AWS Direct Connect と Azure ExpressRoute の接続方法
- Cloud networking
- 2022年8月5日
この 2 つの大手プロバイダーを利用している、あるいは利用を検討しているのであれば、両者を統合することで、接続を次のレベルに引き上げることができます。ここではその方法を紹介します。
2022 年において、企業にとって安全で信頼できるネットワークは、単にあれば好ましいというものでなく、必要不可欠なものとなっています。企業の遠隔地展開に伴い、速度、帯域幅、アクセシビリティのニーズが高まる中、マルチクラウドの採用も急増しています。2024 年までに 94% の企業がマルチクラウド ネットワークを導入すると予測されており、多くの企業がビジネスクリティカルなアプリケーションをサポートするために複数のクラウドを使用することの利点を認識するようになっています。
さらに多くのエンタープライズ ワークロードがクラウドに移行するのに伴い、将来を見据えてワークロード間で最高の互換性を確保するために、多くの企業が世界最大手規模のプロバイダーである Amazon Web Service (AWS) と Microsoft Azure の安全で信頼できる接続方法を必要としています。
これについては以前にも取り上げました。ブログ『AWS と Microsoft Azure 環境を接続する 3 つの方法』では、より安全でパフォーマンスの高いマルチクラウド体験のために、AWS と Azure クラウド環境を接続するさまざまな方法 (長所と短所を含む) を紹介しました。しかし、さらに一歩進んで、クラウド プロバイダーの専用プライベート接続である AWS の Direct Connect と Azure の ExpressRoute を相互接続できることをご存知でしょうか。
専用プライベート接続とその仕組みについて
専用接続とは、クラウド サービス プロバイダー (CSP) によって作成されたプライベート接続のことで、単一の企業のネットワークをクラウドに接続します。Direct Connect と ExpressRoute は共に、他のプロバイダーや顧客と共有されないプライベート接続を介して、顧客がクラウド ワークロードに接続することを可能にします。これにより、パブリック インターネット (ネットワークの信頼性、パフォーマンス、そして最も重要なセキュリティを脅かす可能性がある) を経由しないビジネスクリティカルなデータのパスが提供されます。
AWS Direct Connect は「AWS リソースへの最短パス」です。Direct Connect では、ネットワーク トラフィックは AWS のグローバル ネットワークに留まるため、パブリック インターネットに接触することがなく、ボトルネックやレイテンシの可能性を低減します。
Azure ExpressRoute も同様に機能し、Azure データ センターと企業独自のデータ センターまたはオンプレミス インフラストラクチャとの間にプライベート接続を確立することが可能です。AWS のクラウド プロダクトと同様に、仮想計算、データベース サービス、クラウド ストレージなどのサービスを Microsoft のクラウドに大きく依存している企業にとって、ExpressRoute 経由での接続は有用です。
Direct Connect と ExpressRoute は共に、クラウドへのデータ転送は無料ですが、送信データ (エグレス) はギガバイト単位で課金され、価格は地域や宛先によって異なります (詳細については、ExpressRoute の価格設定の説明を参照してください)。提供される接続速度も 50Mbps から 100Gbps の範囲でほぼ同じです。両クラウド プロバイダーは、経路プレフィックスを共有するために eBGP (External Border Gateway Protocol) によるレイヤー 3 ルーティングを必要とします。
考慮すべき技術的な違いの 1 つとして、この 2 つのソリューションがサポートする VLAN (仮想ローカル エリア ネットワーク) のタグ付けの仕組みがあります。AWS Direct Connect では、プライベート、トランジット、パブリックとして構成可能な仮想インターフェイス (VIF) が、1 つの VLAN に関連付けられます。これは、AWS とピアリングしているレイヤー 3 エンドポイントにおいて、単一の 802.1q サブインターフェイスとして提示されます。
Azure ExpressRoute では、QinQ802.1ad がサポートされています。外側の VLAN タグ、つまり S タグは ExpressRoute 自体に関連付けられ、内側のタグ、つまり C タグはピアリング タイプに関連付けられます。Azure は ExpressRoute 全体でプライベート ピアリングと Microsoft ピアリングを提供します。これについては以前のブログで使用するタイミングについて詳しく説明しました。レイヤー 3 のエンドポイントが QinQ をサポートしていることを確認する必要があります。Megaport など多くのプロバイダーは、QinQ をサポートしないレイヤー 3 エンドポイントに対応するソリューションを用意しています。
その他に考慮すべき技術的な違いには、MTU (Maximum Transmission Unit) サイジングと BGP 経路プレフィックスの制限があります。これらはクラウド プロバイダーによって異なり、場合によってはプロダクト SKU と構成オプションに基づいて構成することができます。各 CSP の価格設定モデルやサービス水準合意 (SLA) に関連するプロダクト オファリングの違いもあります。
専用ネットワーク接続を使用するメリット
パブリック インターネットではなく、Direct Connect や ExpressRoute などの CSP の専用ネットワーク接続を利用してそれぞれのクラウドに接続することには、パブリック クラウドではなくプライベート クラウドを利用するのと同様に多くのメリットがあり、次のようなものが含まれます。
- セキュリティの強化 – 専用プライベート ネットワーク接続により、重要なデータをビジネス専用に保護されたパス環境内にホスティングすることでセキュリティを高め、サイバー攻撃やデータ漏洩の脅威を大幅に軽減することができます。これは、他の企業トラフィックによって危険にさらされる可能性のあるパブリック インターネットが提供するパスとは異なります。
- コストの削減 – クラウド間でやり取りするデータ量によっては、プライベート接続を利用することでコストを削減できる可能性があります。AWS と Azure はどちらも、プライベート ネットワークのオプションを使用する場合と比較して、パブリック インターネットに依存する場合により高いデータのエグレス料金レートを課金します。つまり、オンプレミスのインフラストラクチャからアプリケーションを移行する際に、専用接続に固執することで数百ドルから数千ドルを節約できる可能性があるのです。
- 監督と管理の強化 – 企業は、データをより詳細に把握し、そのプライベートな性質によってクラウド移行を「より身近に」感じ、データを効果的に監督・監視 (どのデータがどこに転送されるかなど) できます。
- 安定したパフォーマンス – プライベート ネットワーク ソリューションにより、クラウド上のデータにアクセスする際のパフォーマンスが向上し、一貫性がもたらされます。つまり、レイテンシ、ホップ数、ジッターの低減により、日常業務の中断が少なくなります。
両者を接続する理由
この 2 つの専用クラウド接続パスを接続する一般的なユース ケースがいくつかあります。つまり、顧客の ExpressRoute が AWS や Azure のクラウド全体を接続するだけでなく、顧客の Direct Connect パスと直接通信することができるのです。
- データ移行 – 大規模なデータ移行は、プライベート接続で行う方がコスト効率が良く、予測可能です。両者を接続することで、AWS と Azure のクラウド間の大量データ移行をより迅速かつ確実に行うことができます。
- マルチクラウドのワークロード – AWS と Azure の両方のパスを選択し接続することで、それぞれのクラウドで「最善の」プロダクトと価格オプションを利用できます。また、マルチクラウドでは、障害発生時にも重要なデータのバックアップを確保できます。マルチクラウドの詳細については、ビギナーズ ガイドをご覧ください。
- IT 統合の容易化 – 2 つを接続することで、クラウドのワークロードを完全に移行することなく、ネットワークを統合できます。これは、特にネットワーク マージの際に役立ちます。
Direct Connect と ExpressRoute の接続方法
Direct Connect と ExpressRoute のワークロードを接続して、パフォーマンスと互換性を向上させるには、次の 3 つの方法を推奨します。
- データ センターの使用。
- 仮想ネットワーク機能 (VNF)。
- 事業者の Multi-Protocol Label Switching (MPLS)。
マルチクラウド ネットワークをどのように設計し、活用するかによって、これらの接続方法はそれぞれ企業にとって有益なものとなります。
1.データ センターの使用
既存のデータ センターの 1 つを利用し、ネットワーク サービス プロバイダーから 2 つのポイントツーポイント回線 (1 つは AWS Direct Connect へ、もう 1 つは Azure ExpressRoute へ) を確立することで、2 つのワークロードを効果的に接続することができます。新規または既存のレイヤー 3 エンドポイントで終端して接続を確立し、データ センターを AWS と Azure の間のハイブリッド マルチクラウド ノードとして使用します。
下図は、このアーキテクチャのイメージ図です。完了すると、データ センターを経由して AWS と Azure の間にプライベートなデータ パスが確立されます。表示される Direct Connect と ExpressRoute の場所は、クラウド プロバイダーのリージョンとデータ センターの場所に基づいて選択されます (多くの場合、両方のクラウド プロバイダーで同じ場所になりますが、異なる場合もあります)。データ センターのルーターと各クラウド プロバイダーのエッジ間で BGP が確立されると、Azure と AWS の間でトラフィックの受け渡しができるようになります。
長所
- 制御とカスタマイズ性の向上 – データ移行の微調整により、どのデータをどこに移すかについてより優れた選択ができます。
- 既存サービスの拡充 – この方法では、既存のセキュリティ スタックと、使い慣れたネットワーク ハードウェアやツールセットを利用して接続を確立できます。
- 新たなソリューションの習得やネットワーク戦略全体への統合は不要です。
短所
- コスト上昇 – データ センターを維持するには、専門家のメンテナンス、家賃など継続的なコストが必要です。
- 構築時間 – 多くの場合、サービス プロバイダーがデータ センターにローカル ループを供給する必要がありますが、これには期間契約と高い月額費用が伴います。このような新しいサービスの構築には、通常、数週間から数か月かかります。
- 帯域幅への負荷上昇の可能性 – 既存のネットワーク インフラストラクチャを利用する場合は、スループット要件に見合った容量を確保する必要があります。また、データ センターが ExpressRoute や Direct Connect のロケーションと同じ地域にない場合、レイテンシも不利になる場合があります。
2.仮想ネットワーク機能 (VNF)
この仮想ネットワーク デバイスは、AWS と Azure の間でトラフィックを交換するためのレイヤー 3 のエンドポイントになります。Megaport のような Network as a Service (NaaS) プロバイダーは、専用接続を容易にするクラウドベースのソリューションを提供しています。プロバイダーによってオファリングは異なりますが、通常は、ライセンスと経路の機能を含むプレパッケージのソリューションを注文できます。
NaaS プロバイダーが AWS Direct Connect や Azure ExpressRoute のパートナーでもあるかどうかが考慮すべき点の 1 つになります。VNF から各クラウド プロバイダーへの 仮想クロス コネクト (VXC) をよりシームレスに構築できるようになるため、この点は重要になります。
VNF ソリューションでは、2 つの CSP 間にシンプルなルーターを構築する場合、ファイアウォールを確立してセキュリティ ポリシーを実装する場合、既に導入している SD-WAN ソリューションと完全に統合する場合などに、柔軟に対応できます。
下図では、データ ソリューションと比較して、ルーター インスタンスがクラウドにより近くなっています。Azure と AWS 間のデータ パスは、通常、通過する物理的な距離が短くなります。BGP は、クラウド プロバイダーと VNF インスタンスの間で終端するようになり、2 つのクラウド間のデータ パスを確立します。Megaport は、2 つの VNF ソリューション、Megaport Cloud Router (MCR) と Megaport Virtual Edge (MVE) を提供します。
長所
- 構築時間 – これらのソリューションは、NaaS プロバイダーのポータル インターフェイスや API を使って、通常は数分で構築できます。仮想ルーターが稼働すると、ExpressRoute や Direct Connect への仮想クロス コネクトの構築が非常に簡単になります。
- コスト低減 – データ センターのヘアピンを回避することで、AWS や Azure から送信するデータ量を減らし、高額なエグレス料金を削減することができます。Azure のエグレス料金を低減する方法について、ブログで紹介しています。
- ネットワーク パフォーマンスの向上 – 仮想ネットワーク デバイスをクラウドのワークロード リージョンの近くに配置すると、レイテンシとジッターの低減によって、より高いネットワーク パフォーマンスを享受できます。
- 柔軟な期間契約 – VNF ソリューションを利用すると、事業者が提供する MPLS 回線の長期契約とは異なり、必要に応じてルーターのスケールアップやスケールダウンを行うことができます。
短所
- カスタマイズ性が低い – プレパッケージのソリューションには特定の機能セットがありますが、それが利用者に適しているかどうかはわからないため、必要な機能が利用できることを確認する必要があります。構築を希望する特定の SD-WAN またはファイアウォール ベンダーが、特定の NaaS プロバイダーで利用可能であることを確認してください。
3.事業者のプライベート IP-VPN
一部のネットワーク事業者は、AWS や Azure のパートナーでもあるため、自社のプライベート IP-VPN (Internet Protocol Virtual Private Network) ソリューションによる接続を提供できます。IP-VPN では、MPLS (Multiprotocol Label Switching) 技術を利用して、パブリック ゲートウェイ経由の接続を回避しています。この技術には、セキュリティの強化、高可用性の確保、パフォーマンスの向上など、他のプライベート ソリューションと同様のメリットがあります。現在利用している事業者がこの種のサービスを提供している場合、この接続のニーズを満たすために検討してみる価値があるでしょう。
下図は、IP-VPN ネットワークを使用して AWS Direct Connect と Microsoft ExpressRoute を接続する方法を示したものです。このアーキテクチャでは、2 つのクラウド プロバイダー間のトラフィックは、IP-VPN プロバイダー エッジ (PE) ルーターを経由するようになります。前述のソリューションとは異なり、利用者はこのデバイスの物理的、仮想的な管理は行いません。
長所
- フルマネージド – AWS と Azure クラウド間のレイヤー 3 デバイス (IP-VPN CE/PE) はフルマネージドであるため、メンテナンスは専門家に一任できます。
- サービスの拡張 – 両方または一方の CSP と既に契約や関係がある場合は、さらに迅速に接続できます。
- 活用能力 – MPLS ネットワーク上に他の遠隔地がある場合は、同じ接続を活用して AWS や Azure とのインターフェイスを確立できます。
短所
- コスト上昇 – クラウド プロバイダーと接続する場合に MPLS のコストが最も高くなる傾向があり、通常は契約期間のコミットメントが伴います。
- 構築時間 – 事業者にもよりますが、従来の方式でこのような接続を提供している事業者もあります。この場合、接続の構築に数週間から数か月を要することがあり、マルチクラウド機能を実現するのに遅れが生じます。
- 制御 – ルーティング機能、フィルタリング、セキュリティはすべて事業者のプロダクトの機能に依存しますが、機能が限られている場合があるため、データに対する監視やカスタマイズの幅が狭くなります。
貴社に最適なソリューションと、Megaport がお手伝いできること
AWS から Azure への適切な接続方法は、予算、関連するアプリケーションの種類、ネットワーク パフォーマンス、速度、帯域幅の要件など、多くの要因によって異なります。
ハイブリッドまたはマルチクラウドのネットワーク ノードとしてデータ センターを使用することは、既存のデータ センターがあり、よりシームレスにワークロードを接続したい企業にとっては有益です。このソリューションにより、データ移行に対する監視と可視性も向上します。
一方、仮想ネットワーク機能 (VNF) は、NaaS プロバイダーのポータル インターフェイスや API を使って数分で仮想ネットワーク デバイスを構築できるため、迅速な接続ソリューションを求めるネットワークに最適です。また、ワークロードのクラウ ドリージョンに近い場所に配置されるため、より高いネットワーク パフォーマンスを享受できます。
Megaport Cloud Router (MCR) の仮想ネットワーク機能により、レイヤー 3 での接続を瞬時に実現し、複雑なセットアップを省き、ネットワーク構築が容易になります。ネットワーク エンジニアリングの一部始終を学ぶ必要はありません。Megaport アカウントにログインし、数回クリックするだけで仮想ネットワークの構築を開始できます。MCR はマルチクラウドもサポートしており、主要なクラウド プロバイダー間でプライベート ピアリングを行うことができます。オンデマンドの Network Functions Virtualization (NFV) サービスである Megaport Virtual Edge (MVE) を利用すると、ハードウェアを構築することなく、クラウド間の新しい接続をスピンアップすることができます。
既存の MPLS を活用したい企業にとって、事業者が管理するMPLS オプションは、企業による管理が少なく、専門家に一任できる接続であるため有益です。
どのマルチクラウド ネットワーク設計が企業に適しているかを問わず、Megaport では、素早く簡単に構築でき、ネットワーク パフォーマンスを向上させ、コストを削減できるソリューションを提供しています。