AWS、Microsoft Azure、Google Cloud のプライベート接続を比較する

AWS、Microsoft Azure、Google Cloud のプライベート接続を比較する

大手ハイパースケーラーのプライベート接続の違いを明らかにします。

マルチクラウド戦略の導入が急速に進む中、こうした大手ハイパースケーラーへのプライベート接続モデルを理解することの重要性がますます高まっています。多くの場合、プライベート接続では、インターネット接続と比較して、帯域幅のスループット向上、ネットワーク全体におけるコストの削減、予測可能で安定したエクスペリエンスが得られます。この記事では、新しいクラウド サービス プロバイダー (CSP) へのプライベート接続のスピンアップや、従来のインターネット VPN の廃止を考えている方を対象に、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP) のプライベート接続が提供するさまざまな接続モデル、用語、コンポーネントについての理解を深めるお手伝いをします。

このようなクラウドプロバイダーが使用する用語の多くは類似していますが、異なる用語が使われる場合もあります。まず、CSP で使う用語から始めましょう。

クラウド サービス プロバイダー (CSP) の用語
AWS、Microsoft Azure、Google Cloud Platform は似た用語を使用しますが、場合によっては異なる用語を使用します。

CSP の用語についての理解が深まったところで、基本的な要素をさらに掘り下げましょう。AWS Direct Connect を詳細に分析することから始めます。

AWS Direct Connect

AWS Direct Connect の主な要素は、仮想インターフェイス (VIF)、ゲートウェイ (仮想プライベート ゲートウェイ (VGW))、Direct Connect ゲートウェイ (DGW/DXGW)、トランジット ゲートウェイ (TGW)、そして物理的な Direct Connect 回線です。

AWS Direct Connect には、専用接続、ホスト型接続、ホスト型 VIF という複数の接続モデルがあります。自社に最適なモデルを選択する際には、ユース ケースに最適なものを選択するために、まずそれぞれのモデルを理解することが重要です。

専用接続: AWS コンソールを通じてリクエストする物理的な接続で、単一の顧客に関連付けられています。顧客は、LOA-CFA をダウンロードし、DC オペレーターまたは AWS パートナーと共同して、自社の機器から AWS へのクロスコネクトを確立します。ポート速度は 1 Gbps または 10 Gbps のいずれかを選択できます。

ホスト型接続: AWS Direct Connect パートナーが、顧客の代理としてプロビジョニングする物理的な接続です。顧客は、接続をプロビジョニングする AWS パートナーに問い合わせて、ホスト型接続をリクエストします。ポート速度は 50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps から選択できます。

ホスト型 VIF: 物理的な Direct Connect 回線を所有するアカウントが、顧客の代理としてプロビジョニングする仮想インターフェイスです。親接続にあるすべての VIF によって帯域幅が共有されます。

他の CSP と異なり、AWS には、Direct Connect で使用できるゲートウェイにも、仮想プライベート ゲートウェイ、Direct Connect ゲートウェイ、トランジット ゲートウェイという複数のタイプがあります。

***仮想プライベート ゲートウェイ (VGW):***トラフィックをプライベート回線で VPC から送受信できるようにするために、VPC に接続される論理的で完全に冗長な分散型エッジルーティング機能です。

Virtual Private Gateway (VGW)
他の CSP とは異なり、AWS には、Virtual Private Gateway、Direct Connect Gateway、Transit Gateway など、Direct Connect で使用できるさまざまなタイプのゲートウェイもあります。

Direct Connect Gateway (DGW): Direct Connect Gateway は、グローバルに利用可能なリソースで、複数の VPC を 1 つの (または複数の) Direct Connect 回線に接続するために使用できます。ただし、このゲートウェイは VPC 間接続を提供しません。

Direct Connect Gateway (DGW)

Transit Gateway (TGW): Transit Gateway は、顧客の VPC とオンプレミス ネットワークを 1 つの中央ハブに統合します。ネットワークを簡素化し、複雑なピアリング関係を解消します。

Transit Gateway (TGW)

使用するゲートウェイのタイプ、最終的に到達する必要があるパブリック/プライベート リソースにより、使用する VIF が決まります。

3 種類の VIF (プライベート、パブリック、トランジット) について詳しく見ていきましょう。

プライベート VIF – プライベート仮想インターフェイス: プライベート IP アドレスを使用して Amazon VPC にアクセスするために使用されます。最大 100 個のプレフィックスを AWS にアドバタイズできます。

注: プライベート VIF は仮想プライベート ゲートウェイ (VGW) または Direct Connect Gateway (DGW) に接続できます

パブリック VIF – パブリック仮想インターフェイス: パブリック IP アドレス (S3、DynamoDB) を使用して、パブリック仮想インターフェイスは、すべての AWS パブリック サービスにアクセスできます。最大 1,000 個のプレフィックスを AWS にアドバタイズできます。

注: パブリック VIF は、いかなる種類のゲートウェイにも関連付けたり接続したりすることはできません。

  • すべての AWS パブリック IP アドレスにグローバルに接続します (BGP ピアリングにはパブリック IP が必要)。
  • 任意の AWS リージョン内のパブリック ルーティングが可能な Amazon サービスにアクセスします (AWS 中国リージョンは除く)。

***トランジット VIF – トランジット仮想インターフェイス:***トランジット仮想インターフェイスは、Direct Connect Gateway に関連付けられたトランジット ゲートウェイを介して 1 つ以上の Amazon VPC にアクセスするために使用されます。トランジット仮想インターフェイスと 1/2/5/10 Gbps AWS Direct Connect 接続を使用でき、最大 100 個のプレフィックスを AWS にアドバタイズできます。

Azure ExpressRoute

ExpressRoute Direct を使用する場合でも、Partner モデルを使用する場合でも、メイン コンポーネントであるピアリング (プライベートまたは Microsoft)、VNet ゲートウェイ、物理的 ExpressRoute 回線は同じです***。***他の CSP とは異なり、各 Azure ExpressRoute には HA/冗長化および SLA 用の 2 本の回線が付属しています。

AWS 専用モデルおよびホスト型モデルと同様、Azure にも ExpressRoute Direct および Partner ExpressRoute という独自の類似プロダクトがあります。

Azure ExpressRoute Direct の場合、顧客は ExpressRoute ポートを所有し、LOA CFA は Azure によって提供されます。光ファイバー クロス コネクトは、データ センターで顧客が注文します。対応ポート速度は、10 Gbps または 100 Gbps インターフェイスです。

ExpressRoute Partner モデルの場合、サービス プロバイダーは ExpressRoute ポートに接続します。LOA CFA は Azure によって提供され、サービス プロバイダーまたはパートナーに渡されます。光ファイバー クロス コネクトは、パートナーによってプロビジョニングされます。顧客はパートナーと提携して、パートナーが既に設定した接続を使用して ExpressRoute 回線をプロビジョニングします。サービス プロバイダーは Microsoft への物理的な回線を所有します。顧客は、50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps の帯域幅で ExpressRoute を作成できます。

Azure にも、Azure ExpressRoute Local という独自の接続モデルがあります。他の CSP の接続モデルと比較すると多少異なりますが、ExpressRoute Local を使用することで、Azure の顧客は特定の Azure ピア ロケーションで接続できます。ピアに関連付けられた 1 つまたは 2 つのローカル リージョンに接続すると、データを無制限に使用できるという利点も付加されます。ExpressRoute Local の詳しい概要については、当社のブログ記事「Azure ExpressRoute Local および Megaport で高額のクラウド利用料金を回避する」を参照してください。

Azure には、AWS のプライベート VIF およびパブリック VIF と直接比較できる 2 種類のピアリングがあります。

プライベート ピアリング — プライベート ピアリングは、顧客のオンプレミス/プライベート データ センターから Azure Virtual Network (VNet) にアクセスするための接続をサポートします。

  • 仮想ネットワーク (VNet) 内で構築される、主に仮想マシン (IaaS) やクラウド サービス (PaaS) などの Azure コンピューティング サービスにアクセスします。
  • ピア (RFC-1918) に使用されるプライベート IP。顧客は、1 つの /28 を 2 つの /30 に分割する必要があります。プライマリ ピア用とセカンダリ ピア用にそれぞれ 1 つです。
  • プライベート ピアリングは、論理的な接続を経由してサポートされます。BGP は、顧客のオンプレミス デバイスと Microsoft Enterprise Edge (MSEE) ルーター間で確立されます。

注: ピアリングに使用する MSEE のロケーションは、ExpressRoute のプロビジョニング中に選択されたピアリング ロケーションによって決定されます。

  • 選択した ExpressRoute SKU に応じて、1 つのプライベート ピアで複数のリージョンにまたがって 10 以上の VNet をサポートできます。
  • ピアリングごとにサポートされるプレフィックスの最大数は、デフォルトで 4000 です。Premium SKU でサポート可能な最大数は 10,000 です。
プライベート ピアリングは、顧客のオンプレミス/プライベート データ センターから Azure Virtual Network (VNet) にアクセスするための接続をサポートします。

Microsoft ピアリング — Microsoft ピアリングは、Blob ストレージなどの Azure パブリック リソースです。Microsoft オンライン サービス (Office 365 および Azure PaaS サービス) への接続は、Microsoft ピアリングを介して行われます。

  • Office 365 は、インターネットを介して安全で信頼性の高いアクセスができるように開発されました。ExpressRoute 経由で O-365 経路を利用するには、Microsoft からの承認が必要です。
  • Microsoft ピアリング経由で経路を利用する前に、経路フィルターを作成しておく必要があります。BGP コミュニティは、顧客サービスの経路を受信するために経路フィルターとともに使用されます。
Microsoft Peering
Microsoft オンライン サービス への接続は、Microsoft ピアリングを介して行われます。

Azure ExpressRoute では、VNet Gateway という 1 種類のゲートウェイしかありません。

VNet Gateway: VNet Gateway は、AWS の VGW に類似した論理的なルーティング機能です。ExpressRoute VNet Gateway は、プライベート接続でネットワーク トラフィックを送信するために使用され、ゲートウェイには「ExpressRoute」タイプが使用されます。これは、ExpressRoute ゲートウェイとも呼ばれます。

標準の Azure ExpressRoute では、複数の VNet をネイティブにハブ アンド スポーク モデルの 1 本の ExpressRoute 回線に接続できるため、1 本の回線を経由して複数の VNet 内のリソースにアクセスすることが可能になります。このように、標準的な Azure ExpressRoute の提供は、AWS Direct Connect Gateway モデルに匹敵すると考えられます。

Google Cloud Interconnect

最後に紹介する CSP プライベート接続は GCP 相互接続です。 幸いにも、GCP は接続コンポーネントを極めて単純にしているため、 3 つの方法の中でも最もシンプルです。

AWS や Azure と同様、GCP は Partner Interconnect および Dedicated Interconnect モデルを提供しています。

Dedicated Interconnect: GCP Dedicated Interconnect は、顧客のオンプレミス ネットワークと Google のネットワークを物理的に直接接続します。他の CSP と同様、GCP から LOA-CFA を取得し、コロケーション プロバイダー/DC オペレーターと提携してクロス コネクトを設定します。

  • 顧客の IPv4 リンク ローカル アドレス指定専用の 10 Gbps または 100 Gbps インターフェイス (ピア アドレスは 169.254.0.0/16 の範囲から選択する必要があります)
  • 1 本の回線の EBGP-4 でマルチホップ 802.1Q VLAN を使用している場合でも LACP

Partner Interconnect: Dedicated Interconnect と同様、Partner Interconnect は、プロバイダーまたはパートナーを利用してオンプレミス ネットワークと VPC ネットワークとの接続を提供します。Partner Interconnect 接続は、データ センターが Dedicated Interconnect コロケーションとは別の施設にある場合や、データ ニーズが 10 Gbps 接続を保証しない場合に理想的です。

GCP Interconnect のゲートウェイ オプションは Google Cloud Router のみです。

Google Cloud Router: Cloud Router は、Border Gateway Protocol (BGP) を使用して、VPC ネットワークとオンプレミス ネットワークとの間で経路を動的に交換します。

GCP Cloud Router は、1 つのVPC に制限されているだけではなく、当該 VPC の 1 つのリージョンにも制限されます。これは、1:1 のマッピングまたは関係だと見なされます。Google Cloud Router の上には、ピアリング セットアップがあります。これは GCP の用語で VLAN アタッチメントと呼ばれます。

VLAN アタッチメント: 相互接続アタッチメントとも呼ばれます。VLAN アタッチメントは、オンプレミス ネットワークと VPC ネットワーク内の 1 つのリージョンを結ぶ論理的な接続です。 Azure や AWS と異なり、GCP は相互接続を介したプライベート ピアリング オプションのみを提供します。 GCP のパブリック サービスおよび API を利用するために、相互接続経由でプライベート Google アクセスを設定すると、オンプレミス ホストに対応できます。ただし、Google プライベート アクセスは、G Suite 接続に対応していません。G Suite を利用するには、インターネット エクスチェンジ (略して IX) 経由で接続/ピアリングを設定する必要があります。また、インターネット経由でサービスにアクセスすることもできます。

VLAN Attachments
VLAN アタッチメントは、オンプレミス ネットワークと VPC ネットワーク内の 1 つのリージョンを結ぶ論理的な接続です。

重要事項

重要な点をまとめてみましょう。これで、CSP が提供するプライベート接続のオプションについての洞察と理解が深まれば幸いです。

AWS Direct Connect には、さまざまな種類のゲートウェイおよび接続モデルがあり、オンプレミス インフラストラクチャからパブリック/プライベート リソースに接続する際に活用できます。Direct Connect Gateway に関連付けられたトランジット ゲートウェイの形態を取るのか、VGW につながるプライベート VIF の 1:1 マッピングにするかは、特定の事例や将来のプランによって完全に決定されます。

Azure ExpressRoute では、Microsoft ピアリング (パブリック リソースにアクセスするため) および論理的なレイヤー 2 接続経由のプライベート ピアリングを構成できます。各 ExpressRoute には、ExpressRoute 注文時に含まれる構成可能な回線が 2 本用意されています。標準の ExpressRoute では、同じ地域内の複数の VNet を 1 本の ExpressRoute 回線に接続し、Premium SKU (Global Reach) を構成して世界の任意の VNet から同じ ExpressRoute 回線に接続することを可能にします。

GCP は、相互接続を簡単に理解できるようにします。GCP Interconnect 上では、プライベート リソースにのみネイティブにアクセスすることができます。GCP パブリック リソース (クラウド ストレージなど) に接続する必要がある場合は、オンプレミス リソース向けにプライベート Google アクセスを構成できます。これには、GCP の SaaS オファリング (G Suite) は含まれません。G Suite に接続するには、パブリック インターネットを利用するか、IX を利用してピアリングを構成できます。VPC とリージョンが 1:1 でマッピングされた GCP Cloud Router を使用すると、ピアリング (または VLAN アタッチメント) は Cloud Router の上に構築されます。この機能とモデルは、AWS Direct Connect や、VIF を VGW 上に作成する場合に似ています。

ここまでお読みいただきありがとうございます。最後になりますが、Megaport では、このような 3 つの CSP すべて (および他の多くのプロバイダー) に接続するだけではく、トラフィックをオンプレミス インフラストラクチャに迂回中継する必要なく、プロバイダー間のクラウド間接続も可能にします。

お気軽に当社までお問い合わせください。クラウド導入過程、直面している課題、当社のソリューションについてのご要望をお聞かせください。

関連記事

SD-WAN ガイド

SD-WAN ガイド

SD-WAN は、信頼性の高いエッジからクラウドへの接続を提供するその能力によって、ネットワークの世界で旋風を起こしています。ここでは、その仕組みと、どのように役立てることができるかを紹介します。

続きを読む
Q-in-Q に関するよくある質問: パート 1

Q-in-Q に関するよくある質問: パート 1

この 2 回に分かれたブログ シリーズでは、VLAN 二重タギングに関する基礎を扱います。VLAN タギングは Q-in-Q とも呼ばれ、IEEE の定義による正式名称は 802.1ad です。 **VLAN タギングとは何ですか?**ネットワーク スイッチには 2 種類のポートがあります。 ほとんどのベンダーは、「トランク ポート」や「アクセス ポート」などの用語を使って区別しています。 アクセス ポートは、1 つの VLAN ID が伝送されるポートで、トランク ポートは複数の VLAN 専用トラフィックを伝送します。 トランク ポートでは、どのトラフィックがどの VLAN ID 内に送信されるかを決定するためのポリシーが必要です。 そこで、VLAN タギング 802.1q を定義する技術規格が開発されました。この規格の VLAN タグには、VLAN ID や、802.1q 規格によって指定されるその他の情報などが含まれています。**802.1q (シングル タグ付き VLAN フレーム) の技術概要はどのようなものですか?**トランク ポートを介して伝送される VLAN に属するイーサネット フレーム (物理層通信伝送装置) には、802.1q ヘッダーが追加されます。 下の図を参照してください。 **Q-in-Q とは何ですか?**Q-in-Q (正式な定義では 802.1ad) は、レイヤー 2 ネットワークを処理する際に柔軟性のある追加レイヤーを提供するために、802.1q (VLAN タギング) に基づいて開発されました。 元々は、ネットワーク サービス プロバイダー (NSP) がトランク ポート機能を柔軟に処理できるように設計されたものですが、同じ VLAN を再利用したいと考える複数の顧客の接続にも対応しています。Q-in-Q トンネリングを利用すると、NSP は、顧客から送受信される既にタグ付けされたトラフィックに別の VLAN タグを追加することで、すべての VLAN トラフィックを 1 つの VLAN に統合できます。追加のタグにより、NSP は異なる顧客のトラフィックを特定して分離することができます。これら 2 つのタグは、イーサネット フレーム内で「内部タグ」および「外部タグ」と呼ばれることがあります。 「内部タグ」には、NSP の顧客のトラフィックに属する VLAN 情報が含まれます。 「外部タグ」には、NSP の VLAN ネットワークに関連する情報が含まれます。元々、Q-in-Q/802.1ad は、NSP が顧客に対して透過的に追加/削除 (いわゆる外部タグの「プッシュ」と「ポップ」) を行うために設計されましたが、1 つの VXC 上でさまざまな VLAN を伝送するために日常的に利用されています。これにより、例えば、Megaport を利用しているパートナーが複数の顧客ネットワークの代理でトラフィックを集約できるようになり、同じアグリケーターを使用している他の顧客が同様のグループの VLAN ID を使用する場合でも、2 つのネットワーク ロケーション間で単一の VXC として透過的に伝送することができます。Q-in-Q フレーム方式 (802.1ad) とは何ですか?

続きを読む
経路フィルタリングによるマルチクラウドの改善方法

経路フィルタリングによるマルチクラウドの改善方法

マルチクラウド ネットワークの最適化をお考えですか。経路フィルタリングが次の一手となる可能性があります。 企業にとって効率化は最重要課題であり、マルチクラウド ネットワークも例外ではありません。マルチクラウドの普及が進む中、2024 年までに 94% の企業がマルチクラウド ネットワークを導入すると予測されています。今こそ、貴社のセットアップを最大限に活用する方法を検討する時期です。ここで登場するのが経路フィルタリングです。これは、クラウド間のデータの移行や格納を効率的に行うためのマルチクラウド機能です。 仕組み 簡単に言うと、経路フィルタリングは、仮想クラウドのルーティング設定と連動して、近隣のルーターから広報されるまたは受信される経路を識別し、トラフィックを許可または拒否 (つまり、パスを許可または経路を終了) して、ネットワーク経路パスを微調整します。典型的な一連の操作では、1 つ以上の IPv4 または IPv6 ネットワーク アドレス (プレフィックス) と、許可または拒否というアクションを含む名前付きプレフィックス フィルター リストを作成することになります。 次に、ピアごとに、このプレフィックス フィルターやその他のプレフィックス フィルターを、仮想クラウド ルーターとそのピア間の受信または送信データ パスに適用します。これは、どのクラウドに対してどの経路を検出可能にしたいかを直接指定し、残りを無視することで、ネットワーク経路を簡素化し、複数のクラウド間での過負荷やレイテンシを回避するための便利なツールです。 例えば、Amazon Web Services (AWS) では、BGP (Border Gateway Protocol) のグローバル経路 (他のクラウド プロバイダーのプライベート仮想プライベート クラウドを含む) を 100 本まで自社のクラウドに向けて広報することを許可していますが、これを超えると接続が停止される可能性があります。この問題を軽減するために、経路フィルタリングを使用して不要なパスを排除し、この閾値以下にとどめることで、データ移行が途切れることなく流れるようにすることができます。 AWS、Microsoft Azure、Google Cloud Platform などのクラウド プロバイダーは、インターネット上で利用者がとても簡単に接続できるようにしていますが、Megaport が提供するようなプライベート クラウド接続方式を利用すると、利用者が独自のルーティング テーブルとルーティング ポリシーを管理し、各ピア ルーターとの間でトラフィックが希望通りに流れるようにすることが可能です。 ジオデータのスペシャリストである Fugro Roames 社が MCR を使用してデータを制御した事例をご覧ください。 マルチクラウドにもたらされるメリット 経路フィルタリングにより、以下のような主要なメリットがもたらされ、マルチクラウド ネットワークを次のレベルへと高めることができます。 さらに細かい制御 - 個々の経路やプレフィックスをフィルタリングすることで、マルチクラウド ネットワークの経路をカスタマイズし、完全にカスタマイズ可能なマルチクラウド体験を実現します。 ネットワーク パフォーマンスの向上 - 繰り返し経路や不要な経路を避け、最も効果的な経路を利用することでネットワークの効率を最大化し、レイテンシを低減して、よりスムーズで高速なネットワークを実現します。 セキュリティの強化 - 経路フィルタリングは、ピアリング リンク上で目的の経路のみを許可することで、インターネット上で誤ってトランジット自律システム (AS) になることを防ぎ、ハイジャックなどのサイバー攻撃のリスクを低減し、マルチクラウドをより強固に保護します。 2022 年、マルチクラウドは当たり前の存在になりました。それを使うにはいくつかの方法があります。当社の比較を基にオプションを検討してください。

続きを読む