451-AWS SAP AWS 「理論・実践・一問道場」セカンダリーパス

type

status

date

slug

summary

理論

AWS環境における冗長性、可用性、セキュリティを確保するためのネットワーク接続の設計に関連する汎用的な知識は、クラウドインフラの可用性と耐障害性を高めるための基盤となります。以下にその主要なコンセプトを簡潔に説明します。

1. AWS Direct Connect

AWS Direct Connectは、オンプレミスのデータセンターとAWS間の専用ネットワーク接続を提供します。この接続はインターネットを使用しないため、高い帯域幅と低遅延が提供され、データ転送が安定しています。しかし、単一接続の障害が発生すると、全体の接続が影響を受けるため、冗長性の確保が重要です。

冗長性の確保: 複数のDirect Connect接続を使用することで、接続の冗長性を高めることができます。しかし、追加の専用線やインフラコストが発生するため、コストが高くなります。

2. AWS Site-to-Site VPN

Site-to-Site VPNは、インターネットを介してオンプレミスネットワークとAWS間を接続するためのセキュアな通信トンネルを作成するサービスです。VPN接続は、インターネットを利用するため、Direct Connect接続のバックアップとして利用されることが多いです。VPNは比較的コストが低く、柔軟に設定できるため、セカンダリーパスとして非常に有用です。

静的VPN vs 動的VPN: 静的VPNは設定がシンプルで運用が容易ですが、動的VPNはより柔軟で高い可用性を提供するため、用途に応じて使い分けることができます。

静的VPNは、接続先が固定されており、変更のないシンプルなネットワークに最適です。例えば、単一のオフィスと外部サービスとの接続で使用されます。

動的VPNは、拠点数が多く、頻繁にルート変更や冗長性の確保が必要な場合に適しており、大規模な企業ネットワークでの使用が一般的です。

3. 冗長性と可用性の設計

冗長性を確保するためには、複数の接続経路を利用することが基本です。AWS環境では、以下の方法で冗長性を強化できます。

複数のDirect Connect接続: 異なる物理的経路を使用して冗長性を持たせる。

VPNバックアップ: Direct Connectが利用できない場合に備え、VPN接続をバックアップとして設定します。

複数のAWSリージョンやアベイラビリティゾーン(AZ): 複数のリージョンやAZを利用することで、単一の障害点を排除します。

4. セキュリティ

AWSのネットワーク接続においては、データの安全性を確保するために暗号化が必要です。特に、インターネット経由の通信であるVPN接続や、Direct Connect経由で送受信されるデータに対しては、MACsec（Media Access Control Security）やIPsec（Internet Protocol Security）による暗号化が推奨されます。

5. コスト管理

冗長性や可用性を高めるための接続は重要ですが、コスト効果を考慮した設計が求められます。特に、VPN接続は比較的低コストで冗長性を確保できるため、コスト効率が良い選択肢となります。一方で、Direct Connect接続は高い帯域幅や低遅延が求められる場面においては非常に有用ですが、コストが高くなる点を理解しておく必要があります。

まとめ

AWSのネットワーク接続における冗長性、可用性、セキュリティを確保するためには、複数の接続経路やバックアップ接続を利用することが重要です。コスト効率を最適化するためには、VPNやDirect Connectを適切に組み合わせることが求められます。

実践

略

一問道場

会社は製造アプリケーションのためにAWS環境を設計しています。このアプリケーションは顧客に好評で、ユーザー数が増加しています。現在、会社はAWS環境とオンプレミスのデータセンターを1GbpsのAWS Direct Connect接続でつないでおり、BGPを設定しています。

会社は、既存のネットワーク接続ソリューションを更新し、可用性、耐障害性、セキュリティを高める必要があります。どのソリューションが最もコスト効率良く、要件を満たすでしょうか？

A. データ転送中のセキュリティを強化し、Direct Connect接続の冗長性を提供するために、動的なプライベートIP AWS Site-to-Site VPNをセカンダリーパスとして追加します。また、MACsecを設定してDirect Connect接続内のトラフィックを暗号化します。

B. 会社のオンプレミスデータセンターとAWS間に別のDirect Connect接続を追加し、転送速度を向上させ、冗長性を確保します。MACsecを設定してDirect Connect接続内のトラフィックを暗号化します。

C. 複数のプライベートVIFを設定し、オンプレミスデータセンターとAWS間でデータをロードバランスして冗長性を提供します。

D. データ転送中のセキュリティを強化し、Direct Connect接続の冗長性を提供するために、静的なAWS Site-to-Site VPNをセカンダリーパスとして追加します。

解説

この問題における最もコスト効率の良い解決策は、D. 静的なAWS Site-to-Site VPNをセカンダリーパスとして追加し、Direct Connect接続の冗長性を提供するです。

理由:

コスト効果: Site-to-Site VPNは、Direct Connectに比べて導入・運用コストが低いため、冗長性を追加する際に非常にコスト効率が良いです。静的VPNは手間も少なく、追加の高価な専用回線を使わずに済みます。

冗長性と可用性: AWS Direct Connectは信頼性が高いですが、単一の接続が切断されるリスクがあるため、セカンダリーパスとしてAWS Site-to-Site VPNを追加することで、冗長性を確保できます。VPN接続はインターネット経由で構成できるため、Direct Connectの回線がダウンした場合にバックアップとして機能します。