はじめに

　re:Invent 2024が近付く中で、今年も様々なネットワークにかかわるアップデートが発表されましたが、その中でも2024年11月25日に投稿された「AWS Cloud WAN が AWS Direct Connect によりオンプレミス接続を簡素化」というアップデートについてご紹介します。

　本記事は、2024年12月16日に開催された「NW-JAWS #14 ～re:Invent 2024 re:Cap ネットワークについて語ろう～」での発表内容に当日お話しできなかった内容を付け加えているものの、本筋のお話は変わらない旨ご承知おき頂けますと幸いです。

• はじめに
• Cloud WANとは
• アップデートの概要
• アップデートの検証・調査
• 今後のグローバルネットワーク
• まとめ
• おわりに

Cloud WANとは

　グローバルネットワークにおいて、オンプレミス拠点間やAWSと相互接続するためのマネージドサービスです。ポリシーによる接続タスク自動化、セグメント分離によるトラフィック制御、中央一元管理と監視などの特徴があります。
　（単なる相互接続サービスと捉えられがちですが、真の力はこれら特徴で発揮できます。残念ながら本記事は相互接続に関するテーマのため、別記事で特徴に関するテーマを取り上げたいと思います。）

　下の図はCloud WANの構成例ですが、Cloud WANはリージョン横断的な位置付けで、各リージョンのVPCに加えて、Direct Connect/Site-to-Site VPN/SD-WAN Applianceなどの多様な方式でオンプレミスへ接続されていることが確認できます。

　ちなみに、Cloud WANはTransit Gatewayとよく比較されますが、それぞれのメリット・デメリットは以下の記事で整理してますので、ご興味のある方はそちらをご覧下さい。

アップデートの概要

　Cloud WAN～Direct Connect間がTransit Gateway経由でなく直接接続できるようになったという大変シンプルなアップデート内容となります。

　下の図はAWS～オンプレミス間をDirect Connect接続で冗長化された構成例ですが、アップデートによってCloud WANとDXGW間がTransit Gateway経由でなく直接接続されています。

アップデートの検証・調査

　アップデートによって、どのような影響があり、どのような対応をすべきか、実際のDirect Connect接続で検証・調査した結果をもとに整理してます。

　新しいオペレーションは、Cloud WAN～Direct Connect Gateway間のアタッチメント作成のみです。Cloud WANのアタッチメントの設定で、アタッチメントタイプ(=Direct Connect)、エッジロケーション(=リージョン)、Direct Connect gateway attachment(=DXGW ID)を入力するだけで作成できます。

　ちなみに、Transit Gatewayは経由しないものの、従来どおりDirect Connectを作成する場合はTransitVIFを作成してください。VPC attachmentのENIのインターフェースタイプもTranit Gatewayと表示されるなど、Cloud WANがTransit Gatewayのように取り扱われることは時々あります。

　リージョン、ルーティング、VPNへの対応が少し物足りないため、今後のアップデートへ期待です。直近でお客様要件が充足できない場合は、従来の構成も検討しましょう。

1. リージョンが対応してない
   • 東京、大阪リージョンは未対応（2024/11/25時点ではバージニア北部、オハイオ、オレゴン、カルガリー、フランクフルト、ストックホルム、アイルランド、ロンドン、シンガポール、シドニー、テルアビブリージョンのみ対応）。
2. ルーティングが制御できない
   • DXGWのゲートウェイ関連付けにて、オンプレミスにアドバタイズしたいルートを設定できるが、Cloud WANを関連付けた場合はルートを設定できない（設定ボタンが表示されず）。
   • Cloud WANのポリシーのセグメントオプションにて、静的ルートが設定できるが、DXGWをターゲットとする静的ルートは設定できない（エラーが表示される）。
   • ルーティングが制御できなくなることで、AWS～オンプレミス間のキャリア制約事項へ抵触しないか注意しましょう（ルート上限数へ達するなど）。
3. VPNが確立できない
   • Transit GatewayはDirect Connect接続のうえSite-to-Site VPN接続することでプライベートVPNが確立できるが、そもそもTransit Gatway経由でなくなったためプライベートVPNが確立できなくなった。

　構成が簡素化されたことで、運用負荷やコストが軽減されます。一方、運用も一部の機能が無くなるため代替手段を考えておきましょう。

4. 運用負荷を軽減
   • リソースはTransit Gatewayが無くなりアタッチメントが減るため、パラメータ・ステータスの管理・確認などの運用負荷は軽減できます。
   • Cloud WANはルートやイベントログの確認は同じですが、Transit Gatewayが無くなるためVPCフローログが確認できず、トラブル時における代替手段は要検討です。
5. コストを削減
   • リソースはTransit Gatewayが無くなりアタッチメントが減るため、時間およびデータあたりの料金は軽減できます。
   • Transit Gatewayアタッチメントは単金が高く、各リージョンでDirectConnect接続していた場合はコスト効果が大きいです。

　本記事では、インパクトが大きいと自ら感じた影響のみピックアップしてますが、すべての制限事項を網羅的に確認したい場合は AWS Cloud WANユーザガイドをご参照下さい。

今後のグローバルネットワーク

　Cloud WANは接続方法の多様化/簡素化により、オンプレミス拠点が接続しやすくなり、その拠点数も増えるものと考えられます。そうした場合、オンプレミス拠点間通信もAWSネットワーク経由で通信するケースも増えるものと考えられます。

　このようにAWSネットワークをグローバルネットワークバックボーンとして利用することで、品質はAWSネットワーク水準を維持しながら、コストは海外拠点間をIP-VPN接続するケースと比べて抑える効果も期待できるのではないかと考えられます。

　※Direct Connect拠点同士で通信する場合はCloud WANでなくSiteLinkでのDXGW折り返しとなり、よりシンプルなルートが実現できます。

まとめ

　「AWS Cloud WAN が AWS Direct Connect によりオンプレミス接続を簡素化」をご紹介しました。

• 新しいオペレーションはCloud WANでDXGWアタッチメントを作成するだけでOK
• リージョン、ルーティング、VPNへの対応が少し物足りないため、今後のアップデートへ期待
• 構成簡素化で運用負荷やコストは軽減されるが、一部機能縮小の影響と対応は要注意

　今後のグローバルネットワークに関する個人の見解をご紹介しました。

• オンプレミス拠点間通信においてAWSネットワークをバックボーンとして利用拡大

おわりに

　Cloud WANはTransit Gatewayと比べると、まだまだ知名度の低いサービスですが、アップデートの勢いは強まっていますので、今後更なる利用シーン拡大も期待できるかと考えられます。

ランキング参加中

ネットワーク（Network）

はじめに

　Amazon CloudWatch Network Monitorは、2023年12月22日に一般提供開始されたサービスであり、AWS～オンプレミス間のネットワークがモニタリング可能となります。
　自らのハイブリッドネットワーキング業務から導き出した、公式ドキュメントにも載っていないNetwork Monitorのユースケースおよび仕様についてご紹介します。
　本記事でもサービス概要は触れていますが、基本的なサービス仕様は公式ドキュメントなどでご確認頂けますと幸いです。

• はじめに
• Network Monitorとは
• Network Monitorユースケース
  • グレー障害の検知および対処
  • 疎通テスト
• Network Monitor仕様
  • ポーリングインターバル
  • 送信元ENI
• まとめ
• おわりに

Network Monitorとは

　Network Monitorは、AWS上のサブネットからオンプレミスにTCPもしくはICMPポーリングを行い、遅延およびパケットロス率を取得します。
　構成は、1つのモニタにつき単一もしくは複数の送信元サブネットと送信先IPアドレスを指定すると、すべての組み合わせのプローブ(=トラフィック)が作成されます。
　その他、インターバル、メッセージサイズ、ポートなどのパラメータも指定できます。詳しいパラメータは前述の公式ドキュメントをご参照下さい。

Network Monitorユースケース

グレー障害の検知および対処

　従来のトラフィックに関わるログやメトリクスでも、ネットワークの切断や通信影響は確認できるのでは？と思われる方もいらっしゃるかもしれません。
　ハイブリッドネットワーキングで利用されるDirectConnet、Site-to-Site VPN、TGW (VGWのログやメトリクスは存在しない) で収集可能なログやメトリクスを以下に整理してみました。
　正常もしくは異常を示す状態、ビットレートやパケットレートなどの通信量を示す情報が多く見受けられ、一見すると充実してそうです。

　ただ上記のログやメトリクスでは、システムが完全停止するのではなく、一部停止もしくはパフォーマンス低下するグレー障害を検知することが難しいです。
　ネットワークにおけるグレー障害は、通信機器のソフトエラーやハードエラー等によって大幅な遅延や断続的な通信断を引き起こします。

　大幅な遅延や断続的な通信断によって、業務通信はエラーが発生するがBGPは再送処理で救済されて状態が変化しない、また通信量も全部流れないわけでなく一部流れるため異常検知できません。
　また、 Amazon CloudWatch anomaly detection機能を利用する場合でも、不規則なトラフィック特性を持つ通信では誤検知が増えてしまい、かえって運用負担が大きくなる可能性があります。

　対処策として、Network Monitorの遅延およびパケットロス率評価が有効です。
　グレー障害発生時におけるメトリクス変化幅が大きく、正常と異常の閾値を定義しやすいためです。理由としては、DirectConnectはトラフィック品質が安定しており、遅延が変化しにくくパケットロスも通常発生しないためです。

　閾値を超過した場合には、CloudWatchアラームでトリガーし、BGPフェイルオーバーも可能です。
　DirectConnectサービスのBGPフェイルオーバーテスト機能を利用しますが、最大72時間でフェイルバックするため、その後のアクションは予め決めておくと良いでしょう。詳しくは以下の記事でご紹介してますので、ご興味をお持ちになった方は是非ご参照下さい。

疎通テスト

　ネットワークリーチャビリティを確認したい場合におけるAWSサービスと言えば何でしょうか？Reachability Analyzerがパッと思い浮かぶ方は多いのではないでしょうか。
　ハイブリッドネットワークを構築・運用する場合には、以下の仕様に従ってReachability Analyzerで疎通性を解析できません。

　あくまでハイブリッドネットワーキングで解析できないだけであって、VPCネットワーキングの疎通テストでは大変有用なサービスだと思います。
　とはいえ、その他にも解析できないケースもありますので、ご利用される方は以下のドキュメントをご一読されることをお勧めします。

　対処策として、Network Monitorの疎通テスト活用が有効です。
　遅延やパケットロス率を取得する用途でないため賛否両論があると思いますが、送信元はマネージドサービス・送信先はエージェントレスと使い勝手も良く、労力を抑えて疎通性を確認できます。また、机上確認でなく実際にトラフィックを流すため、結果に対する信用度もより高いです。

　もしNetwork Monitorの結果がNGだった場合は設定見直しと並行し、AWSであればVPCフローログ、オンプレミスであればACLカウンターなどでパケット有無を切り分けます。
　VPCフローログは、デフォルトでなくカスタムでなければ確認できないフィールドもありますので、ご利用される方は以下のドキュメントをご一読されることをお勧めします。

Network Monitor仕様

ポーリングインターバル

　モニタ作成時に1分もしくは30秒を選択しているのでは？と思われるかもしれませんが、その選択肢はポーリングインターバルでなく集計インターバルです。
　この仕様へ気付いたきっかけは、ポーリング開始よりごく僅かな時間しか経ってないにも関わらず、パケットロス率が0.x%と細かく刻んだことでした。
　パケットキャプチャした結果、30秒あたり600発、つまりポーリングインターバルは50ミリ秒であることが確認できました。

　データの量が多いため、検知の精度が桁違いの高さです。
　例として、BGPとNetwork Monitorで検知の精度を比較した結果を以下に示します。パケットロス率が結構高めでも、BGPは中々検知できないことがお分かりいただけるかと思います。

　インターネット回線を用いたSD-WANではインターネット回線の信頼性が高くないため、このような遅延やパケットロス率に基づきフェイルオーバーします。
　DirectConnectもグレー障害で受ける影響次第で、このような仕組みの導入検討が必要と思います。

送信元ENI

　送信元ENIは、送信元サブネット数だけ必要でしょうか、もしくはプローブ数だけ必要でしょうか？答えとしては何れの数でもありません。
　この仕様へ気付いたきっかけは、サブネットの空きアドレスが少なく、アドレスが枯渇しそうな状況でENIを確認したことでした。
　ENIおよびVPCフローログを確認した結果、送信元ENIは送信元サブネット数×2で冗長化され、アドレス×2から同一の宛先へポーリングされてました。

　上記のようにアドレスが枯渇しそうな場合には注意しましょう。
　送信元ENIが冗長化される仕様は致し方ないのですが、サブネットあたりのプローブ数のクオータは上限緩和可能のためリクエストを検討してもよいかもしれません。

　2023年11月5日時点ではNetwork Monitorは東京リージョンで対応しているものの、大阪リージョンで対応していませんのでご注意下さい。
　詳しい対応リージョンは前述の公式ドキュメントをご参照下さい。

まとめ

　自らのハイブリッドネットワーキング業務から導き出した、Amazon CloudWatch Network Monitorのユースケースおよび仕様をご紹介しました。

• ユースケースとして、グレー障害の検知および対処、疎通テストを挙げました。
• 仕様として、ポーリングインターバルは50ミリ秒、送信元ENIは冗長化されることを挙げました。

おわりに

　Amazon CloudWatch Network Monitorは大変有用なサービスだと思います。より沢山の方々にご利用いただけるように、本記事が少しでも役立ちましたら幸いです。

ランキング参加中

ネットワーク（Network）

はじめに

　Google Cloudのハイブリッド接続において、大体AWSと同じでしょと思ってたら痛い目に会ったという方はいらっしゃらないでしょうか？
　Google CloudとAWSはネットワークだけでもVPC構成などの様々な違いがあります。その中から、今回は実際にハイブリッド接続でハマった事例をご紹介したいと思います。
　AWS DirectConnectは触ったことはあるけど、Google Cloud InterConnectは触ったことがないという方はピッタリかもしれません。

• はじめに
• CloudRouter～VPC間のルート優先度
• CloudRouter～オンプレミス間のeBGPマルチホップ
• CloudRouterのメンテナンス
• まとめ
• おわりに

CloudRouter～VPC間のルート優先度

　AWSの場合、オンプレミス向けのルートはオンプレミスルータにBGPメトリックとしてAS PATHを設定のうえ制御できましたが、Google Cloudの場合、同じように制御できない場合があります。
　下図の例では、パートナーネットワーク構成の違いにより上のルートより下のルートの方がAS PATHが大きいですが、下のルートが選択されています。

　理由としては、VPCはCloudRouterのAS番号をAS PATHに追加したルートがアドバタイズされるわけでなく、MEDを優先度としたルートが自動設定されるためです。更には、VPCルーティングモードがグローバルかつルートがリージョン間でアドバタイズされる場合、距離やレイテンシに応じたコストが自動加算されます。自動加算されるコストは201～9999のため、オンプレミスルータに設定するMEDは0～200にすることで、リージョン内ルートよりリージョン間ルートの方が優先されないようにしましょう。

　じゃあ一律MEDを設定すればいいのでは？と思う方もいらっしゃるかもしれません。PartnerIneterConnectでパートナーのL3サービスを利用した場合に、パートナーのルータにMEDを設定していることがあり、そのあたりも考慮しましょう。

CloudRouter～オンプレミス間のeBGPマルチホップ

　AWSの場合、BGPセッション確立にあたりeBGPマルチホップ設定を意識する必要はなかったですが、Google Cloudの場合、この設定を意識する必要があります。
　下図の例では、下のルートはパートナー経由でBGPセッションを確立できますが、上のルートは直接接続でBGPセッションを確立できていません。

　理由としては、Google Cloud仕様によりeBGPマルチホップ設定が必要となる場合があるためです。eBGPマルチホップ設定が必要となる条件は、VLANアタッチメントのDataplane バージョンが1の場合です。もしBGPセッションが確立できない場合には、公式ドキュメントを参考にしてVLANアタッチメントのDataplaneバージョンを確認し、必要に応じオンプレミスルータにeBGPマルチホップを推奨値4で設定しましょう。

　じゃあ一律eBGPマルチホップを設定すればいいのでは？と思う方もいらっしゃるかもしれません。eBGPシングルホップで無ければBFDが使えないなどの制約もありますので、不要な設定は行わないのが良いかと思います。

CloudRouterのメンテナンス

　メンテナンスは、AWS DirectConnectやGoogle Cloud InterConnetと言うよりGoogle Cloud Routerが多く、それに伴いオンプレミスルータのアラームも多くなる場合があります。
　下図の例では、下のルートはパートナー経由でアラームが少なく、上のルートは直接接続でアラームが多くなっています。

　理由としては、メンテナンス時にBGPセッションをリスタートすることで、直接接続されたオンプレミスルータでBGPセッションが切断されるためです。グレースフルリスタートがBGPセッション維持のうえで勧められてますが、フェイルオーバーが遅延する原因となる可能性もあるため注意しましょう。

　ちなみに、CroudRouterのメンテナンスは事前・事後のアナウンスが無く、ログエクスプローラーでルータIDおよび「Maintenance of router task: BGP sessions will restart.」というテキストペイロードで検索することで確認できます。

まとめ

• ルート優先度は、AS PATHだけでなくMEDも用いて制御しましょう。
• eBGPマルチホップは、VLANアタッチメントのDataplaneバージョン次第で設定しましょう。
• CloudRouterのメンテナンスは、グレイスフルリスタートを検討しましょう。

おわりに

　AWSに関する知識を持った状態で、Google Cloudのハイブリッド接続に臨んだ結果、実際ハマった事例を3つ挙げさせていただきました。
　しっかりとドキュメントを読んでいれば分かることと言われたらその通りですが、自分と同じバックグラウンドの方々の参考になれば幸いです。

ランキング参加中

ネットワーク（Network）

はじめに

　Google Cloudの異なるプロジェクト間でVPCネットワークを接続する場合、アドレス重複を回避するため限定的なルートアドバタイズが必要となる場合がありますよね。
　本記事では、VPCネットワーク間の限定的なルートアドバタイズの実装パターンをまとめました。

• はじめに
• アドレス重複の問題
• 限定的なルートアドバタイズによる解決策
• まとめ
• おわりに

アドレス重複の問題

　VPCネットワーク間を接続する方法としてはVPCネットワークピアリングが先ず思い付きますが、VPCネットワーク間でサブネットのアドレスが重複している場合、VPCネットワークピアリングは作成できません。

　例えば、VPCネットワークAが10.1.1.0/24と10.3.1.0/24、VPCネットワークBが10.2.1.0/24と10.3.1.0/24のサブネットを持っているケースがあったとします。A・Bとも10.3.1.0/24を持っており、アドレスが重複するため、VPCネットワークピアリングを作成できません。

限定的なルートアドバタイズによる解決策

　そこで、そもそもVPCネットワーク間でアドレスが重複させないために限定的なルートアドバタイズを実装する方法を考えます。各方法の特徴およびそのメリット・デメリットも合わせてご紹介したいと思います。

まとめ

　以上の説明を踏まえ、各方法は以下の特徴にまとめられると思います。具体的な環境や要件に応じて各方法を使い分けください。また、詳細コストは料金計算ツールでお見積りください。

おわりに

　Google CloudのVPCネットワーク間を接続し、限定的なルートアドバタイズを実装する必要がある方がいらっしゃいましたら、本記事がご参考になりますと幸いです。

ランキング参加中

ネットワーク（Network）