AWS Direct Connect Resiliency Toolkit を使用して、回復性を最大化 AWS Direct Connect するように を設定します。 - AWS Direct Connect
ステップ 1: にサインアップする AWSステップ 2: 回復性モデルを設定するステップ 3: 仮想インターフェイスを作成するステップ 4: 仮想インターフェイスの構成の回復性を確認するステップ 5: 仮想インターフェイス接続を検証する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Direct Connect Resiliency Toolkit を使用して、回復性を最大化 AWS Direct Connect するように を設定します。

この例では、 AWS Direct Connect Resiliency Toolkit を使用して最大回復性モデルを設定します。

ステップ 1: にサインアップする AWS

を使用するには AWS Direct Connect、まだアカウントをお持ちでない場合は、 AWS アカウントが必要です。

にサインアップする AWS アカウント

がない場合は AWS アカウント、次のステップを実行して作成します。

にサインアップするには AWS アカウント

  1. https://portal.aws.amazon.com/billing/サインアップ を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

    にサインアップすると AWS アカウント、 AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/ に移動し、マイアカウント を選択すると、いつでも現在のアカウントアクティビティを表示し、アカウントを管理できます。

管理アクセスを持つユーザーを作成する

にサインアップしたら AWS アカウント、 を保護し AWS アカウントのルートユーザー、 を有効にして AWS IAM Identity Center、日常的なタスクにルートユーザーを使用しないように管理ユーザーを作成します。

のセキュリティ保護 AWS アカウントのルートユーザー

  1. ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS Management Consoleとして にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドルートユーザーとしてサインインするを参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「 ユーザーガイド」の AWS アカウント 「ルートユーザーの仮想MFAデバイスを有効にする (コンソール)IAM」を参照してください。

管理アクセスを持つユーザーを作成する

  1. IAM Identity Center を有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Centerの有効化」を参照してください。

  2. IAM Identity Center で、ユーザーに管理アクセス権を付与します。

    を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 ユーザーガイド」の「デフォルト でユーザーアクセスを設定する IAM アイデンティティセンターディレクトリAWS IAM Identity Center 」を参照してください。

管理アクセス権を持つユーザーとしてサインインする

  • IAM Identity Center ユーザーでサインインするには、IAMIdentity Center ユーザーの作成時に E メールアドレスにURL送信されたサインインを使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、「 AWS サインイン ユーザーガイド」の AWS 「 アクセスポータルにサインインする」を参照してください。

追加のユーザーにアクセス権を割り当てる

  1. IAM Identity Center で、最小特権のアクセス許可を適用するベストプラクティスに従うアクセス許可セットを作成します。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」を参照してください。

  2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「グループの参加」を参照してください。

ステップ 2: 回復性モデルを設定する

最大回復性モデルを設定するには

  1. https://console.aws.amazon.com/directconnect/v2/homeAWS Direct Connectコンソールを開きます。

  2. ナビゲーションペインで [接続] を選択し、[接続の作成] を選択します。

  3. [Connection ordering type] の [Connection wizard] を選択します。

  4. [回復性レベル] で、[最大回復性]、[Next (次へ)] の順に選択します。

  5. [Configure connections (接続の構成)] ペインの [Connection settings (接続設定)] で、以下を実行します。

    1. [帯域幅] で、専用接続の帯域幅を選択します。

      この帯域幅は、作成されたすべての接続に適用されます。

    2. 最初のロケーションサービスプロバイダー で、専用接続に適した AWS Direct Connect ロケーションを選択します。

    3. 該当する場合は、[First Sub location] で、お客様、またはお客様のネットワークプロバイダに最も近いフロアを選択します。このオプションは、ロケーションに建物の複数のフロアに会議室 (MMRs) がある場合にのみ使用できます。

    4. [First location service provider] で [Other] を選択した場合は、[プロバイダーの名前] に、使用するパートナーの名前を入力します。

    5. 2 番目のロケーションサービスプロバイダー で、適切な AWS Direct Connect ロケーションを選択します。

    6. 該当する場合は、[Second Sub location] で、お客様、またはお客様のネットワークプロバイダに最も近いフロアを選択します。このオプションは、ロケーションに建物の複数のフロアに会議室 (MMRs) がある場合にのみ使用できます。

    7. [Second location service provider] で [Other] を選択した場合は、[プロバイダーの名前] に、使用するパートナーの名前を入力します。

    8. (オプション) タグを追加または削除します。

      [タグの追加] [タグの追加] を選択して、以下を実行します。

      • [キー] にはキー名を入力します。

      • [] にキー値を入力します。

      [タグの削除] タグの横にある [タグの削除] を選択します。

  6. [Next] を選択します。

  7. 接続を確認し、[Continue] を選択します。

    の準備LOAsができたら、ダウンロード LOAを選択し、続行 をクリックします。

    がリクエストを確認し、接続用のポートをプロビジョニング AWS するまでに最大 72 時間かかる場合があります。この時間中、ユースケースまたは指定された場所に関する詳細情報のリクエストを含む E メールが送信される場合があります。E メールは、 にサインアップしたときに使用した E メールアドレスに送信されます AWS。7 日以内に応答する必要があり、応答しないと接続は削除されます。

ステップ 3: 仮想インターフェイスを作成する

プライベート仮想インターフェイスを作成して、 に接続できますVPC。または、パブリック仮想インターフェイスを作成して、 にないパブリック AWS サービスに接続することもできますVPC。へのプライベート仮想インターフェイスを作成する場合VPC、接続VPCする各 にプライベート仮想インターフェイスが必要です。例えば、3 つの に接続するには、3 つのプライベート仮想インターフェイスが必要ですVPCs。

作業を開始する前に、次の情報が揃っていることを確認してください。

リソース 必要な情報
Connection 仮想インターフェイスを作成する AWS Direct Connect 接続またはリンク集約グループ (LAG)。
仮想インターフェイス名 仮想インターフェイスの名前。
仮想インターフェイス所有者 別の アカウントの仮想インターフェイスを作成する場合は、他の AWS アカウントのアカウント ID が必要です。
(プライベート仮想インターフェイスのみ) 接続 同じ AWS リージョンVPCの に接続するには、 の仮想プライベートゲートウェイが必要ですVPC。BGP セッションの ASN Amazon 側の は、仮想プライベートゲートウェイから継承されます。仮想プライベートゲートウェイを作成するときに、独自のプライベート を指定できますASN。それ以外の場合、Amazon はデフォルトの を提供しますASN。詳細については、「Amazon ユーザーガイド」の「仮想プライベートゲートウェイの作成」を参照してください。 VPC Direct Connect ゲートウェイVPC経由で に接続するには、Direct Connect ゲートウェイが必要です。詳細については、「Direct Connect Gateway」を参照してください。
VLAN 接続でまだ使用されていない一意の仮想ローカルエリアネットワーク (VLAN) タグ。値は 1 ~ 4094 を指定する必要があります。またイーサネット 802.1Q 規格を満たしている必要があります。このタグは、 AWS Direct Connect 接続を通過するすべてのトラフィックに必要です。

ホスト接続がある場合、 AWS Direct Connect パートナーはこの値を提供します。仮想インターフェイス作成後に値を変更することはできません。
ピア IP アドレス 仮想インターフェイスは、IPv4、、IPv6または各 (デュアルスタック) の 1 つのBGPピアリングセッションをサポートできます。パブリック仮想インターフェイスを作成するために、Amazon プールから Elastic IPs (EIPs) または独自の IP アドレス (BYOIP) を使用しないでください。同じ仮想インターフェイスで、同じ IP アドレスファミリーに対して複数のBGPセッションを作成することはできません。IP アドレス範囲は、BGPピアリングセッションの仮想インターフェイスの両端に割り当てられます。

  • IPv4:

    • (パブリック仮想インターフェイスのみ) 所有する一意のパブリックIPv4アドレスを指定する必要があります。値は次のいずれかになります:

      • 顧客所有 IPv4 CIDR

        これらは任意のパブリック IPs (顧客所有または が提供する AWS) にすることができますが、ピア IP と AWS ルーターピア IP の両方に同じサブネットマスクを使用する必要があります。例えば、 などの/31範囲を割り当てる場合は、ピア IP 203.0.113.0に を203.0.113.0/31、 AWS ピア IP 203.0.113.1 に を使用できます。または、 などの/24範囲を割り当てる場合は、ピア IP 198.51.100.10に を198.51.100.0/24、 AWS ピア IP 198.51.100.20 に を使用できます。

      • AWS Direct Connect パートナーまたは が所有する IP 範囲ISPと LOA-CFA 認証

      • AWSが提供する /31 CIDR。AWS サポートに連絡してパブリックをリクエストする IPv4 CIDR (およびリクエストにユースケースを提供する)

        注記

        AWSが提供するパブリックIPv4アドレスに対するすべてのリクエストを当社が受理できることを保証することはできません。

    • (プライベート仮想インターフェイスのみ) Amazon はプライベートIPv4アドレスを生成できます。独自の を指定する場合は、CIDRsルーターインターフェイスと AWS Direct Connect インターフェイスにのみプライベート を指定してください。例えば、ローカルネットワークから他の IP アドレスを指定しないでください。パブリック仮想インターフェイスと同様に、ピア IP と AWS ルーターピア IP の両方に同じサブネットマスクを使用する必要があります。例えば、 などの/30範囲を割り当てる場合は、ピア IP 192.168.0.1に を192.168.0.0/30、 AWS ピア IP 192.168.0.2 に を使用できます。

  • IPv6: Amazon は /125 IPv6 を自動的に割り当てますCIDR。独自のピアIPv6アドレスを指定することはできません。
アドレスファミリー BGP ピアリングセッションが IPv4または のどちらを経由するかIPv6。
BGP 情報

  • BGP セッションのユーザー側のパブリックまたはプライベートのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN)。パブリック を使用している場合はASN、その を所有している必要があります。プライベート を使用している場合はASN、カスタムASN値を設定できます。16 ビット の場合ASN、値は 64512~65534 の範囲である必要があります。32 ビット の場合ASN、値は 1~2147483647 の範囲である必要があります。パブリック仮想インターフェイスASNにプライベート を使用する場合、自律システム (AS) の先頭付加は機能しません。

  • AWS MD5はデフォルトで を有効にします。この値を変更することはできません。

  • MD5 BGP 認証キー。独自のキーを指定するか、Amazon で自動的に生成することができます。
(パブリック仮想インターフェイスのみ) アドバタイズするプレフィックス

経由でアドバタイズするパブリックIPv4IPv6ルートBGP。を使用して、少なくとも 1 つのプレフィックスをアドバタイズする必要があります。プレフィックスは最大 1,000 個BGPまでです。

  • IPv4: 次のいずれかに当てはまる AWS Direct Connect 場合IPv4CIDR、 は を使用してIPv4CIDR発表された別のパブリックと重複する可能性があります。

    • CIDRs は、異なる AWS リージョンからのものです。BGP コミュニティタグは、必ずパブリックプレフィックスに適用してください。

    • AS_PATH は、アクティブ/パッシブ設定ASNにパブリックがある場合に使用します。

    詳細については、「ルーティングポリシーとBGPコミュニティ」を参照してください。

  • IPv6: プレフィックスの長さを /64 以下に指定します。

  • 既存のパブリックにプレフィックスを追加VIFし、AWS サポート に連絡してアドバタイズできます。サポートケースでは、パブリックに追加VIFしてアドバタイズする追加のCIDRプレフィックスのリストを指定します。

  • Direct Connect パブリック仮想インターフェイスでは、任意のプレフィックス長を指定できます。IPv4 は /1 から /32 までのすべてをサポートし、 IPv6は /1 から /64 までのすべてをサポートする必要があります。
(プライベート仮想インターフェイスのみ) Jumbo Frames 経由のパケットの最大送信単位 (MTU) AWS Direct Connect。デフォルトは 1500 です。仮想インターフェイスMTUの を 9001 (ジャンボフレーム) に設定すると、ジャンボフレームをサポートするように更新されていない場合、基盤となる物理接続が更新される可能性があります。接続の更新は、この接続に関連付けられるすべての仮想インターフェイスのネットワーク接続を最大で 30 秒間中断します。ジャンボフレームは、 から伝播されたルートにのみ適用されます AWS Direct Connect。仮想プライベートゲートウェイを指すルートテーブルに静的ルートを追加すると、静的ルートを介してルーティングされるトラフィックは 1500 を使用して送信されますMTU。接続または仮想インターフェイスがジャンボフレームをサポートしているかどうかを確認するには、 AWS Direct Connect コンソールでジャンボフレームを選択し、仮想インターフェイスの一般的な設定ページでジャンボフレームが対応しているかどうかを確認します。
(トランジット仮想インターフェイスのみ) Jumbo Frames 経由のパケットの最大送信単位 (MTU) AWS Direct Connect。デフォルトは 1500 です。仮想インターフェイスMTUの を 8500 (ジャンボフレーム) に設定すると、ジャンボフレームをサポートするように更新されていない場合、基盤となる物理接続が更新される可能性があります。接続の更新は、この接続に関連付けられるすべての仮想インターフェイスのネットワーク接続を最大で 30 秒間中断します。ジャンボフレームは Direct Connect で最大 8500 MTUまでサポートされています。トランジットゲートウェイルートテーブルで設定された静的ルートと伝播されたルートは、VPC静的ルートテーブルエントリを持つEC2インスタンスからトランジットゲートウェイアタッチメントへのインスタンスを含むジャンボフレームをサポートします。接続または仮想インターフェイスがジャンボフレームをサポートしているかどうかを確認するには、 AWS Direct Connect コンソールでジャンボフレームを選択し、仮想インターフェイスの一般的な設定ページでジャンボフレームが対応しているかどうかを確認します。

パブリックプレフィックス または が ISPまたはネットワークキャリアにASNs属している場合、当社は追加情報をお客様に要求します。これは、会社の公式レターヘッドを使用するドキュメントでも、ネットワークプレフィックス/ASN が使用できることを確認する会社のドメイン名からの E メールでもかまいません。

パブリック仮想インターフェイスを作成すると、 がリクエストを確認して承認 AWS するまでに最大 72 時間かかる場合があります。

以外のVPCサービスにパブリック仮想インターフェイスをプロビジョニングするには

  1. https://console.aws.amazon.com/directconnect/v2/homeAWS Direct Connectコンソールを開きます。

  2. ナビゲーションペインで、[Virtual Interfaces] を選択します。

  3. [仮想インターフェイスの作成] を選択します。

  4. [Virtual interface type (仮想インターフェイスタイプ)] の [タイプ] で [パブリック] を選択します。

  5. [Public Virtual Interface settings (仮想インターフェイス設定)] で以下を実行します。

    1. [仮想インターフェイス名] に、仮想インターフェイスの名前を入力します。

    2. [接続] で、このインターフェイスに使用する Direct Connect 接続を選択します。

    3. にはVLAN、仮想ローカルエリアネットワーク () の ID 番号を入力しますVLAN。

    4. BGP にはASN、ゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。

      有効な値は 1 ~ 2147483647 です。

  6. [追加設定] で、以下を実行します。

    1. IPv4 BGP または IPv6ピアを設定するには、次の手順を実行します。

      〔IPv4] IPv4BGPピアを設定するには、 IPv4を選択して次のいずれかを実行します。

      • これらの IP アドレスを自分で指定するには、ルーターピア ip に、Amazon がトラフィックを送信する宛先IPv4CIDRアドレスを入力します。

      • Amazon ルーターピア IP には、 へのトラフィックの送信に使用するIPv4CIDRアドレスを入力します AWS。

      〔IPv6] IPv6BGPピアを設定するには、 を選択しますIPv6。ピアIPv6アドレスは、Amazon のIPv6アドレスプールから自動的に割り当てられます。カスタムIPv6アドレスを指定することはできません。

    2. 独自のBGPキーを指定するには、BGPMD5キーを入力します。

      値を入力しない場合、BGPキーが生成されます。

    3. プレフィックスを Amazon にアドバタイズするには、 をアドバタイズするプレフィックスに、仮想インターフェイス経由でトラフィックをルーティングするIPv4CIDR宛先アドレス (カンマ区切り) を入力します。

    4. (オプション) タグを追加または削除します。

      [タグの追加] [タグの追加] を選択して、以下を実行します。

      • [キー] にはキー名を入力します。

      • [] にキー値を入力します。

      [タグの削除] タグの横にある [タグの削除] を選択します。

  7. [仮想インターフェイスの作成] を選択します。

プライベート仮想インターフェイスを にプロビジョニングするには VPC

  1. https://console.aws.amazon.com/directconnect/v2/homeAWS Direct Connectコンソールを開きます。

  2. ナビゲーションペインで、[Virtual Interfaces] を選択します。

  3. [仮想インターフェイスの作成] を選択します。

  4. [Virtual interface type (仮想インターフェイスタイプ)] の [タイプ] で [プライベート] を選択します。

  5. [プライベート仮想インターフェイス設定] で以下を実行します。

    1. [仮想インターフェイス名] に、仮想インターフェイスの名前を入力します。

    2. [接続] で、このインターフェイスに使用する Direct Connect 接続を選択します。

    3. [ゲートウェイタイプ] で、[仮想プライベートゲートウェイ] または [Direct Connect ゲートウェイ] を選択します。

    4. 仮想インターフェイス所有者 で、別の AWS アカウント を選択し、 AWS アカウントを入力します。

    5. [仮想プライベートゲートウェイ] で、このインターフェイスに使用する仮想プライベートゲートウェイを選択します。

    6. にはVLAN、仮想ローカルエリアネットワーク () の ID 番号を入力しますVLAN。

    7. にはBGPASN、新しい仮想インターフェイスのオンプレミスピアルーターのボーダーゲートウェイプロトコル自律システム番号を入力します。

      有効な値は 1~2,147,483,647 です。

  6. [追加設定] で、以下を実行します。

    1. IPv4 BGP または IPv6ピアを設定するには、次の手順を実行します。

      〔IPv4] IPv4BGPピアを設定するには、 IPv4を選択して次のいずれかを実行します。

      • これらの IP アドレスを自分で指定するには、ルーターピア ip に、Amazon がトラフィックを送信する宛先IPv4CIDRアドレスを入力します。

      • Amazon ルーターピア ip には、 へのトラフィックの送信に使用するIPv4CIDRアドレスを入力します AWS。

        重要

        IPv4 アドレス AWS の自動割り当てを許可すると、接続に point-to-point 3927 に従って 169.254.0.0/16 IPv4 Link-Local RFC から /29 CIDRが割り当てられます。VPCトラフィックの送信元および/または送信先としてカスタマールーターピア IP アドレスを使用する場合は、このオプションは推奨 AWS されません。代わりに、1918 RFC またはその他のアドレスを指定し、アドレスを自分で指定する必要があります。

      〔IPv6] IPv6BGPピアを設定するには、 を選択しますIPv6。ピアIPv6アドレスは、Amazon のIPv6アドレスプールから自動的に割り当てられます。カスタムIPv6アドレスを指定することはできません。

    2. 最大送信単位 (MTU) を 1500 (デフォルト) から 9001 (ジャンボフレーム) に変更するには、ジャンボ MTU (MTUサイズ 9001) を選択します。

    3. (オプション) の有効化 SiteLinkで、有効化 を選択して Direct Connect のプレゼンスポイント間の直接接続を有効にします。

    4. (オプション) タグを追加または削除します。

      [タグの追加] [タグの追加] を選択して、以下を実行します。

      • [キー] にはキー名を入力します。

      • [] にキー値を入力します。

      [タグの削除] タグの横にある [タグの削除] を選択します。

  7. [仮想インターフェイスの作成] を選択します。

ステップ 4: 仮想インターフェイスの構成の回復性を確認する

AWS クラウドまたは Amazon への仮想インターフェイスを確立したらVPC、仮想インターフェイスのフェイルオーバーテストを実行して、設定が障害耐性要件を満たしていることを確認します。詳細については、「AWS Direct Connect フェイルオーバーテスト」を参照してください。

ステップ 5: 仮想インターフェイス接続を検証する

AWS クラウドまたは Amazon への仮想インターフェイスを確立したらVPC、次の手順を使用して AWS Direct Connect 接続を検証できます。

AWS クラウドへの仮想インターフェイス接続を確認するには

  • を実行しtraceroute、 AWS Direct Connect 識別子がネットワークトレースにあることを確認します。

Amazon への仮想インターフェイス接続を確認するには VPC

  1. Amazon Linux などの ping 可能な を使用してAMI、仮想プライベートゲートウェイにアタッチVPCされている にEC2インスタンスAMIを起動します。Amazon Linux AMIsは、Amazon EC2コンソールでインスタンス起動ウィザードを使用するときに、クイックスタートタブで使用できます。詳細については、「Amazon ユーザーガイド」の「インスタンスの起動」を参照してください。 EC2 インスタンスに関連付けられているセキュリティグループに、インバウンドICMPトラフィックを許可するルール (ping リクエストの場合) が含まれていることを確認します。

  2. インスタンスが実行されたら、プライベートIPv4アドレス (10.0.0.4 など) を取得します。Amazon EC2コンソールには、インスタンスの詳細の一部としてアドレスが表示されます。

  3. プライベートIPv4アドレスに Ping してレスポンスを取得します。