참고 자료

https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-aws-direct-connect-123494683

https://aws.amazon.com/jp/directconnect/?nc=sn&loc=0

https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf

개요

전용 라인을 사용하여 서비스

를 프리젠테이션 환경에서 AWS로 연결

일반 인터넷 연결

저렴한 아웃바운드 비즈니스(AWS 영역에서 AWS Direct Connect로만 전송되는 데이터 요금)

안정적이고 양호한 네트워크 품질(일반 네트워크 대역폭과 달리 혼잡의 영향을 받지 않음)

용례

대규모 데이터 세트 사용

Direct Connect를 사용하지 않고 대용량 데이터를 전송하려면 ISP의 주파수 대역 향상 필요

높은 재계약비

기한계약
- Direct Connect는 간단한 온디맨드 요금제로 일정 기간 계약 없이 연결에 사용되는 네트워크 포트와 전송된 데이터만 결제

실시간 데이터 소스

사용자가 라우팅을 제어할 수 있으므로 일관성 있는 네트워크 환경

소리나 애니메이션의 응용 등 네트워크의 대기 시간이 일정한 상황에서 가장 효과적인 효과

혼합 환경

전용 연결이 제한적인 경우 활용

하지만 AWS VPN도 구현 가능

물리적 연결

연결 방법

전용 접속 (전유)

전용선으로 연결Direct Connect Location

도쿄에는 Equinix TY2(도쿄)/OS1(오사카) 등 4개

1Gbps/10Gbps를 지원하는 포트 속도

연결 모드

Link Aggregation Group (LAG)

LACP(Link Aggregation Control Protocol)를 사용하여 여러 연결을 하나의 AWS Direct Connect 노드에 통합하고 이를 관리형 연결의 논리적 인터페이스로 간주

구속

모든 연결은 전용 연결

모든 연결에 동일한 대역폭

최대 4개

동일한 AWS Direct Connect 끝

Cloud Watch 처리 가능 도량

LOA의 발행장소 기재
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/lags.html

전용 연결(공유)

Cloud Watch에서 메트릭을 처리할 수 없음

LOA가 기재되지 않은 발행 장소, 파트너 이름 표시

호스트 연결

파트너는 사용자에게 Hosted Connection이라고 하는 가상 Connection

을 제공합니다.

1Gbps 이하 접속 시 사용

50100200300400500Mbps의 임의 대역

전용

사용자는 Hosted Connection의 VIF 중 하나만 자유롭게 설정할 수 있습니다

Cloud Watch에서 메트릭을 처리할 수 없음

LOA가 기재되지 않은 발행 장소, 파트너 이름 표시

서로 다른 노선 서비스에서 군더더기를 얻는 상황에서 각 노선의 경로 홍보 유형이 다르면 의외의 경로 이탈의 원인이 될 수 있으므로 주의해야 한다

가상 인터페이스 = VIF

연결(물리적 연결)을 통해 AWS 리소스에 액세스하는 논리적 인터페이스

AWS와 사용자 라우터 간에 BGP일 등가를 설정하고 경로를 교환하는 데 필요

VLAN ID

private/public

개인 주소를 통해 Private VIF: VPC에 연결

Public VIF: 공용 IP를 통해 AWS의 모든 영역에 Public VIF

를 연결합니다.

연결

교차 계정 사용

Connection 계정이 있으면 다른 계정에 VIF

제공 가능

전용 연결

사용자 라우터에는 BGP, MD5 인증, IEEE802.1q VLAN 지원이 필요합니다

VPC의 CIDR(IPv4/v6) AWS 광고

Jumbo Frame이 지원(MTU=9001)

VPN 연결, 인터넷 게이트웨이를 통한 업무가 1500MTU로 제한되므로 DirectConnect가 좋다

Private VIF를 사용하여 다중 VPC 연결

여러 PrivateVIF를 사용하여 여러 VPC에 연결

여러 AWS 계정에 온라인으로 연결할 수 있는 VPC

Direct Connection Location과 연관된 영역만 연결할 수 있는 VPC

임시 연결에서

공통 연결

공공 VIF를 사용하여 중국을 제외한 모든 지역의 공공 서비스 연결

AWS에 공통 IP 주소 NAT

중국을 제외한 모든 지역의 AWS 서비스의 공공 IP 주소는 AWS 광고

입니다.

공공 VIF를 사용하여 공공 서비스 연결

AWS Direct Connect Gateway

파트너 직접 연결

고가용성

이중화 옵션

https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf

이중 위치

다중 직접 연결 이중화

VGW는 내부적으로 이중화되므로 이중화 의식이 필요 없음

같은 위치의 군더더기는 전통적인 방법이다.지금은 모범 사례가 아닙니다.

BGP 경로 속성을 사용한 경로 제어

TIPS: 일부 라우터 OS에서 Graceful Restart* 기능이 기본적으로 활성화된 BFD 및 Graceful Restart를 동시에 사용하는 경우 예상되는 페일오버를 감지하지 못하고 전환하는 데 시간이 걸리므로 비활성화하는 것이 좋습니다.

페일오버 시간 단축

비용 제어 조건에 적용되는 이중화

Standby로 전환할 때 통신 품질 저하 허용

파트너 서비스에 따라 원하는 경로 설계가 불가능한 경우가 있으므로 사전 확인 필요

BGP의 AS 경로 속성에서 VPN 측면이 우선인 경우에도 AWS → 온라인 혼합 방향의 통신이 우선합니다. Direct Connect

파트너 네트워크를 통한 이중화

직접 접속 게이트웨이 이중화

생산과 개발의 자원을 분리하는 관점에서 DXGW를 분리하려는 요구가 있음
VGW 부착 제한 없음

(내부 이중화된 DirectConnectGateway)

전송 게이트웨이 이중화

TGW를 분리할 필요가 없는 이유: HyperPlane

대량의 자원을 가상 분할 및 제공

TIPS: TGW를 분리하여 사용하는 각 VPC CIDR의 물리적 선을 분할할 수 있습니다.

파트너 서비스 중 VPC 하나만 사용할 수 없는 경우 등

장애 응답

게임의 날

복구 성능 향상

각종 제한

보안

계정당 MFA(Multi-Electronic Authentication)를 사용합니다.

TLS를 사용하여 AWS 리소스와 통신합니다.TLS1.2 이상의 버전을 권장합니다.

AWS CloudTrail을 사용하여 API 및 사용자 활동 로그를 설정합니다.

아마존 Macie와 같은 고급 위탁 관리 보안 서비스를 사용한다.이것은 아마존 S3에 저장된 개인 데이터를 검측하고 보호하는 데 도움을 줄 것이다.

- 명령줄 인터페이스나 API를 사용하여 AWS에 액세스할 때 FIPS140-2 인증을 받은 암호화 모듈이 필요한 경우 FIPS 끝점을 사용합니다.

데이터 보호

상태 모니터링

AWS Direct Connect는 AWS Direct Connect 연결의 다음 도량을 30초 간격으로 아마존 CloudWatch

에 전송합니다.

아마존 CloudWatch 1분 또는 5분 간격으로 데이터 포인트 적립
###Cloud Watch DX 연결 메트릭

VIF 메트릭

가용 비트

BGP(Border Gateway Protocol).데이터 패키지의 목적지를 정확하게 파악하고 유지하는 데 사용되는 경로 제어 기술의 대표적인 프로토콜참조: https://www.nic.ad.jp/ja/newsletter/No35/0800.html↩
네트워크 연결의 최대 전송 단위(MTU)는 일반적으로 1500바이트이지만, 각 그룹의 유효 하중 크기를 확장하여 그룹 비용 이외의 그룹의 비율을 높여 1500바이트 이상의 데이터를 전송할 수 있다.  ↩