AWS Direct Connect

AWS Direct Connect は、オンプレミスのデータセンターやオフィスと AWS を、インターネットを介さない専用線で接続するためのサービスです。安定した帯域と低遅延の閉域接続を実現し、大容量データ転送やハイブリッドクラウドの基盤として利用されます。

解決する課題

インターネット VPN による AWS 接続は手軽ですが、経路上の輻輳や品質変動の影響を受けやすく、帯域や遅延が保証されません。大量データの定常的な転送、安定した応答時間を求めるアプリケーション、または通信経路をインターネットから分離したいコンプライアンス要件がある場合、ベストエフォートのインターネット接続では要件を満たせないことがあります。

Direct Connect は、AWS とユーザー拠点の間に専用の物理接続を確立することで、これらの課題に対応します。経路がインターネットから切り離されるため帯域と遅延が安定し、大容量転送時のデータ転送料金もインターネット経由より低く抑えられる傾向があります。一方で、物理回線の手配とプロビジョニングには時間を要するため、計画的な導入が前提になります。

主要概念と用語

接続（Connection）: ユーザー拠点と Direct Connect ロケーションを結ぶ物理的なイーサネット接続。ポート速度を選択して確保する。
Direct Connect ロケーション: AWS と相互接続できる物理的な拠点。多くはパートナーが運営するデータセンター内にあり、ここでユーザー機器と AWS ルーターをクロスコネクトで結ぶ。
専用接続（Dedicated Connection）: ユーザーが 1 つの物理ポートを占有する形態。AWS に直接申し込む。
ホスト接続（Hosted Connection）: APN パートナーが用意した物理接続を分割して提供する形態。比較的小さい帯域から利用でき、開通も早い傾向がある。
仮想インターフェイス（VIF）: 物理接続の上に構成する論理接続。種別によって到達できるリソースが異なる。
プライベート VIF: VPC 内のプライベート IP アドレスへ到達するための VIF。VPC または Direct Connect ゲートウェイに関連付ける。
パブリック VIF: S3 などパブリックなエンドポイントへ、AWS のパブリック IP 空間を使って閉域経路で到達するための VIF。
トランジット VIF: Direct Connect ゲートウェイ経由で Transit Gateway に接続するための VIF。
Direct Connect ゲートウェイ: 複数リージョンの VPC や複数の VIF を集約してつなぐためのグローバルなリソース。
LAG（Link Aggregation Group）: 複数の接続を束ねて 1 つの論理接続として扱い、帯域集約と冗長性を高める仕組み。
BGP: Direct Connect 上の経路情報を交換する動的ルーティングプロトコル。VIF ごとにピアリングを構成する。

仕様・制限・クォータ

物理接続のポート速度は段階的に選択でき、専用接続は比較的大きな帯域、ホスト接続はより小さい帯域から選べます。1 つの専用接続には複数の VIF を構成でき、種別ごとに作成数の上限が定められています。

BGP では受け取れる経路数や広告できるプレフィックス数に上限があり、これを超えるとセッションに影響します。Direct Connect ゲートウェイに関連付けられる VIF やゲートウェイの数、LAG に束ねられる接続数などにもそれぞれ上限があります。具体的な数値はリージョンや時期で変わり得るため、設計時には最新の公式ドキュメントとアカウントごとのクォータを確認してください。上限の多くはサービスクォータから引き上げ申請が可能ですが、物理的な制約に基づくものは引き上げできない点に注意します。

プロビジョニング期間

物理接続の確保はクロスコネクトの敷設を伴うため、論理リソースの作成と異なり日数を要することがあります。期限のある移行計画では、回線手配のリードタイムを早期に見積もってください。

内部の仕組み

Direct Connect ロケーションには AWS のルーターが設置されており、ユーザーは同じロケーション内に自社またはパートナーのルーターを配置し、両者をクロスコネクトと呼ばれる物理配線で接続します。これが物理接続の実体です。

物理接続が確立すると、その上に VLAN で区切られた仮想インターフェイスを構成します。各 VIF では BGP セッションを張り、ユーザー側からはオンプレミスのプレフィックスを広告し、AWS 側からは到達可能な VPC やパブリックエンドポイントの経路を受け取ります。プライベート VIF やトランジット VIF を Direct Connect ゲートウェイに関連付けると、ゲートウェイが複数リージョンの VPC や Transit Gateway への経路を集約し、単一の物理接続から広範なネットワークへ到達できるようになります。

経路選択は BGP の属性に従って行われ、複数経路がある場合の優先度や、VPN との併用時のフェイルオーバー挙動も BGP の広告内容で制御します。ロケーションから先のユーザー拠点までの区間は AWS の管理外であり、ここの設計と冗長化はユーザーの責任範囲です。

設計パターン / ベストプラクティス

可用性を最優先する場合は、異なる Direct Connect ロケーション、できれば異なる機器を使う複数の専用接続を用意し、単一障害点を排除します。1 つのロケーション内で冗長化するよりも、物理的に離れたロケーションを併用するほうが、施設レベルの障害に強くなります。

コストと可用性のバランスを取る一般的な構成として、Direct Connect を主経路、インターネット VPN をバックアップ経路とするハイブリッド構成があります。BGP の経路広告を調整して通常時は Direct Connect を優先させ、障害時に VPN へ自動的に切り替わるようにします。

複数リージョンや多数の VPC へ到達する必要がある場合は、Direct Connect ゲートウェイや Transit Gateway を組み合わせ、物理接続を増やさずに論理的な到達範囲を広げます。

冗長設計の指針

最大可用性が求められるワークロードでは、複数ロケーションにそれぞれ複数接続を配置する構成が推奨されます。要件に応じて、まず VPN バックアップ、次に接続冗長、最後にロケーション冗長と段階的に強化するとよいでしょう。

運用・監視

物理接続と各 VIF の状態、ポートの稼働状況、データ転送量などのメトリクスを CloudWatch で監視できます。BGP セッションの確立状態や受信経路数を継続的に確認し、セッション断や経路数の急増を早期に検知することが重要です。

物理層では、光の受信レベルやエラーカウンタといった光学メトリクスから回線品質の劣化を捉えられます。冗長構成を組んでいる場合は、定期的にフェイルオーバーのテストを行い、主経路を意図的に切り離してもバックアップ経路へ正しく切り替わることを確認します。設定変更や障害時に備え、BGP の広告内容やルーティングポリシーを文書化しておくと復旧が容易になります。

コスト

Direct Connect の費用は主に、ポートを確保している時間に対するポート時間料金と、Direct Connect 経由で AWS から外向きに送出したデータに対するデータ転送料金で構成されます。専用接続とホスト接続で料金体系が異なり、ロケーションによっても単価が変わります。

Direct Connect 経由のデータ転送料金は、同等のトラフィックをインターネット経由で転送する場合より低い単価になる傾向があり、定常的に大量のデータを送出するワークロードではコスト面の利点が大きくなります。ただし、ポート料金は接続を確保している限り発生し、クロスコネクトの費用はロケーション運営者へ別途支払う点に注意します。具体的な金額は変動するため、最新の料金ページで確認してください。

セキュリティ

Direct Connect の経路はインターネットを通らない閉域接続であり、これ自体が経路の分離という観点でセキュリティ上の利点となります。一方で、Direct Connect の物理接続そのものは既定では暗号化されていません。機密性が求められる通信では、Direct Connect の上で IPsec VPN を併用する、またはアプリケーション層で暗号化するなど、別途暗号化を施すことが推奨されます。

到達範囲は VIF の種別と BGP の経路広告、および VPC のセキュリティグループやネットワーク ACL で制御します。最小権限の原則に従い、必要なプレフィックスのみを広告し、不要な経路を絞り込みます。

既定では暗号化されない

専用線だからといって通信内容が暗号化されているわけではありません。コンプライアンスで暗号化が必須の場合は、Direct Connect 上に MACsec や IPsec VPN を重ねるなどの対策を明示的に設計してください。

Well-Architected の観点

信頼性の観点では、単一の物理接続や単一ロケーションへの依存を避け、複数接続や VPN バックアップで単一障害点を排除することが中心になります。フェイルオーバーの定期テストも信頼性を支える要素です。

パフォーマンス効率の観点では、安定した帯域と低遅延という Direct Connect の特性を、遅延に敏感なワークロードや大容量転送に適切に割り当てます。セキュリティの観点では、閉域経路という利点を活かしつつ、暗号化が既定でない点を補い、経路広告を最小限に保ちます。コスト最適化の観点では、転送量とポート稼働の双方を見て、ホスト接続と専用接続のどちらが適切かを見極めます。

試験で問われるポイント

頻出

VIF の種別の使い分け。VPC へのプライベート到達はプライベート VIF、S3 などへの閉域到達はパブリック VIF、Transit Gateway 接続はトランジット VIF。
複数リージョンや複数 VPC への集約には Direct Connect ゲートウェイを用いる。
最大可用性の構成は、複数ロケーションにそれぞれ複数接続を配置する形。次点として接続冗長や VPN バックアップが問われる。
Direct Connect は既定では暗号化されない。暗号化要件があれば VPN や MACsec を重ねる。
物理接続のプロビジョニングには時間がかかり、即時には開通しない点。
インターネット VPN との比較で、安定性や遅延、転送コストの違いを問う設問。

観点	Direct Connect	Site-to-Site VPN
接続経路	専用線による閉域接続	インターネット経由
帯域と遅延	安定し低遅延	ベストエフォートで変動
開通までの期間	物理手配で日数を要する	短時間で構成可能
暗号化	既定では非暗号化	IPsec で暗号化
主な用途	大容量や安定重視の常時接続	手軽な接続やバックアップ経路

ハンズオン / CLI例

以下は AWS CLI で Direct Connect の接続と VIF の状態を確認する例です。物理接続の作成自体は申し込みや承認を伴うため、ここでは既存リソースの確認を中心にしています。

# Direct Connect の物理接続の一覧と状態を確認する
aws directconnect describe-connections

# 特定の接続にひもづく仮想インターフェイスの状態を確認する
aws directconnect describe-virtual-interfaces \
  --connection-id dxcon-xxxxxxxx

# プライベート仮想インターフェイスを作成する例
aws directconnect create-private-virtual-interface \
  --connection-id dxcon-xxxxxxxx \
  --new-private-virtual-interface \
      virtualInterfaceName=prod-private-vif,vlan=101,asn=65000,directConnectGatewayId=dxgw-xxxxxxxx

# Direct Connect ゲートウェイの一覧を確認する
aws directconnect describe-direct-connect-gateways

AWS Direct Connect

解決する課題

主要概念と用語

仕様・制限・クォータ

内部の仕組み

設計パターン / ベストプラクティス

運用・監視

コスト

セキュリティ

Well-Architected の観点

試験で問われるポイント

関連サービス・比較

ハンズオン / CLI例

AWS Direct Connectを実務で読む

解決すること

比較で見る軸

導入後に効く点

先に潰すリスク

判断チェックリスト

次に確認する観点