AWS Direct Connect Gateway 実装ガイド - 複数VPC接続の設計とベストプラクティス
AWS Direct Connect Gateway(DX Gateway)は、単一のDirect Connect接続を通じて複数のVPCや複数のAWSアカウントに接続するためのグローバルリソースです。従来のVirtual Private Gateway(VGW)では困難だった大規模なマルチVPC環境でのDirect Connect活用を可能にします。
この記事では、Direct Connect Gatewayの実装手順から運用のベストプラクティスまで、中級レベルの技術者向けに詳しく解説します。
Direct Connect Gatewayの価値と位置づけ
従来の制約と課題
Virtual Private Gatewayの制限
- 1つのVGWは1つのVPCにのみアタッチ可能
- 複数VPCでDirect Connectを利用する場合、各VPCごとにVIFが必要
- アカウント間でのDirect Connect共有が困難
- リージョンごとの接続設計が複雑
Direct Connect Gatewayによる解決
- 最大100個のVPCを単一の接続で利用可能
- クロスリージョン接続の簡素化
- アカウント間リソース共有の実現
- 一元的なルーティング制御
アーキテクチャ概要
実装手順
Phase 1: Direct Connect Gateway作成
Direct Connect Gatewayはグローバルリソースのため、リージョンに関係なく作成可能です。
AWSコンソール手順
- Direct Connectコンソールにアクセス
- 「Direct Connect gateways」→「Create Direct Connect gateway」
- 基本設定の入力
- 名前:
company-dx-gateway-prod - Amazon側ASN:
64512(デフォルト、または企業要件に応じて変更)
- 名前:
重要な設計判断
- ASN選択: AWSが使用するASN番号を慎重に選択
- 命名規則: 環境や用途を明確にする命名
- タグ設定: 管理とコスト配分のため適切なタグを設定
Phase 2: Transit Virtual Interface設定
Transit VIFはDirect Connect GatewayとオンプレミスBGPルーター間の論理接続です。
設定パラメータの決定
| パラメータ | 設定例 | 考慮事項 |
|---|---|---|
| VLAN ID | 100 | オンプレミス環境と調整 |
| BGP ASN(顧客側) | 65001 | 企業のASN、またはプライベートASN |
| IPv4 CIDR | 192.168.100.0/30 | /30で4つのIPアドレスを確保 |
| BGP認証キー | 任意の文字列 | セキュリティ強化のため設定推奨 |
AWSコンソール設定手順
- 「Virtual interfaces」→「Create virtual interface」
- 「Transit」を選択
- 各パラメータを入力
- Direct Connect Gatewayを選択(Phase 1で作成済み)
Phase 3: VPC Association設定
関連付け可能なVPCの条件
- CIDR重複の回避(各VPCのCIDRが重複しないこと)
- リージョン制限なし(グローバル接続可能)
- アカウント間共有サポート
関連付け手順
- Direct Connect Gateway詳細画面で「Associated VPCs」タブ
- 「Associate VPC」をクリック
- VPCまたはVirtual Private Gatewayを選択
- BGPルート優先度を設定(デフォルト: 100)
Phase 4: ルーティング設定
オンプレミス側BGP設定例
router bgp 65001
neighbor 192.168.100.1 remote-as 64512
neighbor 192.168.100.1 password bgp-secret-key
address-family ipv4
network 10.0.0.0/8
neighbor 192.168.100.1 activate
neighbor 192.168.100.1 soft-reconfiguration inbound
neighbor 192.168.100.1 prefix-list ALLOW-AWS-ROUTES in
exit-address-familyAWS側Route Tableの構成
- VPC Route Table: オンプレミス向けルートを追加
- ルート優先度: Direct Connect > VPN > インターネット
運用とベストプラクティス
セキュリティ制御
アクセス制御の実装
- Security Groupによる細かな制御
- NACLでのサブネットレベル制御
- BGPルートフィルタリング
監査とログ
- CloudTrailでのAPI操作記録
- VPC Flow Logsによる通信監視
- CloudWatchメトリクスでの帯域監視
パフォーマンス最適化
BGP設定の調整
# プリペンドによる経路制御
neighbor 192.168.100.1 route-map PREPEND out
route-map PREPEND permit 10
set as-path prepend 65001 65001帯域監視と管理
- CloudWatchでの継続的監視
- しきい値アラートの設定
- 容量計画の実施
トラブルシューティング
よくある問題と解決法
| 問題 | 原因 | 解決方法 |
|---|---|---|
| BGPピアリング失敗 | ASN設定ミス | ASN番号の確認と修正 |
| ルート伝播されない | フィルタリング設定 | BGPフィルターの見直し |
| 通信不可 | Security Group | 必要なポート開放 |
診断コマンド例
# BGP状態確認
aws directconnect describe-virtual-private-gateways
aws directconnect describe-virtual-interfaces
# ルート確認
aws ec2 describe-route-tablesアーキテクチャ設計パターン
ハブアンドスポーク型
マルチリージョン展開
設計考慮事項
- レイテンシー要件の把握
- データ主権とコンプライアンス
- 災害復旧要件
実装パターン
- リージョン間通信の制御
- 優先ルートの設定
- フェイルオーバー設計
コスト最適化
料金体系の理解
Direct Connect Gateway料金
- 作成・維持費用: 無料
- データ転送料金: リージョンとデータ量に依存
- クロスリージョン通信: 追加料金
最適化のポイント
- 不要なVPC関連付けの削除
- データ転送パターンの分析
- リージョン配置の最適化
監視とアラート設定
重要メトリクス
- データ転送量(GB/月)
- BGPピアリング状態
- ルート数とルート変更
CloudWatchアラート例
{
"MetricName": "ConnectionBpsEgress",
"Namespace": "AWS/DX",
"Statistic": "Average",
"Threshold": 800000000,
"ComparisonOperator": "GreaterThanThreshold"
}まとめ
Direct Connect Gatewayは、大規模なマルチVPC環境でのDirect Connect活用を大幅に簡素化します。適切な設計と実装により、スケーラブルで効率的なハイブリッドネットワークを構築できます。
特に重要なポイント
- CIDR設計の事前検討
- BGPルーティングの適切な制御
- セキュリティとパフォーマンスのバランス
- 継続的な監視と最適化
次のステップとして、Transit Gatewayとの組み合わせや、より高度なルーティング制御の検討をお勧めします。