利用すれば、短期に、しかも安価に高品質なネットワークを手に入れることができます。

そこで今回は、AWSの業務適用を本格化する際に押さえておきたいAWS Direct Connectの基礎知識と、お勧めのネットワーク構成をご紹介したいと思います。

目次

  1. AWSとのネットワーク接続には、3つの方式がある
  2. AWS Direct Connectの基礎知識
  3. AWS Direct Connectの購入はAPNパートナー経由が手堅い
  4. お勧めのAWS Direct Connectネットワーク構成
  5. 最後に

1. AWSとのネットワーク接続には、3つの方式がある

それではまずAWSとのネットワーク接続方式について簡単におさらいしておきましょう。話はとてもシンプルです。実は私たちがAWSへ繋がるための選択肢は、大別するとたったの3つしかありません。それは次のようなもの:

  • インターネット
  • IPsec VPN
  • AWS Direct Connect

まず「インターネット」ですが、これはいわゆる普通のインターネットを指します。基本的には一般ユーザー向けの回線になりますので、業務用途にそのまま使用することはないでしょう。法人利用なら、やはり最低限"VPN(Virtual Private Network)"レベルのセキュリティは確保しておきたいところです。

その数あるVPN技術のひとつが「IPsec VPN」。これは利用する回線そのものは「インターネット」と同一になりますが、ネットワークの間に専用の暗号化機器を挟み込み(主にはIPsec規格に対応しているルーターになります)、VPNの文字通り仮想のプライベートネットワークを形成するというものです。インターネットゆえ回線の品質はそこそこではあるものの、ネットワークに完結したかたちで暗号化のしくみを構築でき(OSI7階層モデルのIP層で実装されるため、アプリケーションへの影響度合いが小さい)、なによりそのリーズナブルな価格から、手軽に利用できるセキュアな法人向けネットワークとして支持されています。

実際AWSでの利用例も多く、筆者が関わった案件でも頻繁に目にしています。ただし、主な用途は「メンテナンス回線」が多いでしょうか。AWSの試験利用に着手し、社内から取り急ぎ接続するための手段として重宝されている印象です。確かに、限られたメンバーによる断続的な利用であれば、品質・コストともに非常に使い勝手のよい通信手段であることに間違いありません。

しかし、AWSの業務利用が活発化し、ユーザー数やトラフィックが増えてくると事態は少しづつ変わってきます。何しろ土台となる回線そのものはいわゆるインターネットですから、時にネットワークの遅延やスループットの低下が発生することは否めません。正常稼働が当たり前のように期待される情報/基幹系システムや、翌朝の業務開始までの完了が必須のバッチ処理など、重要性の高い業務システムを預けるネットワークとしては、心もとないというのが正直なところです。

そこで第3の選択肢として浮上してくるのが「AWS Direct Connect」です。AWSが自社の公認インフラとして認知された際や、オンプレミスとAWSのシステム連携に着手するにあたり、AWSと直結されたプライベート回線は、最も実現性の高いネットワーク構築手段として取り組みを検討することになるでしょう。

2. AWS Direct Connectの基礎知識

ところで皆さんはDirect Connectについて、どんな認識をお持ちでしょうか?"AWSとユーザーの設備を専用の回線で直接接続するアマゾン社提供のネットワークサービス"。これぐらいがよくあるDirect Connectの認識なのではないかな、と思います。

AWS Direct Connectの一般的なイメージ
AWS Direct Connectの一般的なイメージ

もちろん大枠これで問題無いのですが、実際にDirect Connectを使い始めるとなると、もう一歩理解を進める必要があります。そこで、まずはDirect Connectを知る上でカギとなる3つのポイントをご紹介したいと思います。

AWS Direct Connectに接続するには「接続のための接続」が必要

Direct Connectの構築にあたり論理的な設定はすべてオンラインで行えるものの、物理的な結線が併せて必要になることは言うまでもありません。さて、ここでアマゾン社が提供してくれる物理的なDirect Connectサービスの提供範囲はどこまでかというと、それを説明したものが以下の図です。実は、AWSシステムにDirect Connectで接続するためには"接続のための接続"が必要になるのです。

AWS Direct Connectのサービス提供範囲とユーザーによる回線の確保が必要な範囲
AWS Direct Connectのサービス提供範囲とユーザーによる回線の確保が必要な範囲

Direct Connectの物理的なポートは、データセンター事業者である「エクイニクス社(*)」の運営する東京都内のデータセンターに設置されています。そして、AWS Direct Connectが提供するサービスの範囲は、AWS(Amazon VPC)ネットワークからこのポートまで。このポートが責任分界点です。

※Equinix:エクイニクス。世界各国に展開するグローバルなデータセンター事業者。日本国内には東京都内4カ所、大阪市内1カ所にセンターをもつ。 http://www.equinix.co.jp/

つまり、ユーザーがDirect Connectを利用するためには、該当サービスの契約に併せて、自社の設備(オフィス、データセンター、コロケーション…)からエクイニクス社のデータセンター内のラックまで、何らかの回線を確保する必要があるのです。

なお、ここの回線の敷設要領については、ユーザーの社内業務システムのネットワーク構成や契約中の設備の状況等々諸所の事情によって最適な答えが変わるため、何が優れているか一概には言えません。また、すべての設備をユーザー自らが調達せずとも、通信事業者やデータセンター事業者、SIerなどAPNパートナー各社が独自企画のDirect Connect接続サービスを展開しており、こういった条件を総合的に考慮して、自社に適したネットワークを模索するかたちになります。詳しくは追ってご紹介します。

「物理接続」と「論理接続」

AWS Direct Connectは、エクイニクス社の物理ポートが実体として存在するように、原則的には「物理接続」単位で提供されるサービスになります。しかし、Direct Connectを1回線契約したからといって、接続できるAmazon VPCネットワークがひとつしかない、ということではありません。Direct Connectは実際にはふたつのレイヤーから成り立っていて、それが「物理接続」と「論理接続」です。ひとつの物理接続の中に複数の論理接続(VLAN)を構成することで、複数のAmazon VPCネットワークにアクセスすることができます(Amazon VPCと一対一で紐づくのは論理接続です)。

AWS Direct Connectにおける物理接続と論理接続
AWS Direct Connectにおける物理接続と論理接続

なお、先ほど少し触れたAPNパートナーの独自企画サービスには「物理接続」と「論理接続」のどちらも提供しているケースがあるため、契約の際には該当する接続形態をしっかりと確認するようにしましょう。

AWS Direct Connectのメニューは「10Gbsp」と「1Gbps」の2種

最後にもう一点。アマゾン社が提供するAWS Direct Connectのサービスメニューとしては、転送速度の異なるふたつの選択肢「10Gbps」と「1Gbps」があることをお伝えしておきたいと思います。Mbps単位の細かなメニューはありません。

AWS Direct Connectのメニューは、原則「10Gbps」と「1Gbps」の2種
AWS Direct Connectのメニューは、原則「10Gbps」と「1Gbps」の2種

しかし、その一方でAPNパートナーが提供するサービスメニューにはMbps単位のものが存在します。これはつまりAPNパートナーの独自企画。Direct Connect再販にあたっての差別化要素として、パートナーが保有している帯域幅を切り売りしているかたちです。これらをあらかじめ知っておくと、Direct Connectサービスがより選びやすくなるかもしれません。

3. AWS Direct Connectの購入はAPNパートナー経由が手堅い

さて、既に何度も触れていますが、実はDirect Connectは必ずしもアマゾン社から購入する必要はありません。むしろ、小規模利用・リードタイム短縮(構築期間短縮)を図るなら、APNパートナー経由の方が柔軟な対応を得られる場合が多々あります。確かに数年前まで、まだパートナー企画のサービスが充実していなかった頃は、アマゾン社からの直接購入が中心だったものの、状況が変わった今では出来あいのサービスを"利用"する方が、むしろクラウド的なネットワーク調達スタイルといえるかもしれません。

従って、AWS Direct Connect利用の定石は、まず「APNパートナー独自企画サービス」の利用を検討し、そちらで条件が満たせない場合に「アマゾン社からの直接調達」を考える、という流れになります。とはいえ現在、後者を採用せずとも、ほとんどの要件をパートナー提供サービスで満たすことができるかと思います。

4. お勧めのAWS Direct Connectネットワーク構成

それではいよいよ、業務システムとAWSをDirect Connectで接続する際のお勧めのネットワーク構成をご紹介します。現在、APNパートナーが提供している独自企画サービスには様々なものがありますが、ざっくりと言えば次の3つに分類することができるでしょう。

  1. WAN接続型
  2. データセンター拡張型
  3. 専用線敷設型

それではひとつひとつ見ていきます。

A. WAN接続型

WAN接続型のネットワークトポロジ

お勧めの利用シーン

  • 短期調達・安価にDirect Connectを利用したい。
  • 契約中の通信事業者がDirect Connect接続サービスを提供している。

Direct Connectの利用を検討する際、まず選択肢にあがるのがWANを経由してAWSに接続するかたちです。もし、既に契約中の閉域網を提供している通信事業者がDirect Connect接続サービスを運営しているなら、大体「数週間~1ヶ月」のリードタイムでDirect Connectを使い始めることができます。

しかもコストの点でのメリットも。本来Direct Connectは「10Gbpsもしくは1Gbps」の2つのサービスメニューのみですが、通信事象者がDirect Connectの帯域を切り売りしている場合、利用者としてはMbps単位での契約も可能になります。Direct Connectをスモールスタートで試してみたい場合には、まさにうってつけの利用形態です。

ただし注意点もあります。それはDirect Connectの利用目的がバックアップやBI(Buisiness Intelligence)で使用する分析用データの転送であったとき。これらは往々にして規模の大きなデータを取り扱うため、回線を他のシステムと兼用している場合に、帯域を圧迫してしまう可能性があります。

そのため、大量データの転送が予想される場合には、十分な性能が確保できるかを事前に確認し、必要に応じて回線の利用時間を分けたり、もしくは契約の追加、場合によっては「C) 専用回敷設型」を利用するなど、適宜対策をとるようにしましょう。

B. データセンター拡張型

データセンター拡張型のネットワークトポロジ

お勧めの利用シーン

  • 短期調達・安価にDirect Connectを利用したい。
  • 契約中のデータセンター事業者がDirect Connect接続サービスを提供している。
  • 既存の情報システムが単一の設備(データセンターなど)に集約されている。

会社の情報システムを特定のデータセンターに集約しているような場合には、契約中のデータセンター事業者が提供しているDirect Connect接続サービスを検討するのがお勧めです。

このサービスの最大のメリットは、なんといっても「利用の手軽さ」。Direct Connect接続に発生するほとんどの作業(工事)をデータセンター事業者に任せられるため、場合によってはラックに設置されたパッチパネルとの結線だけで(さすがに1~数週間程度のリードタイムは発生しますが)、社内システムをAWSに直結することが可能です。

回線の種別も論理/物理、帯域幅もMbps単位でのメニューが考えられますので、その点は契約中のデータセンター事業者に詳細を確認してみると良いでしょう。

既存で契約中のデータセンターがあり、且つシステムが集約されているというハードルの高さはあるものの、使えるものならぜひ利用しておきたい接続形態です。利用者からすれば、システムが直接契約しているデータセンターにあるのかAWSにあるかをそれほど意識しないで済むため、ある意味、情報システムのクラウド化における理想的なかたちということができるかもしれません。

C. 専用線敷設型(論理/物理)

最後に「専用線敷設型」にも触れておきたいと思います。これは文字通り、Direct Connectに専用線を確保する接続形態で、基本的に数ヶ月単位のリードタイムと相応の費用負担を覚悟する必要があります。従って通常利用というよりは、何か特別な要件に対応するため、というのが実際の使いどころです。

ここではふたつ例をご紹介します。まずひとつめは、「バックアップやBI(Business Intelligence)のデータ転送など、Direct Connectに大量のトラフィックが発生する」というケースです。

専用線敷設型のネットワークトポロジ#1

お勧めの利用シーン

  • Direct Connectに大量のトラフィックが発生する可能性がある。

実際、筆者が過去に対応したケースでは、主に動画を格納したファイルサーバーとの通信に専用線敷設型のDirect Connectサービスを適用したことがありました。もしDirect Connectを既設の閉域網に直接接続した場合、他の業務システムとのネットワーク帯域の干渉が予想されたためです。

続いてもう一例、「大量のAmazon VPCネットワークを収容したい場合」にも専用線敷設型が向いています。

専用線敷設型のネットワークトポロジ#2

お勧めの利用シーン

  • 多数のAmazon VPCネットワークを収容したい。

こちらは実際のところ専用線というよりも「物理接続」を確保したいというのが本当の理由です。

多くのリーズナブルなDirect Connect接続サービスが提供してくれるのは「論理接続」。これはAmazon VPCと一対一に対応しており手軽に利用することができる一方で、当然接続したいVPCと同数の回線を契約する必要があります。しかしこれが物理接続であれば、ひとつの物理接続の中に複数の論理接続をユーザーが任意に作成、ひいてはVPCを多数引き込むことができるわけです。

接続対象となるVPCの数が多ければ多いほどコストメリットを得られやすくなりますが、とはいえそこまで潤沢にVPCを利用するケースというのは稀であり、こちらは参考程度に覚えておいていただければ良いかと思います。

最後に

以上、AWS Direct Connectの基礎知識と、お勧めのネットワーク構成のご紹介でした。今後AWS導入が本格化した際に、もといAWS導入を本格化するために、ぜひ当記事をご利用いただけたらと思います。最後に各ネットワーク構成の特徴をまとめた一覧を掲載しておきますので、こちらも併せてご覧くださいませ。

AWS Direct Connectを利用したネットワーク構成まとめ
接続方式/概要 APNパートナー提供サービス 独自調達
WAN接続型 データセンター拡張型 専用線敷設型(論理) 専用線敷設型(物理)
リードタイム △(数週間~1ヶ月) ○(1~数週間) ×(数ヶ月) ×(数ヶ月) ×(数ヶ月)
社内ネットワークの独立性 -
接続種別 論理 論理/物理 論理 物理 物理
価格 × -
選択のポイント
  • 短期・安価にDirect Connectを利用したい場合。
  • 既存で契約中の通信事業者が Direct Connect接続サービスを提供している場合。
  • 短期・安価にDirect Connectを利用したい場合。
  • 既存で契約中のDC事業者が Direct Connect接続サービスを提供している場合。
  • すべての情報システムをデータセンターに集約している場合。
  • Direct Connectに大量のトラフィックが発生する可能性がある場合(トラフィックを他のネットワークと分離したい)。
  • 多数の論理接続(Amazon VPC)を収容する場合。
  • 特別な要件があり、APNパートナー提供サービスではそれを満たせない場合。
  • このエントリーをはてなブックマークに追加

CUVIC on AWS担当:江口

CUVIC on AWS

CUVIC on AWS(キュービック オン エーダブリューエス)

Amazon Web Services(AWS)の設計・構築から運用保守までをトータルサポートする導入支援サービスです。専任のエンジニアがAWSの要点を踏まえたコンサルティングを行い、お客様要件に合せたAWSの利用方法をご提案します。
≫詳しく