AWS Direct Connect のよくある質問

ページトピック

一般的な質問
8
定義
13
高可用性と回復性
10
AWS Direct Connect SiteLink AWS
14
ローカル ゾーン
5
サービスの相互運用性
4
リンクアグリゲーショングループ
22
請求
10
仕様
13
VPN 接続
3
AWS Transit Gateway サポート
14
AWS Direct Connect ゲートウェイ
25
ローカルプリファレンスコミュニティ
13
AWS Direct Connect ゲートウェイ – プライベート ASN
19
MACsec
10
AWS Direct Connect のメンテナンス
6

一般的な質問

AWS Direct Connect は、AWS への接続にインターネットを使用しない、代替的な方法を提供するネットワークサービスです。AWS Direct Connect を使用すると、従来はインターネット上で転送されていたデータを、お客様の設備と AWS 間のプライベートネットワーク接続を通じて配信することができます。多くの場合、プライベートネットワーク接続はコストを削減し、帯域幅を増加させ、インターネットベースの接続よりも一貫性のあるネットワークサービスを提供することができます。Amazon Elastic Compute Cloud (EC2)、Amazon Virtual Private Cloud (VPC)、Amazon Simple Storage Service (S3)、Amazon DynamoDB など、AWS のすべてのサービスを AWS Direct Connect とともに使用できます。

AWS Direct Connect は、AWS への接続にインターネットを使用しない、代替的な方法を提供するネットワークサービスです。AWS Direct Connect を使用すると、従来はインターネット上で転送されていたデータを、お客様の設備と AWS 間のプライベートネットワーク接続を通じて配信することができます。多くの場合、プライベートネットワーク接続はコストを削減し、帯域幅を増加させ、インターネットベースの接続よりも一貫性のあるネットワークサービスを提供することができます。Amazon Elastic Compute Cloud (EC2)、Amazon Virtual Private Cloud (VPC)、Amazon Simple Storage Service (S3)、Amazon DynamoDB など、AWS のすべてのサービスを AWS Direct Connect とともに使用できます。

AWS Direct Connect ロケーションの詳細なリストは、AWS Direct Connect のロケーションページでご覧いただけます。AWS Direct Connect を使用して、任意の AWS リージョンおよびアベイラビリティーゾーンにデプロイされた VPC に接続できます。AWS Local Zones への接続も可能です。

専用接続は 1 Gbps、10 Gbps、100 Gbps の Ethernet ポート経由で確立されるもので、単一ユーザーに専用です。ホスト型接続は、AWS との間にネットワークリンクを確保している AWS Direct Connect パートナーから供給されます。 

AWS マネジメントコンソールの [AWS Direct Connect] タブを使用して新規接続を作成します。接続をリクエストする際に、使用する AWS Direct Connect ロケーション、ポート番号、およびポート速度を選択するよう要求されます。オフィスまたはデータセンターのネットワークを AWS Direct Connect ロケーションに拡張する際のサポートが必要な場合は、Direct Connect パートナーと提携することもできます。

はい。AWS Direct Connect パートナーが、既存のデータセンターやオフィスネットワークを AWS Direct Connect ロケーションまで拡張するお手伝いをさせていただきます。詳細については、「AWS Direct Connect パートナー」を参照してください。 AWS Direct Connect ゲートウェイを使用し、あらゆる AWS Direct Connect ロケーションから、(中国を除く) どの AWS リージョンにもアクセスできます。

いいえ、AWS Direct Connect ロケーションへの接続は、オンプレミスロケーションで利用しているローカルサービスプロバイダー間の接続、または AWS Direct Connect Delivery Partner との連携が必要です。 

承認書ならびに設備接続に関する同意書 (LOA-CFA) をダウンロード後に、クロスネットワークの接続を完了する必要があります。お客様が既に AWS Direct Connect ロケーション内に設備をお持ちの場合には、クロスコネクトを完了するために、適切な通信業者に問い合わせてください。通信業者ごとの具体的な手順とクロスコネクトの料金については、「AWS Direct Connect ドキュメント」の「AWS Direct Connect ロケーションクロスコネクトのリクエスト」を参照してください。

定義

AWS Direct Connect ゲートウェイは、仮想プライベートゲートウェイ (VGW) とプライベート仮想インターフェイス (VIF) をグループ化する機能です。AWS Direct Connect ゲートウェイのリソースは世界中から利用可能です。AWS Direct Connect ゲートウェイは任意のリージョン内で作成でき、他のあらゆるリージョンからアクセスすることができます。

仮想インターフェイス (VIF) は AWS のサービスにアクセスするために必要であり、接続はパブリックもしくはプライベートのいずれかです。パブリックな仮想インターフェースでは、Simple Storage Service (Amazon S3) などのパブリックなサービスへのアクセスが可能です。プライベートな仮想インターフェースは、ユーザーの VPC へのアクセスに使用するものです詳細については、「AWS Direct Connect 仮想インターフェイス」を参照してください。

仮想プライベートゲートウェイ (VGW) は VPC の一部分であり、AWS が管理する VPN 接続と AWS Direct Connect 接続のために、エッジルーティングを提供します。仮想プライベートゲートウェイを AWS Direct Connect ゲートウェイに関連付けて、VPC で使用します。詳細については、こちらのドキュメントを参照してください。

リンクアグリゲーショングループ (LAG) とは 1 つの論理インターフェースです。リンクアグリゲーション制御プロトコル (LACP) を使用して、単一の AWS Direct Connect エンドポイントにおいて複数の専用接続を集約します。これらの接続は、単一の管理された接続と同じように扱うことが可能です。LAG での設定はグループ内のすべての接続に適用されるため、これにより設定作業を合理化できます。LAG の作成、更新、関連付けと関連付けの解除、および削除の詳細については、「AWS Direct Connect ドキュメント」の「Link aggregation groups – AWS Direct Connect (リンクアグリゲーショングループについて)」を参照してください。

LAG に対する追加料金はありません。

動的 LACP バンドルが使用されます。静的な LACP バンドルはサポートされていません。

異なる 2 つの LAG 上の VIF を同じ VGW に接続することができます。複数の LAG を使用する際のパス間のフェイルオーバー時間を改善するため、双方向フォワーディング検出 (BFD) がサポートされています。

AWS Direct Connect 回復ツールキットでは、接続ウィザードが利用でき、お客様は回復モデルを複数の中から選択することが可能になります。これらのモデルにより、お客様は SLA の目的を達成するための数種類の専用接続を決定し、発注することができます。回復モデルを選択すると、AWS Direct Connect 回復ツールキットが専用接続の注文プロセスをガイドします。回復モデルは、ユーザーが複数のロケーションで適切な数の専用接続を確保できるようにするために設計されています。

AWS Direct Connect フェイルオーバーテスト機能を使用すれば、オンプレミスネットワークと AWS の間のボーダーゲートウェイプロトコルセッションを無効にすることで、AWS Direct Connect 接続の回復性をテストできます。AWS マネジメントコンソールまたは AWS Direct Connect アプリケーションプログラミングインターフェイス (API) を使用できます。この機能の詳細については、こちらのドキュメントを参照してください。すべての商用 AWS リージョン (GovCloud (米国) を除く) でサポートされています。

プライベートならびにトランジット仮想インターフェースのためのローカルプリファレンスコミュニティでは、VPC からのトラフィックソースのリターンパスに関与するための機能が提供されます。

プライベートならびにトランジット仮想インターフェースのためのローカルプリファレンスコミュニティのユーザーには、VPC からのトラフィックソースのリターンパスに関与するための機能が提供されます。

設定可能なプライベート自律システム番号 (ASN) によって、新規で作成した AWS Direct Connect ゲートウェイでの、プライベートもしくはトランジット VIF 向けボーダーゲートウェイプロトコル (BGP) セッションの AWS 側で、ASN を設定できるようになります。この機能は、AWS 中国リージョンを除くすべての商用 AWS リージョンと AWS GovCloud (米国) でご利用になれます。

トランジット仮想インターフェイスとは、任意の AWS Direct Connect 接続で作成できる仮想インターフェイスの一種です。トランジット仮想インターフェイスは、AWS Direct Connect ゲートウェイにのみアタッチできます。1 つ以上のトランジット仮想インターフェイスにアタッチされた AWS Direct Connect ゲートウェイを使用して、サポートしている任意の AWS リージョンで最大 6 つの AWS Transit Gateway とインターフェイス接続ができます。プライベート仮想インターフェイスと同様に、1 つのトランジット仮想インターフェイス上で 1 つの IPv4 BGP セッションと 1 つの IPv6 BGP セッションを確立できます。

AWS Direct Connect ゲートウェイのマルチアカウントサポートを使用するお客様は、AWS Direct Connect ゲートウェイを使用している複数の AWS アカウントから、最大 20 個の Amazon Virtual Private Cloud (Amazon VPC)、または最大 6 つの AWS Transit Gateway を関連付けることができます。

802.1AE MAC Security (MACsec) は IEEE スタンダードの 1 つで、データの機密性、データの整合性、およびデータオリジンの信頼性を定義するものです。MACsec をサポートする AWS Direct Connect 接続を使用すると、オンプレミスネットワークもしくはコロケーションデバイスからのデータを暗号化し、選択した AWS Direct Connect のポイントオブプレゼンスに送ることができます。

AWS Direct Connect SiteLink 機能が 2 つ以上の AWS Direct Connect ロケーションで有効な場合、AWS リージョンを迂回してこれらのロケーション間でデータを送信することができます。AWS Direct Connect SiteLink は、ホスト型接続と専用接続の両方で動作します。

高可用性と回復性

いいえ、LAG により AWS への接続の回復性が向上することはありません。LAG にリンクが 2 つ以上あり、最小リンク数が 1 に設定されている場合、LAG は単一のリンク障害からユーザーを保護します。ただし、LAG の範囲外にある AWS で単一の機器障害が発生した場合は対応できません。

AWS への接続の高可用性を実現するためには、複数の AWS Direct Connect ロケーションで接続することをお勧めします。高可用性ネットワーク接続を実現する方法の詳細については、「AWS Direct Connect の回復性に関する推奨事項」を参照してください。

ユースケースに最適な回復モデルを決定する場合は、「AWS Direct Connect の回復性に関する推奨事項」ページで説明されている、回復性に関するベストプラクティスに従うことをお勧めします。回復モデルを選択すると、AWS Direct Connect Resiliency Toolkit が冗長接続の注文プロセスをガイドします。Resiliency Toolkit フェイルオーバーテスト機能を使用して、稼働前に設定をテストすることも AWS はお勧めします。 

専用の各 AWS Direct Connect 接続は、お客様のルーター上にあるポートと AWS Direct Connect デバイス間で、単一の専用接続として構成されています。冗長性が必要な場合は、2 番目の接続を確立することをお勧めします。同じ AWS Direct Connect ロケーションで複数のポートをリクエストすると、それらは AWS 冗長機器でプロビジョニングされます。 

これとは違い、バックアップ IPsec VPN 接続を設定済みの場合は、すべての VPC トラフィックが自動的にその VPN 接続にフェイルオーバーされます。パブリックのリソース (例: Simple Storage Service (Amazon S3)) との間のトラフィックは、インターネットを介してルーティングされます。バックアップの AWS Direct Connect リンクまたは IPsec VPN リンクがない場合は、Amazon VPC のトラフィックは障害発生時にドロップされます。パブリックのリソースとの双方向のトラフィックは、インターネットを介してルーティングされます。

はい、AWS Direct Connect では SLA をご利用いただけます。詳細についてはこちらを参照してください。

はい、テストの時間を設定することができます。最短時間を 1 分、最長時間を 180 分に設定できます。  テストの実行中にテストをキャンセルできます。テストをキャンセルすると、ボーダーゲートウェイプロトコルセッションが復元され、テスト履歴にテストがキャンセルされたことが反映されます。

はい、AWS マネジメントコンソールまたは AWS CloudTrail を使用して、テスト履歴を確認できます。テスト履歴は 365 日間保存されます。仮想インターフェイスを削除すると、テスト履歴も削除されます。

設定されたテスト期間後、テスト開始前に交渉されたボーダーゲートウェイプロトコルセッションのパラメータを使用して、オンプレミスネットワークと AWS 間のボーダーゲートウェイプロトコルセッションが復元されます。

テストを開始できるのは、仮想インターフェイスを含む AWS アカウントの所有者だけです。

はい、同じ仮想インターフェイスでテストが進行している間にも、その仮想インターフェイスを削除できます。

はい、任意のタイプの仮想インターフェイスを使用して確立されたボーダーゲートウェイプロトコルセッションのために、テストを実行できます。

はい、片方または両方のボーダーゲートウェイプロトコルセッションのテストを開始できます。

ローカル ゾーン

はい、AWS Direct Connect を使用して、AWS Local Zones にデプロイされた VPC に接続することができます。データは AWS リージョンを経由せず、AWS Direct Connect 接続で AWS Local Zones と直接行き来します。これにより、パフォーマンスが向上し、レイテンシーを削減することができます。

AWS Local Zones への AWS Direct Connect のリンクは、リージョンへの接続と同じように動作します。

リージョンに接続するためにまず、新しいサブネットを作成し、それを AWS Local Zones に割り当てることで、親リージョンから AWS Local Zone にお客様の VPC を拡張します。(このプロセスの詳細は、ドキュメントの VPC を Local Zone、Wavelength Zone、または Outpost へ拡張するページに記載されています) 次に、仮想ゲートウェイ (VGW) を AWS Direct Connect プライベート仮想インターフェイス、または AWS Direct Connect ゲートウェイに関連付け、接続を行います。(詳細は、ドキュメントの仮想プライベートゲートウェイの関連付けのエントリに記載されています)

また、インターネットゲートウェイ (IGW) を使用し、AWS Direct Connect パブリック仮想インターフェイスを使用して AWS Local Zones に接続することも可能です。

はい、違いがあります。AWS Local Zones は、現時点では AWS Transit Gateway をサポートしていません。AWS Transit Gateway を通じて AWS Local Zone のサブネットに接続する場合、トラフィックは親リージョンに入り、AWS Transit Gateway で処理されて AWS Local Zone に送られ、リージョンから戻る (またはヘアピンする) ことになります。第二に、イングレスルーティングの宛先は、AWS Local Zones に直接ルーティングされません。トラフィックは、まず親リージョンにイングレスしてから、AWS Local Zones に接続し直します。第三に、最大 MTU サイズが 9001 であるリージョンとは異なり、Local Zones に接続するパケットの最大 MTU サイズは 1468 になります。Path MTU Discovery はサポートされており、推奨されています。最後に、AWS Local Zone への接続のための Single flow limit (5-tuple) は、リージョン の 5 Gbps に対し、最大 MTU (1468) で約 2.5 Gbps です。注: MTU サイズとシングルフローに関する制限は、ロサンゼルスの AWS Local Zone への AWS Direct Connect 接続には適用されません。

いいえ。リージョンへの接続とは異なり、AWS Local Zone への AWS Direct Connect 接続のバックアップとして AWS Site-to-Site VPN を使用することはできません。冗長性のために、2 つ以上の AWS Direct Connect 接続を使用する必要があります。

はい、現在の AWS Direct Connect ゲートウェイが AWS Transit Gateway と関連付けられていない場合は可能です。AWS Transit Gateway は AWS Local Zones でサポートされておらず、AWS Transit Gateway に関連付けられた DXGW は VGW に関連付けることができません。AWS Transit Gateway に関連付けられた DXGW は関連付けることができません。新しい DXGW を作成し、VGW に関連付ける必要があります。

サービスの相互運用性

はい。AWS Direct Connect 接続はそれぞれ、1 つ以上の仮想インターフェイスを使用するように構成できます。仮想インターフェースは、AWS のサービス (Amazon EC2 や Amazon S3 など) にパブリック IP スペースを使用してアクセスするように構成することも、VPC 内のリソースにプライベート IP スペースを使用してアクセスするように構成することもできます。

はい。Amazon CloudFront では、お客様が AWS 外で実行するオリジンを含む、カスタムのオリジンをサポートしています。CloudFront エッジロケーションへのアクセスは、地理的に最も近い AWS リージョンに限定されます。ただし、現在すべての北米リージョンのオンネット CloudFront オリジンへのアクセスを許可している北米リージョンでは、この制限は適用されません。AWS Direct Connect 接続のパブリック仮想インターフェイスを使用してアクセスすることができます。AWS Direct Connect を使用する場合、オリジン転送に AWS Direct Connect データ転送料金をお支払いいただくことになります。

Direct Connect ロケーションを通じ、AWS のグローバルネットワークに入った後のトラフィックは、Amazon が所有するバックボーンネットワーク内に留まります。Amazon のバックボーンネットワーク内にない CloudFront ロケーションに属するプレフィックスは、Direct Connect を介して広告されません。 広告された IP プレフィックスと Direct Connect ルーティングポリシーの詳細については、こちらをご覧ください。

AWS GovCloud (米国) に接続するためのポートを注文する場合は、AWS GovCloud (米国) のマネジメントコンソールを使用する必要があります。

A: はい。Direct Connect のパブリック仮想インターフェイスは、AGA パブリックエンドポイントで使用される AnyCast プレフィックスをアドバタイズします。

請求

セットアップ料金はありません。また、いつでもキャンセルすることができます。AWS Direct Connect パートナーが提供するサービスには、他の条件や制限が適用される場合があります。

AWS Direct Connect の料金は、ポート時間とデータ転送の 2 つについて請求されます。料金は、各ポートタイプのために消費されたポート-時間ごとに設定されています。1 時間未満のポート時間は、1 時間分として請求されます。ポートを持つアカウントには、ポート時間料金が課金されます。

AWS Direct Connect を介するデータ転送には、使用が発生したのと同じ月に請求書が送られます。データ転送に対する課金の仕組みについては、下記の追加情報をご覧ください。

いいえ。1 つのリージョンでのアベイラビリティーゾーン間のデータ転送に対しては、その使用が発生した同じ月に、通常のリージョン内データ転送料金で請求が発生します。

ホスト型接続を承認すると、ポート時間の課金が開始されます。ポート料金の請求は、ホスト型接続が利用のためにプロビジョニングされている限り、引き続き発生します。ホスト型接続への課金の停止をご希望の場合は、AWS Direct Connect パートナーに依頼して、対象のホスト型接続をキャンセルしてください。

AWS Direct Connect ロケーションでのすべてのホスト型接続のポート時間料金は、容量に応じてグループ化されています。

例えば、AWS Direct Connect ロケーションに 2 つの個別の 200 Mbps ホスト型接続があり、そのロケーションに他のホスト型接続がない場合の料金を考えてみます。2 つの個別の 200 Mbps ホスト型接続のポート時間料金は、「HCPortUsage:200M」で終わるラベルの付けられた 1 つの項目にまとめられます。合計 720 時間の月の場合、この項目のポート時間の合計は 1,440 時間、つまり、その月の合計時間にこのロケーションの 200 Mbps ホスト型接続の合計を掛けたものになります。

請求書に記載されるホスト型接続の容量の識別子は次のとおりです。

HCPortUsage:50M

HCPortUsage:100M

HCPortUsage:200M

HCPortUsage:300M

HCPortUsage:400M

HCPortUsage:500M

HCPortUsage:1G

HCPortUsage:2G

HCPortUsage:5G

HCPortUsage:10G

これらの容量の識別子は、各ロケーションにあるホスト型接続の容量に応じて、ロケーションごとに表示されますので、ご留意ください。

パブリックアドレスが必要な AWS リソース (Simple Storage Service (Amazon S3) バケット、Classic EC2 インスタンス、インターネットゲートウェイを通過する EC2 トラフィックなど) については、アウトバウンドトラフィックが同じ AWS 支払人アカウントが所有するパブリックプレフィックスを宛先とし AWS Direct Connect のパブリック仮想インターフェイス経由で AWS にアクティブに広告される場合には、データ送信 (DTO) の使用量は、AWS Direct Connect のデータ転送レートでリソース所有者に対して計算されます。

AWS Direct Connect の料金情報について詳しくは、AWS Direct Connect の料金ページをご覧ください。AWS Direct Connect 接続を容易にするため AWS Direct Connect パートナーを使用する場合、個々に発生する料金については、その AWS Direct Connect パートナーにお問い合わせください。

詳細なデータ送信割り当て機能の導入により、トランジット/プライベート仮想インターフェイス経由のデータ送信に対する課金はデータ送信が割り当てられている AWS アカウントに対して行われるようになりました。データ送信が割り当てられる AWS アカウントは、お客様のプライベート/トランジット仮想インターフェイスの使用状況に基づいて以下のように決定されます。

プライベート仮想インターフェイスは、AWS Direct Connect ゲートウェイの有無にかかわらず、Amazon Virtual Private Cloud とのインターフェイス接続に使用されます。プライベート仮想インターフェイスの場合、データ送信 (アウト) を行う AWS リソースを所有している AWS アカウントに課金されます。

トランジット仮想インターフェイスは、AWS Transit Gateway とのインターフェイス接続に使用されます。トランジット仮想インターフェイスの場合、そのトランジット仮想インターフェイスにアタッチされた AWS Direct Connect ゲートウェイに関連付けられた AWS Transit Gateway にアタッチされた Amazon Virtual Private Cloud を所有する AWS アカウントに対して課金されます。該当するすべての AWS Transit Gateway 固有の料金 (データ処理およびアタッチメント) は、Direct Connect のデータ送信 (アウト) 料金に加算されます。

AWS Direct Connect のデータ転送使用量は、管理アカウントに集約されます。

AWS マネジメントコンソールからポートを削除すると、AWS Direct Connect をキャンセルできます。サードパーティが購入したサービスもキャンセルする必要があります。例えば、コロケーションプロバイダーに連絡して AWS Direct Connect へのクロスコネクトの切断を依頼したり、お客様のリモートロケーションから AWS Direct Connect ロケーションへのネットワーク接続を提供しているネットワークサービスプロバイダーがあれば、その業者に依頼します。

別途記載がない限り、表示される料金には VAT、売上税その他取引に対して適用される一切の税金等および関税は含まれません。日本の居住者であるお客様が AWS サービスをご利用になった場合には、料金とあわせて別途消費税をご請求させていただきます。詳細はこちら。

仕様

専用接続は、1 Gbps、10 Gbps、100 Gbps ポートを利用できます。ホスト型接続の場合、50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps の接続速度を承認済の AWS Direct Connect パートナーに注文することができます。詳細については、「AWS Direct Connect パートナー」を参照してください。 

いいえ。お客様が選択したポート容量の上限までは、任意のデータ量を転送することができます。

はい。AWS Direct Connect を使用する各ボーダーゲートウェイプロトコルセッションでの広告数には、最大 100 ルートの制限があります。AWS Direct Connect の制限の詳細はこちらです

ボーダーゲートウェイプロトコルセッションで 100 ルートを超える広告を出すと、ボーダーゲートウェイプロトコルセッションが停止します。ルート数を 100 未満に減らすまで、すべてのネットワークトラフィックがその仮想インターフェイスを通過できなくなります。

AWS Direct Connect は、イーサネットトランスポートを使用したシングルモードファイバ上の 1000BASE-LX、10GBASE-LR、および 100GBASE-LR4 接続をサポートしています。お客様のデバイスでは、802.1Q VLAN をサポートする必要があります。要件の詳細については、「AWS Direct Connect ユーザーガイド」を参照してください。

いいえ、VLAN の AWS Direct Connect での使用は、仮想インターフェイス間のトラフィックを分離することのみを目的としています。

この接続には、ボーダーゲートウェイプロトコル (BGP) と自律システム番号 (ASN) および IP プレフィックスを使用する必要があります。接続を確立するには、次に示す情報が必要です。

パブリックまたはプライベートの ASN。パブリック ASN を使用する場合は、お客様が所有者であることが必要です。プライベート ASN を使用する場合は、64512~65535 の範囲内でなくてはなりません。

新しい未使用の VLAN タグ (お客様が選択)。

BGP セッションにパブリック IP (/31 または /30) が割り当てられます。 RFC 3021 (IPv4 ポイントツーポイントリンクで 31 ビットプレフィックスを使用) は、すべての Direct Connect 仮想インターフェイスタイプでサポートされています。

デフォルトでは、Amazon は BGP を介してグローバルパブリック IP プレフィックスをアドバタイズします。お客様は、所有する、または AWS から提供されているパブリック IP プレフィックス (/31 以下) を BGP を介してアドバタイズする必要があります。詳細については、「AWS Direct Connect ユーザーガイド」を参照してください。

AWS Direct Connect での自分所有の ASN 導入の詳細については下記でご確認ください。

パブリック AWS クラウドへの仮想インターフェイスを構成する場合は、お客様が所有するパブリック IP 空間からの IP アドレスが接続の両端に割り当てられている必要があります。仮想インターフェイスの接続先が VPC であり、AWS でピア IP CIDR を自動生成する選択をした場合、接続の両端の IP アドレス空間は AWS によって割り当てられ、169.254.0.0/16 の範囲内となります。

お客様は、AWS Direct Connect ロケーションがある施設内にラックスペースを調達し、近くに機器をデプロイすることができます。ただし、セキュリティ上の理由から、AWS Direct Connect のラックやケージエリアにお客様の機器を設置することはできません。詳細については、その施設の管理者にお問い合わせください。デプロイ完了後は、クロスコネクトを使用して、この機器を AWS Direct Connect に接続することができます。

非同期 BFD は各 AWS Direct Connect 仮想インターフェイスで自動的に有効になりますが、ルーターで設定されるまで起動されません。AWS では、BFD の活性検知の最小間隔が 300、BFD の活性検知の乗数が 3 に設定されています。

AWS GovCloud (米国) リージョンで使用する AWS Direct Connect のセットアップ方法に関する詳しい手順については、「AWS GovCloud (米国) ユーザーガイド」を参照してください。 

AWS Direct Connect には、ボーダーゲートウェイプロトコル (BGP) が必要です。この接続を完了するには次が必要です。

• パブリックまたはプライベートの ASN。パブリック ASN を使用する場合は、お客様が所有者であることが必要です。プライベート ASN を使用する場合は、64512~65535 の範囲内でなくてはなりません。

• 新しい未使用の VLAN タグ (お客様が選択)。

• VPC 仮想プライベートゲートウェイ (VGW) ID

• AWS は、169.x.x.x の範囲内のプライベート IP (/30) を BGP セッションに割り当てて、VPC CIDR ブロックを BGP を介して広告します。お客様は、デフォルトルートを BGP を介して広告できます。

いいえ。レイヤー 2 接続はサポートされていません。

VPN 接続

VPN 接続は、IPsec を利用して、公開インターネットを介してお客様のイントラネットと Amazon VPC 間で暗号化されたネットワーク接続を確立します。VPN 接続は必要な時にすぐ、数分で設定することができます。帯域幅要件が中程度から低い場合、インターネットベースの接続に固有の変動性に耐え得る場合には、良い解決策となります。AWS Direct Connect はインターネットをバイパスする代わりに、お客様のネットワークと AWS 間の専用のプライベートネットワーク接続を使用します。

はい、しかしフェイルオーバーの場合のみです。AWS Direct Connect パスが確立されると、AS パスプリペンドに関係なく、常に Direct Connect パスが優先されます。ご使用の VPN 接続が、AWS Direct Connect からのフェイルオーバートラフィックを処理できるようにしてください。

VPN BGP は AWS Direct Connect と同様に動作します。

AWS Transit Gateway サポート

AWS Transit Gateway に対するサポートは、すべての商用 AWS リージョンでご利用いただけます。

AWS マネジメントコンソールまたは API 操作を使用すると、トランジット仮想インターフェイスを作成できます。

はい、すべての AWS アカウントでトランジット仮想インターフェースを割り当てることができます。

いいえ、仮想プライベートゲートウェイにトランジット仮想インターフェイスをアタッチすることはできません。

いいえ、AWS Transit Gateway にプライベート仮想インターフェイスをアタッチすることはできません。

トランジット仮想インターフェイスに関する制限の詳細については、AWS Direct Connect のクォータに関するページをご覧ください。

いいえ、AWS Direct Connect ゲートウェイにアタッチできる仮想インターフェイスは 1 種類だけです。

いいえ、AWS Transit Gateway は、トランジット仮想インターフェイスがアタッチされている AWS Direct Connect ゲートウェイにのみ関連付けることができます。

AWS Transit Gateway と AWS Direct Connect ゲートウェイの間の関連付けを確立するのには、最大で 40 分程かかることがあります。

トランジット仮想インターフェイスを含め、1 Gbps、10 Gbps または 100 Gbps の専用接続あたり最大 51 個の仮想インターフェイスを作成できます。

はい。

10 Gbps の LAG を 4 つ使用する場合には、1 つのトランジット仮想インターフェイスを作成できます。

はい、トランジット仮想インターフェイスは、ジャンボフレームをサポートしています。最大伝送単位 (MTU) サイズは 8,500 に制限されます。

はい、トランジット仮想インターフェイスでも、サポートされている BGP 属性 (AS_PATH、Local Pref、NO_EXPORT) を引き続き使用できます。

AWS Direct Connect ゲートウェイ

AWS Direct Connect ゲートウェイには、次のようないくつかの機能があります。

AWS Direct Connect ゲートウェイにより、(AWS 中国リージョンを除く) AWS の全リージョンの VPC と接続できるインターフェイスが提供されます。複数の AWS リージョン間で AWS Direct Connect 接続によるインターフェイスが使用できるようになります。

1 つのプライベート仮想インターフェイスを共有して最大 10 個の VPC とのインターフェイス接続ができます。これにより、オンプレミスネットワークと AWS デプロイとの間の、ボーダーゲートウェイプロトコルセッション数を減らすことができます。

AWS Direct Connect ゲートウェイにトランジット仮想インターフェイス (VIF) をアタッチした上で、その Direct Connect ゲートウェイに AWS Transit Gateway を関連付けることで、トランジット仮想インターフェイスを共有することができ、最大 3 つの AWS Transit Gateway との接続が可能になります。これにより、オンプレミスネットワークと AWS のデプロイ間での、ボーダーゲートウェイプロトコルセッション数を削減できます。AWS Direct Connect ゲートウェイにトランジット VIF が接続されると、このゲートウェイは他のプライベート VIF をホストできなくなり、接続されているトランジット VIF 専用になります。

仮想プライベートゲートウェイと関連つけられた Amazon VPC の複数の IP CIDR ブロックがオーバーラップしない限り、AWS Direct Connect ゲートウェイに対しては、複数の仮想プライベートゲートウェイ (VPC に関連つけられた VGW) を関連付けることができます。

はい、Transit Gateway からアナウンスされる IP CIDR ブロックが重複しない限り、最大 3 つの AWS Transit Gateway を AWS Direct Connect ゲートウェイに関連付けることができます。

はい、ある AWS アカウントが所有する VPC を、別の AWS アカウントが所有する AWS Direct Connect ゲートウェイに関連付けることができます。

はい、ある AWS アカウントが所有する AWS Transit Gateway を、別の AWS アカウントが所有する AWS Direct Connect ゲートウェイに関連付けることができます。

いいえ、AWS Direct Connect ゲートウェイを使用する場合、ユーザーが接続している AWS Direct Connect ロケーションに関連付けられた AWS のホームリージョンに関係なく、トラフィックは AWS Direct Connect ロケーションから送信先の AWS リージョン間 (およびその逆方向で) の最短パスを取ります。

AWS Direct Connect ゲートウェイの使用に追加料金はかかりません。ソースとなるリモート AWS リージョンとポート時間の料金に基づいて、該当するエグレスデータに料金が発生します。詳細については、AWS Direct Connect の料金ページを参照してださい。 

はい、プライベート仮想インターフェイスと AWS Direct Connect ゲートウェイは、同一の AWS アカウントに置かれる必要があります。同様に、トランジット仮想インターフェイスと AWS Direct Connect ゲートウェイも、同一の AWS アカウント内に置く必要があります。仮想プライベートゲートウェイまたは AWS Transit Gateway の場合は、AWS Direct Connect ゲートウェイを所有する AWS アカウントとは別のアカウントに配置できます。

Elastic File System、Elastic Load Balancing、Application Load Balancer、セキュリティグループ、アクセスコントロールリスト、AWS PrivateLink などのネットワーク機能は AWS Direct Connect ゲートウェイで引き続き使用できます。AWS Direct Connect ゲートウェイは、AWS VPN CloudHub の機能をサポートしません。ただし、AWS Direct Connect ゲートウェイに関連付けられる仮想ゲートウェイ (VGW) への AWS Site-to-Site VPN 接続を使用している場合は、VPN 接続をフェイルオーバーに使用することができます。

AWS クラシック VPN、AWS VPN (エッジツーエッジのルーティングなど)、VPC ピアリング、VPC エンドポイントの機能は、現在 AWS Direct Connect でサポートされていません。

はい、自分の AWS アカウントでプライベートとしてプロビジョニングされていることを確認できれば、プロビジョニングされたプライベート仮想インターフェイス (VIF) を AWS Direct Connect ゲートウェイに関連付けることができます。

この場合にも、仮想インターフェイス (VIF) を仮想プライベートゲートウェイ (VGW) にアタッチすることができます。リージョン内部での VPC 接続も引き続きご利用いただけ、また、該当する地理的リージョンでのエグレス料金が課金されます。

このトピックに関する情報は、AWS Direct Connect のクォータに関するページをご覧ください。

いいえ、単一の VGW-VPC ペアは、複数の AWS Direct Connect ゲートウェイで使用できません。

いいえ。1 つのプライベート仮想インターフェイスは、1 つの AWS Direct Connect ゲートウェイ、または 1 つの仮想プライベートゲートウェイにのみアタッチできます。AWS Direct Connect の回復性に関する推奨事項に従い、複数のプライベート仮想インターフェイスをアタッチすることをお勧めします。 

いいえ、AWS Direct Connect ゲートウェイは AWS VPN CloudHub に影響しません。AWS Direct Connect ゲートウェイでは、すべての AWS リージョンで、オンプレミスネットワークと VPC の間を接続できます。AWS VPN CloudHub では、AWS Direct Connect または VPN を使用して、同一リージョン内のオンプレミスネットワーク間を接続することができます。VIF は VGW と直接関連付けられます。既存の AWS VPN CloudHub 機能は引き続き利用できます。リージョン内の AWS VPN CloudHub をサポートするためには、AWS Direct Connect 仮想インターフェイス (VIF) を、仮想プライベートゲートウェイ (VGW) に直接アタッチします。

利用できるトラフィックパターンおよび利用できないトラフィックパターンを確認するには、「AWS Direct Connect ユーザーガイド」をご覧ください。 

いいえ、この場合、AWS Direct Connect ゲートウェイは使用できません。別の選択肢として、VIF を VGW に直接接続して VPN <-> AWS Direct Connect AWS VPN CloudHub ユースケース間の相互接続をする方法があります。

いいえ、VGW に関連付けられた既存のプライベート仮想インターフェイスは AWS Direct Connect ゲートウェイと関連付けることはできません。関連付けるには、プライベート仮想インターフェイスを新規作成してください。新規作成時に AWS Direct Connect ゲートウェイと関連付けます。

はい。VPC ルートテーブルが、VPN へ向かう仮想プライベートゲートウェイ (VGW) へのルートを保持している限りはルーティングが行われます。

いいえ、アタッチされていない VGW を AWS Direct Connect ゲートウェイに関連付けることはできません。

デタッチされた VPC へのオンプレミスネットワークからのトラフィックは停止します。また、VGW と AWS Direct Connect ゲートウェイとの関連付けも削除されます。

デタッチされた (VPC に関連付けられている) VGW への、オンプレミスネットワークからのトラフィックは停止します。

いいえ、AWS Direct Connect ゲートウェイでは AWS Direct Connect VIF から (VPC に関連付けられている) VGW へのトラフィックのルーティングのみ有効です。2 つの VPC 間でトラフィックを伝送するには、VPC ピアリング接続を構成する必要があります。

いいえ。AWS Direct Connect ゲートウェイは VPN と AWS Direct Connect VIF の間のトラフィックをルーティングしません。このようなユースケースを有効にするには、その VIF の AWS リージョンに VPN を作成し、VIF と VPN を同じ VGW にアタッチする必要があります。

はい、VPC はサイズの変更が可能です。VPC のサイズを変更する際には、サイズ変更済みの VPC CIDR を添えた提案書を、再度 AWS Direct Connect ゲートウェイの所有者に送る必要があります。新しい提案書を AWS Direct Connect ゲートウェイの所有者が承認すると、サイズ変更済みの VPC CIDR がオンプレミスネットワーク向けに広告されます。

はい。AWS Direct Connect ゲートウェイは、オンプレミスのネットワークに対してプレフィックスを選択的にアナウンスする方法を提供します。オンプレミスのネットワークから広告されるプレフィックスの場合、AWS Direct Connect ゲートウェイに関連付けられている各 VPC は、オンプレミスネットワークからアナウンスされるすべてのプレフィックスを受信します。特定の VPC との間のトラフィックを制限したい場合は、各 VPC にアクセスコントロールリスト (ACL) を使用することをご検討ください。

ローカルプリファレンスコミュニティ

はい。プライベート仮想インターフェイスのすべての既存 BGP セッションで、ローカルプリファレンスコミュニティの使用がサポートされています。

いいえ。現時点でこの機能が使用できるのは、プライベートおよびトランジットの仮想インターフェイスのみです。

はい、この機能は AWS Direct Connect ゲートウェイにアタッチされたプライベート仮想インターフェイスと併用できます。

いいえ。現時点でそのようなモニタリング機能は提供していません。

プライベート仮想インターフェイスでは以下のコミュニティがサポートされ、プリファレンスの最低から最高への順に評価されています。各コミュニティは相互に排他的です。同じコミュニティでマークされ、同一の MED*、AS_PATH 属性を持つプレフィックスが、複数経路化の候補になります。

7224:7100 – プリファレンス低

7224:7200 – プリファレンス中

7224:7300 – プリファレンス高

プライベート VIF のためにローカルプリファレンスコミュニティを指定しなかった場合、デフォルトのローカルプリファレンスは、ローカルリージョンから AWS Direct Connect ロケーションへの距離に基づきます。この状況で、複数の AWS Direct Connect ロケーションからの複数 VIF にまたがる送信動作は任意です。

はい。この機能を使用して、同じ物理接続に存在する 2 つの VIF 間の送信トラフィックの動作に影響を与えることができます。

はい。これは、バックアップ/パッシブ仮想インターフェイスでアドバタイズされるプレフィックスよりも高いローカルプリファレンスのコミュニティを使用して、プライマリ/アクティブ仮想インターフェイス経由のプレフィックスをアドバタイズすることで実現できます。この機能はフェイルオーバーを実現する既存の方法と後方互換であるため、既に接続にフェイルオーバーが設定されている場合、変更は不要です。

いいえ。AS_PATH 属性は引き続き優先されます。この機能は、AWS からの着信トラフィックの制御を向上させるための追加手段です。AWS Direct Connect は、経路選択の標準的アプローチに従います。ローカルプリファレンスは AS_PATH 属性より先に評価される点に注意してください。

プレフィックスごとに最大 16 ネクストホップまでマルチパス化します。各ネクストホップは別個の AWS エンドポイントです。

現時点では、IPv4 アドレスを使用する単一の VPN トンネルを実行する、v4 BGP セッションのみを許可しています。

現時点では、VPN については IPv4 エンドポイントアドレスのみサポートしています。 

現時点では、IPv4 アドレスを使用する単一の VPN トンネルを実行する、v4 BGP セッションのみを許可しています。

AWS Direct Connect ゲートウェイ – プライベート ASN

設定可能なプライベート自律システム番号 (ASN) です。これにより、お客様は、新たに作成された AWS Direct Connect ゲートウェイで、プライベート VIF に BGP セッションの AWS 側の ASN を設定できます。

AWS 中国リージョンを除くすべての商用 AWS リージョンと AWS GovCloud (米国) で有効です。

AWS Direct Connect ゲートウェイの新規作成時に、AWS 側 ASN としてアドバタイズされるように ASN の設定および割り当てを行えます。AWS マネジメントコンソールまたは CreateDirectConnectGateway API オペレーションを使用して AWS Direct Connect ゲートウェイを作成できます。

AWS 側には、任意のプライベート ASN を割り当てることができます。パブリック ASN はどれも割り当てることはできません。

AWS は ASN の所有者を検証しません。このため、AWS 側 ASN をプライベート ASN のみに制限しています。お客様を BGP スプーフィングから保護したいと考えています。

任意のプライベート ASN を選択できます。16 ビットのプライベート ASN の範囲は、64512~65534 です。32 ビット ASN では、4200000000~4294967294 を利用できます。

AWS Direct Connect ゲートウェイの作成を試みると、プライベート ASN を再入力するように求められます。

ASN を選択しない場合、AWS により AWS Direct Connect ゲートウェイ用に 64512 という ASN が使用されます。

AWS 側の ASN は、AWS Direct Connect コンソール内と、DescribeDirectConnectGateways または DescribeVirtualInterfaces API オペレーション時の応答に表示されます。

はい、BGP セッションの AWS 側にプライベート ASN を、お客様側にパブリック ASN を設定できます。

希望する ASN で AWS Direct Connect ゲートウェイを新規作成し、作成された新しい AWS Direct Connect ゲートウェイで VIF を新規作成する必要があります。デバイス設定も必要に応じて変更する必要があります。

いいえ、AWS Direct Connect ゲートウェイごとに個別の AWS 側 ASN を割り当ておよび設定できますが、VIF ごとに割り当ておよび設定することはできません。VIF の AWS 側 ASN は、アタッチされた AWS Direct Connect ゲートウェイの AWS 側 ASN から継承されます。

はい、AWS Direct Connect ゲートウェイと仮想プライベートゲートウェイ用に異なるプライベート ASN を使用できます。受信する AWS 側の ASN はプライベート仮想インターフェイスの関連付けに依存します。

はい、AWS Direct Connect ゲートウェイと仮想プライベートゲートウェイ用に同一のプライベート ASN を使用できます。受信する AWS 側の ASN はプライベート仮想インターフェイスの関連付けに依存します。

AWS Direct Connect ゲートウェイプライベート ASN が、お客様のネットワークと AWS 間のボーダーゲートウェイプロトコル (BGP) セッションの AWS 側 ASN として使用されます。

独自のプライベート ASN は、AWS Direct Connect ゲートウェイコンソール内で選択できます。AWS Direct Connect ゲートウェイに AWS 側 ASN が設定されると、AWS Direct Connect ゲートウェイに関連付けられたプライベート仮想インターフェイスでは、設定された ASN が AWS 側 ASN として使用されます。

変更は不要です。

4200000000~4294967294 の 32 ビット ASN が利用できます。

いいえ、作成後は AWS 側 ASN を変更できません。AWS Direct Connect ゲートウェイを削除した上で、希望するプライベート ASN を使用して新しい AWS Direct Connect ゲートウェイを再作成することは可能です。

MACsec

MACsec は、他の特定の技術を代替することを目的にしてはいません。シンプルさを維持しつつ深い防御を獲得するためにも、現時点で使用しているすべての暗号化技術を、引き続き使用されることをお勧めします。当社では MACsec を、既に使用している他の暗号化技術への追加オプションとして、ネットワーク内に統合するものとしてご提供しています。

選択した POP (Point Of Presence) での AWS Direct Connect 専用接続 (10 Gbps および 100 Gbps) が、MACsec をサポートしています。MACsec が機能するためには、専用接続がレイヤー 2 トラフィックに対して透過的であり、レイヤー 2 隣接を終了するデバイスが MACsec をサポートしている必要があります。ラストマイル (加入者回線) 接続を提供するパートナーをご利用のお客様は、ご使用の接続で MACsec をサポートしているかをチェックしてください。1 Gbps の専用接続もしくはホスト型接続では、MACsec はサポートされていません。

はい。AWS Direct Connect ロケーションとの間の Ethernet 接続のユーザー側に、MACsec 対応のデバイスが必要となります。サポートされているオペレーションモードと必要な MACsec 機能を検証する場合は、ユーザーガイドの MAC セキュリティセクションをご覧ください。

MACsec では、接続の AWS Direct Connect 側にある MACsec 対応デバイスで、接続が終端されることが必要です。既存の接続が MACsec 対応かどうかは、AWS マネジメントコンソールから、もしくは DescribeConnections AWS Direct Connect API を使用して確認できます。既存の MACsec 接続が MACsec 対応デバイスで終了していない場合は、AWS マネジメントコンソールまたは CreateConnection API を使用して MACsec 対応の新しい接続をリクエストできます。

100 Gbps 接続の場合、GCM-AES-XPN-256 暗号スイートをサポートします。 10 Gbps 接続の場合は、GCM-AES-256 および GCM-AES-XPN-256 をサポートします。

アドバンストデータ保護を提供するために、サポートする MACsec キーは 256-bit のみとなっています。

100 Gbps 接続の場合は、XPN を使用する必要があります。10 Gbps 接続の場合は、GCM-AES-256 および GCM-AES-XPN-256 の両方をサポートします。例えば 100 Gbps の専用接続といった高速の接続では、32-bit による MACsec オリジナルのパケットナンバリング空間がすぐに枯渇してしまいます。新しく接続アソシエーションを確立するために、数分間隔で暗号化キーをローテーションする必要があるからです。この状況を回避するために、IEEE Std 802.1AEbw-2013 改定版において拡張パケットナンバリングが導入されました。これにより、ナンバリング空間が 64-bit へ拡大され、キーローテーションの瞬時性に関する要求が緩和されました。

はい。SCI は常にオンにする必要があります。この設定を変更することはできません。

いいえ。VLAN タグを暗号化されたペイロードの外部に移動することはサポートしていません。

いいえ、MACsec に対する追加料金はありません。

Direct Connect のメンテナンス

AWS Direct Connect のメンテナンス

定期メンテナンスの予定が立てられており、10 営業日前、5 営業日前、その後 1 営業日前に 3 回通知を行います。緊急メンテナンスは随時実施され、メンテナンスの内容によって最短で 60 分前に通知が届く場合があります。AWS Direct Connect コンソールで通知を購読できます。詳細については、「Direct Connect のスケジュールされたメンテナンスやイベントの通知」を参照してください。   

イベントを管理しやすくするため、AWS Personal Health Dashboard には関連情報が表示されるほか、アクティビティの通知も提供されます。また、スケジュールされているメンテナンスや Direct Connect に影響するイベントの通知を受け取るように E メール通知を設定することもできます。

Direct Connect は世界規模であるため、メンテナンスを

週末だけに限定することはできません。予定していたメンテナンスをすべての曜日に分散しました。メンテナンスは通常、デバイスごとに行われます。つまり、dxcon-xxxxxx は影響を制限するための最小単位であるため、AWS Direct Connect の回復性に関する推奨事項に従って、信頼性が高くスケーラブルで費用対効果の高い方法で AWS リソースへの回復性の高いネットワーク接続をセットアップすることを強くお勧めします。

Direct Connect 接続がメンテナンスのために停止する場合、その接続の停止時間は数分から数時間に及ぶ可能性があります。このダウンタイムに備えるには、次のいずれかのアクションを実行してください。

冗長 Direct Connect 接続を要求する。

AWS Site-to-Site VPN (仮想プライベートネットワーク) 接続をバックアップとして設定する。

Direct Connect のメンテナンス中は、トラフィックを別の回線にシフトするのがベストプラクティスです。本番環境のトラフィックの中断を防ぐために、スケジュールされたメンテナンス期間の前に前述のオプションのいずれかを使用してください。AWS Direct Connect Resiliency を使用することもできます

Toolkit を使用して、スケジュールされたフェイルオーバーテストを実行し、接続の回復力を検証できます。

AWS は適宜、可用性を向上させ、お客様に新機能を提供するために、計画的なメンテナンスを実施しています。緊急ではないメンテナンスや計画的なメンテナンスの通常のプロセスでは、お客様に 10 営業日以上前に通知します。これにより、お客様は事前に冗長性をテストして影響を最小限に抑えるように準備できます。詳細については、「Direct Connect のメンテナンスイベントをキャンセルする方法を教えてください」を参照してください。

パートナーは AWS からの計画的メンテナンス通知に含まれているため、それに応じて計画を立てることができます。AWS ではパートナーのメンテナンスアクティビティを確認できません。予定されているメンテナンススケジュールについては、パートナー/プロバイダーに確認する必要があります。お客様は、パートナーのメンテナンス期間が重複するリスクを最小限に抑えるために、異なる Direct Connect ロケーションで 2 社の異なるパートナーを利用することを検討してください。