Direct Connectについて

そもそもDirectConnectとは、エクイニクスという会社が持っているDCから、AWSのネットワークに直結した専用ゲートウェイのポートを、従量課金で使用できるサービスである。 AWSのDCはセキュリティ上の理由から公開されていない。 なので、AWS(VPC)側には仮想プライベートゲートウェイを持たせることしかできない。 Direct Connectの世界における 専用線 とは、エクイニクスのDCからVPC側のVGWまでをつないでいる部分のことを言う。 エクイニクスのDCは日本では東京・大阪にあり、専用線の冗長化ができる。

オンプレからエクイニクスまではどうするのか?

前述の通り、オンプレからエクイニクスまでの接続はユーザーがセットアップする必要がある。AWSとユーザの責任分界点でもある。 この間の接続は、ユーザが自前でセットアップするか(FLETS光とかを使う)、ソフトバンクや野村総研などの、 Direct Connectが受けられるAPN にお願いするという方法があるらしい。

どこでBGPを使っているのか?

最初、「VPCとオンプレを専用線で結ぶんでしょ?」としか思っていなかったので、BGPをどこで必要とするのかわからなかった。 BGPについては、仮想プライベートゲートウェイの作成時にASNの設定をする必要がある。 つまり、VPCと仮想プライベートゲートウェイの接続にAWSはBGPを使っている(たぶん)。 構造としては例えば、マルチリージョンVPCをVPN接続する際に、カスタマーゲートウェイを作ったみたいな感じ。 そして、カスタマーゲートウェイは事実上ルータの役割をしている。 BGPはパスベクトル方式を採用していて、ルーティングプロトコルの中でASNを必要とする。 つまり、AWSクラウドのネットワーク(AS)に対してルータ(カスタマーゲートウェイ)からルーティングするにあたり、BGPが使われている、と考えれば良さそう。

まとめ

以前リージョン間VPN接続を試した際にカスタマゲートウェイの構築はしたことがあったので、DirectConnectで使用するカスタマーゲートウェイもそれと仕組みは同じ、ということに気づいてからは難しくなかった。