目次

AWS Direct Connect 完全ガイド v2.0

専用線接続・低レイテンシ・エンタープライズハイブリッド構築

概要

AWS Direct Connect(AWS DX) は、オンプレミスネットワークと AWS クラウド間に専用の物理ネットワーク接続(専有ファイバーリンク) を確立するサービスです。インターネットを経由せずプライベート接続を実現し、安定した帯域幅・一貫した低レイテンシ・高いセキュリティを提供します。金融機関・製造業・医療などの大規模データ転送やリアルタイム処理が必須のエンタープライズ環境で活用されます。

初心者向けメモ

Direct Connect は「インターネットを使わずにオンプレと AWS を専用線で直接つなぐ」サービスです。VPN ではインターネット帯域を共有するため速度が変動しますが、Direct Connect は自社専用の光ファイバーを引いて AWS に接続するため、1Gbps / 10Gbps / 100Gbps / 400Gbps など確定した速度を確保できます。

Direct Connect が解決する課題

課題 VPN・インターネット経由 Direct Connect
帯域幅の安定性 インターネット混雑で速度低下 専有回線で安定した速度確保
レイテンシの一貫性 ジッター(遅延変動)が大きい 低遅延で安定(数百マイクロ秒)
インターネット非経由の要件 ❌ 不可能 ✅ 専用線でプライベート接続
大容量転送コスト データ転送料金が高い データ転送料金が低い(専有回線)
セキュリティ(コンプライアンス) インターネット経由で懸念 VPC 内の暗号化+MACsec で堅牢
複数リージョン統合 VPN ゲートウェイで複雑化 DX Gateway + Transit VIF で シンプル
AWS Interconnect 新機能 ✅ 2026 年 GA で Last-Mile 簡素化

主な特徴

特徴 説明 v2.0 更新内容
Dedicated Connection AWS が専有ポート提供、1/10/100/400 Gbps 400 Gbps は米国特定ロケーション
Hosted Connection APN パートナーが仲介、柔軟なサイズ Equinix CloudExchange など
Virtual Interface(VIF) Public/Private/Transit 3 種 Transit VIF で Transit Gateway 対応拡大
Direct Connect Gateway マルチリージョン・マルチアカウント接続 AWS Backbone で低遅延化
SiteLink ロケーション間を AWS ネットワークで直結 冗長性向上
MACsec Layer 2 暗号化(IEEE 802.1AE) XPN-256 256bit 化・デフォルト対応進行中
Link Aggregation Group(LAG) 複数ポートを 1 つに統合 可用性向上
Jumbo Frame MTU 1500 → 9001 対応 大容量ファイル転送最適化
AWS Interconnect Last-Mile を AWS が自動構成(2026 GA) 4 つの冗長接続・BGP・MACsec 自動

アーキテクチャ

図1:Direct Connect エンドツーエンド接続フロー

graph TB
    OnPrem["オンプレミス<br/>Router / Firewall"]
    CrossConnect["Cross Connect<br/>Fiber-Optic Cable<br/>顧客所有"]
    DXLocation["Direct Connect Location<br/>Equinix / etc"]
    AWSDXRouter["AWS DX Router<br/>VIF Termination"]
    VPC["VPC<br/>Private Subnet"]
    EC2["EC2 / RDS<br/>Resource"]

    OnPrem -->|BGP Session<br/>ASN Exchange| CrossConnect
    CrossConnect -->|1/10/100/400 Gbps<br/>Dedicated| DXLocation
    DXLocation -->|AWS Network<br/>Private Path| AWSDXRouter
    AWSDXRouter -->|VIF Routing<br/>Private IP| VPC
    VPC -->|Direct Access<br/>No IGW| EC2

    style OnPrem fill:#e8f4f8
    style CrossConnect fill:#d4e9f7
    style DXLocation fill:#c0ddf5
    style AWSDXRouter fill:#acd1f2
    style VPC fill:#98c5f0
    style EC2 fill:#84b9ed

図2:Virtual Interface(VIF)タイプ比較 & AWS Interconnect

graph LR
    DXConn["Direct Connect<br/>Connection"]
    
    PublicVIF["Public VIF<br/>AWS Public Services<br/>S3 / DynamoDB / etc"]
    PrivateVIF["Private VIF<br/>VPC Resources<br/>EC2 / RDS / etc"]
    TransitVIF["Transit VIF<br/>Transit Gateway<br/>Multi-Account"]
    
    Interconnect["AWS Interconnect<br/>Last-Mile Automation<br/>MACsec + 4x Redundancy"]
    
    DXConn -->|BGP Peering<br/>Public ASN| PublicVIF
    DXConn -->|BGP Peering<br/>Private ASN| PrivateVIF
    DXConn -->|BGP Peering<br/>via DX Gateway| TransitVIF
    
    DXConn -->|Optional<br/>GA 2026| Interconnect

    style PublicVIF fill:#ff9999
    style PrivateVIF fill:#99ccff
    style TransitVIF fill:#99ff99
    style Interconnect fill:#ffcc99

コアコンポーネント

1. Connection Type(接続方式)

Dedicated Connection(専用接続)

  • 定義:AWS がお客様に専有物理ポートを提供
  • 帯域:1 Gbps / 10 Gbps / 100 Gbps / 400 Gbps(米国特定ロケーション)
  • 申し込み:AWS コンソール → LOA-CFA 取得 → 施工
  • リード時間:2-4 週間
  • コスト:ポート時間料金(高速ほど高額)
  • 2026 Update:400 Gbps 対応ロケーション拡大検討中

Hosted Connection(ホスト型接続)

  • 定義:APN パートナーが仲介、共有ポートを使用
  • 帯配:50 Mbps ~ 10 Gbps(パートナー依存)
  • 申し込み:パートナー経由で簡単
  • リード時間:数日~1 週間
  • コスト:より低いシステム(小規模向け)
  • 利点:初期投資が少ない、柔軟なスケーリング

2. Virtual Interface(VIF)

Public VIF(パブリック VIF)

  • 構成:BGP Peering with AWS
  • 使途:S3・DynamoDB・CloudFront など公開 AWS サービス
  • 例:aws.amazon.com(Public IP Space)へのアクセス
  • IP Range:AWS パブリック IP レンジ(BGP で広告)

Private VIF(プライベート VIF)

  • 構成:BGP Peering with Virtual Private Gateway / Transit Gateway
  • 使途:VPC 内のリソース(EC2・RDS など)
  • 例:10.0.0.0/8 などプライベート IP へのアクセス
  • VPC Association:1 つまたは複数 VPC

Transit VIF(トランジット VIF)

  • 構成:BGP Peering with Direct Connect Gateway(DX Gateway)
  • 使途:マルチリージョン・マルチアカウント VPC への一括接続
  • 例:複数 AWS アカウント・複数リージョンの VPC に同じ DX で接続
  • 冗長:複数 DX Connection に対応

3. Direct Connect Gateway(DX Gateway)

  • 用途:複数リージョン・複数 AWS アカウントの VPC を 1 つの接続で統合
  • 構成:Transit VIF → DX Gateway → Virtual Private Gateway / Transit Gateway
  • 冗長:複数の DX Connection に対応
  • 対応リージョン:グローバル展開

4. SiteLink(サイトリンク)

  • 用途:2 つ以上の Direct Connect ロケーション間を AWS ネットワークで直結
  • 利点:AWS リージョンを経由せずにローカル接続可能
  • 適用:グローバル企業で複数拠点が Direct Connect 接続されている場合
  • 料金:ロケーション間で従量課金

5. MACsec(Media Access Control Security)

標準:IEEE 802.1AE
対応速度:10 Gbps / 100 Gbps / 400 Gbps
Cipher Suite:GCM-AES-XPN-256(256 bit)
適用:Connection レベルで Encryption(End-to-End)
パフォーマンス:ごくわずかなオーバーヘッド( < 1%)
ロケーション:全 DX ロケーション で対応拡大中(2025-2026)
  • 用途:複数の物理接続を 1 つの論理インターフェース化
  • 効果:より高い帯域 + 冗長性
  • 設定:最大 4 接続を 1 つの LAG に統合可能
  • BGP:単一 BGP セッションで複数物理リンク統合

7. AWS Interconnect(2026 GA)

機能:Last-Mile 接続の完全自動化
構成:
  - 4 つの冗長物理接続(2 つのロケーション経由)
  - 自動 BGP 設定
  - MACsec 自動有効化
  - Jumbo Frame 自動設定
  
利点:手作業削減・可用性向上・遅延低減
対象:北米・ヨーロッパ・アジア太平洋からの拡大予定

主要ユースケース(12+)

  1. 金融機関のハイブリッド勘定系:オンプレ勘定システム ↔ AWS での低レイテンシデータ連携
  2. 大規模データセンター移行:100 TB 単位のデータ移行時の安定した帯域確保
  3. リアルタイム取引システム:金融取引で遅延許容値なしの専用接続
  4. 医療画像・遺伝子解析:大容量ファイルのセキュアな転送(HIPAA/GDPR 対応)
  5. 製造業・工場自動化:IoT センサーからの常時データ吸上げ(安定性重視)
  6. マルチリージョン冗長化:複数 AWS リージョンへの安定接続(Disaster Recovery)
  7. オンプレ SAP → AWS RDS:ERP システムのハイブリッド構成
  8. マルチアカウント統合:Transit VIF + DX Gateway で複数 AWS アカウント接続
  9. インターネット非経由コンプライアンス:規制要件でインターネット経由 NG
  10. グローバル WAN 統合:Cloud WAN + Direct Connect で統一 WAN 構築
  11. Disaster Recovery:遠隔 DC との同期レプリケーション
  12. 動画編集・ストリーミング配信:大容量ファイルの常時転送(4K/8K コンテンツ)
  13. AI/ML モデル訓練:大規模データセットの高速アップロード
  14. 分散クラスター処理:オンプレ HPC ↔ AWS EC2 High-Performance Computing

設定・操作の具体例

AWS CLI 例1:Dedicated Connection 作成

aws directconnect create-connection \
  --location "Equinix Tokyo" \
  --bandwidth 100Gbps \
  --connection-name "MyDX-Connection-100G" \
  --tags "Key=Environment,Value=Production" "Key=Team,Value=Infrastructure"

# LOA-CFA 取得
aws directconnect describe-connections \
  --connection-id dxcon-xxxxxxxxx \
  --query 'connections[0].loaIssueTime'

AWS CLI 例2:Private VIF 作成

aws directconnect create-private-virtual-interface \
  --connection-id "dxcon-1a2b3c4d" \
  --new-private-virtual-interface \
  virtualInterfaceName=PrivateVIF-Tokyo,\
  vlan=100,\
  asn=65000,\
  authKey=secure-key-12345,\
  customerAddress=192.168.1.1/30,\
  amazonAddress=192.168.1.2/30,\
  virtualGatewayId=vgw-12345678,\
  tags="Key=Service,Value=Database"

AWS CLI 例3:Direct Connect Gateway 作成

aws directconnect create-direct-connect-gateway \
  --name "Global-DX-Gateway" \
  --amazon-side-asn 65001

# Transit VIF 作成(DX Gateway 経由)
aws directconnect create-transit-virtual-interface \
  --connection-id "dxcon-1a2b3c4d" \
  --new-transit-virtual-interface \
  virtualInterfaceName=TransitVIF-MultiRegion,\
  vlan=101,\
  asn=65000,\
  directConnectGatewayId=dcgw-xxxxxxxxx

CloudFormation 例:DX Gateway + Transit VIF

Resources:
  MyDXGateway:
    Type: AWS::EC2::CustomerGateway
    Properties:
      Type: ipsec.1
      BgpAsn: 65000
      PublicIp: 203.0.113.1
      
  DXGatewayAssociation:
    Type: AWS::EC2::VPCPeeringConnection
    Properties:
      VpcId: vpc-12345678
      PeerOwnerId: !Ref AWS::AccountId
      
  TransitGateway:
    Type: AWS::EC2::TransitGateway
    Properties:
      Description: "Multi-Region Transit for DX"
      DefaultRouteTableAssociation: enable
      DefaultRouteTablePropagation: enable

Terraform 例:Private VIF + Transit Gateway Integration

resource "aws_dx_connection" "main" {
  name      = "example"
  location  = "EqSe2"
  bandwidth = "100Gbps"
  tags = {
    Name = "Example DX Connection"
  }
}

resource "aws_dx_private_virtual_interface" "example" {
  connection_id    = aws_dx_connection.main.id
  name             = "example"
  vlan             = 100
  asn              = 65000
  auth_key         = "example"
  amazon_address   = "192.168.1.1/30"
  customer_address = "192.168.1.2/30"
  
  virtual_gateway_id = aws_vpn_gateway.example.id
}

resource "aws_dx_transit_virtual_interface" "example" {
  connection_id = aws_dx_connection.main.id
  vlan          = 101
  asn           = 65000
  
  dx_gateway_id = aws_dx_gateway.example.id
}

resource "aws_dx_gateway" "example" {
  name = "example"
}

Python Example(Boto3):BGP Monitor

import boto3
import time

dx_client = boto3.client('directconnect')

def monitor_bgp_sessions():
    connections = dx_client.describe_connections()
    
    for conn in connections['connections']:
        conn_id = conn['connectionId']
        
        # BGP Status Check
        vifs = dx_client.describe_virtual_interfaces(
            filters=[{'name': 'connection-id', 'values': [conn_id]}]
        )['virtualInterfaces']
        
        for vif in vifs:
            bgp_status = vif.get('bgpStatus')
            vlan = vif.get('vlan')
            print(f"VIF {vlan}: BGP Status = {bgp_status}")
            
            if bgp_status != 'available':
                print(f"WARNING: BGP Down on VLAN {vlan}")
                # Alert / Remediation

類似サービス比較表

項目 Direct Connect AWS Site-to-Site VPN VPC Peering Transit Gateway Cloud WAN
接続方式 専用光ファイバー インターネット(IPsec) VPC 間ピアリング ハブ&スポーク ポリシーベース
帯域幅 1/10/100/400 Gbps 1.25 Gbps VPC 帯域幅に依存 50 Gbps 共有
レイテンシ 低(数百μs) 中(数ms) 低(数百μs) 低(数ms) 中(AWS Backbone)
セットアップ時間 2-4 週間 数時間 数分 数分 数日~1 週間
コンプライアンス ✅ インターネット非経由 ❌ インターネット経由 N/A △ VPC 内 ✅ 自社カスタマイズ
多地域対応 ✅ DX Gateway △ VPN Gateway ❌ 単一リージョン ✅ マルチリージョン ✅ Native
マルチアカウント ✅ DX Gateway △ VPN Gateway ✅ 可能 ✅ 推奨 ✅ 推奨
コスト 高(初期 + 月額) 無料 中(従量課金) 中(従量課金)
オンプレ統合 ✅ Native N/A △ VPN ✅ Native

他社サービス比較表

サービス 企業 接続方式 対応地域 特徴 2026年最新
Azure ExpressRoute Microsoft 専用線 Global Azure ネイティブ、同等機能 IPv6 拡大
GCP Cloud Interconnect Google 専用線 Global GCP ネイティブ、Backbone 接続 Multi-cloud 対応
IBM Cloud Direct Link IBM 専用線 Global On-Prem ハイブリッド強化 AI 最適化
Megaport MCR Megaport 仮想接続(MCR) 80+ 都市 マルチクラウド、柔軟性高 自動化拡大

ベストプラクティス

✅ すべき施策

  1. 冗長性設計:複数の Connection / ロケーション / VIF を構成
  2. MACsec 有効化:Layer 2 暗号化で End-to-End セキュリティ強化(2026 デフォルト化推進中)
  3. BGP 監視:BFD(Bidirectional Forwarding Detection)で素早い障害検知
  4. MTU 設定:Jumbo Frame(9001)で大容量転送最適化
  5. DX Gateway 活用:マルチアカウント / マルチリージョン統一管理
  6. SiteLink 検討:グローバル拠点間の AWS ネットワーク統合
  7. HA ロードバランシング:複数 DX 接続で Active-Active 構成
  8. AWS Cloud WAN 統合:グローバル WAN を一元管理
  9. AWS Interconnect 検討:Last-Mile 自動化で運用効率化(2026 GA)
  10. CloudWatch 監視:Connection / VIF / BGP メトリクス常時監視

❌ 避けるべき施策

  1. シングルコネクション:1 つの接続で本番依存(ダウン時に全滅)
  2. AS Path Prepending 濫用:BGP ルーティングの複雑化
  3. 大きな MTU の無検証:ネットワークデバイスの非対応で遅延増
  4. MACsec なし:Layer 2 暗号化なしで規制要件未対応
  5. ロケーション分散なし:1 ロケーション障害で全接続喪失
  6. VPC Endpoint 使わない:すべての接続を VPC 経由で管理困難
  7. BGP 自動化なし:手作業設定でミス・運用負荷増加

トラブルシューティング表

症状 原因 対処
BGP Peering Down 物理ケーブル不良・BGP 設定ミス AWS サポート、BGP ログ確認
レイテンシ変動(ジッター) インターネット経由ルート、BGP コンバージェンス BGP タイマー調整、BFD 有効化
スループット低下 MTU ミスマッチ・フロー制限 Path MTU Discovery 確認、LAG 追加
接続中断 MACsec 設定ミス・物理層エラー MACsec Key 再設定、ケーブル交換
Cross Connect 遅延 施工側の工事遅延 Equinix・ISP に確認
DX Gateway 経由で到達不可 Transit VIF の BGP 非広告・VPC CIDRミス BGP テーブル確認、VPC Route Table 確認
VIF 削除できない Associated Virtual Gateway 存在 先に Virtual Gateway 削除

2025-2026 最新動向

  • 400 Gbps 対応拡大:米国以外のロケーション展開検討中
  • AWS Interconnect GA(2026年4月):Last-Mile を AWS が完全自動化、4 つの冗長接続・BGP・MACsec デフォルト
  • MACsec デフォルト化進行中:セキュリティ強化で規制要件対応簡素化
  • AWS Cloud WAN 統合深化:Core Network Edge として DX ネイティブ統合
  • IPv6 サポート拡大:Dual-Stack DX Connection 対応ロケーション増加
  • グローバル拠点拡大:アジア太平洋(ベトナム新規)・中東・アフリカで新ロケーション開設
  • AI/ML ワークロード最適化:超大容量モデル転送・訓練向けのチューニング
  • 400 Gbps Last-Mile 検討:超大規模データセンター向けの研究開発継続

Advanced Patterns & BGP 制御

パターン 1: LAG + AS_PATH Prepending による複数接続最適化

シナリオ:複数リージョンへの接続を効率化
設定例:
  - LAG 内 4 つの 10 Gbps 接続 = 40 Gbps 論理接続
  - Primary Route: AS_PATH = 65000 65001
  - Secondary Route: AS_PATH = 65000 65000 65001(Prepend で優先度低)
  - BGP Local Pref: Primary 200 / Secondary 100

効果:
  - 接続単位での冗長性と負荷分散
  - 不意なコンバージェンス時の高速切替
  - ベンダー機器側での BGP 学習時間短縮

パターン 2: BGP Communities による精密ルーティング

概要:AWS と顧客側で Community Tag を共有し、トラフィック分類
例:
  - Community 65000:100 = High Priority Traffic(金融取引)
  - Community 65000:200 = Normal Priority(通常業務)
  - Community 65000:300 = Best Effort(バックアップ)

実装:
  顧客 BGP:
    route 10.0.0.0/16 AS_PATH 65000 65001
    set community 65000:100
    
  AWS DX Side:
    match community 65000:100
    set local-preference 200
    
  効果:優先度別トラフィック分離・QoS 連動

構成:東京・シドニー・ロンドンの 3 拠点
  1. 東京 Local Gateway → Transit VIF → DX Gateway
  2. シドニー Hosted Connection → Transit VIF → DX Gateway
  3. ロンドン Dedicated 100G → Transit VIF → DX Gateway
  
  DX Gateway が全拠点を統合
  SiteLink: 東京 ←→ ロンドン(AWS Backbone 経由、直結)
  
特性:
  - 各拠点 ↔ AWS リージョン 間最適化
  - 拠点間は AWS ネットワーク経由で低遅延
  - リージョン間 MTU 9001 でファイル転送高速化

Performance Tuning & 最適化

遅延削減テクニック

  1. BFD(Bidirectional Forwarding Detection)有効化

    • ルータレベルの障害検知時間: 数十秒 → 100-500ms
    • AWS DX では BGP Hold Timer と組み合わせ推奨
    • 設定: BFD Interval 300ms / Multiplier 3

  2. Jumbo Frame MTU 設定(1500 → 9001)

    • TCP/IP スタック全層対応確認
    • ファイル転送スループット: 最大 20% 向上
    • AWS DX ルータとの negotiation 確認

  3. BGP Keepalive/Hold Timer 最適化

    • Default: Keepalive 60s / Hold 180s
    • 短縮版: 10s / 30s(高速応答、CPU 負荷増)
    • 推奨: 30s / 90s(バランス型)

  4. Reachability の事前検証

    ツール: AWS DX Test Tool(EC2 内から実行)
- Latency jitter 測定(TCP_RR ベンチ)
- MTU Path Discovery(tracepath)
- Loss rate スイープ(iperf -R)

スループット最適化

  • 並列 TCP ストリーム:複数 iperf 接続で LAG 帯域全利用
  • TCP Window Scaling:RFC 7323 有効化(window = 64MB 以上)
  • TSO(TCP Segment Offload): NIC レベルでセグメント化,CPU 削減

Cost Optimization & 料金設計

接続タイプ別コスト分析(月額推定・北米)

タイプ 初期費用 月額 ロケーション 用途
Hosted 50 Mbps `0 `50-100 Equinix 等 スタートアップ・PoC
Dedicated 1 Gbps `2,000 `1,000-1,200 AWS 施設内 小規模本番
Dedicated 10 Gbps `4,000 `4,500-5,500 AWS 施設内 中堅企業・DR
Dedicated 100 Gbps `10,000 `15,000-20,000 主要都市のみ 大規模・金融
LAG(4x10G) `8,000 `18,000+ 複数ロケ エンタープライズ冗長化
AWS Interconnect(2026) `5,000 `12,000-16,000 対応地域 自動化 + 低遅延

データ転送料金削減戦略

  1. Direct Connect Gateway 集約:NAT Gateway 削減(月額 $100-500 削減可能)
  2. Data Transfer 最適化:S3 Transfer Acceleration 比較検討(DX の方が経済的な場合多)
  3. Reserved Capacity(2025+):年間コミットで 20-30% 割引
  4. リージョン間 SiteLink:リージョン間トラフィック 40% 削減

ROI 試算例

条件:月間 100 TB 転送(インターネット vs DX)
  
インターネット経由(VPN):
  - EC2 ↔ オンプレ Data Transfer: 100 TB × $0.09/GB = $9,000
  - Internet Outbound: 100 TB × $0.09/GB = $9,000
  - 月額合計: $18,000
  - リスク: インターネット混雑による遅延・損失
  
DX(10 Gbps Dedicated):
  - Data Transfer: 100 TB × $0.02/GB = $2,000
  - DX Connection 月額: $5,000
  - 月額合計: $7,000
  - ROI ブレークイーブン: 2-3 ヶ月
  
長期効果(年間): インターネット $216,000 → DX $84,000(64% 削減)

Migration Patterns(オンプレ → AWS)

フェーズ 1: PoC & ネットワーク検証(2-4 週)

1. Hosted Connection(50-100 Mbps)で初期接続テスト
   - AWS Test VPC 作成
   - BGP Session 確立・経路確認
   - Latency / Loss 測定
   - 小規模データ転送テスト(10 GB)

2. ベンチマーク取得
   - TCP Throughput: iperf3 で基準値取得
   - RTT Jitter: tcpdump 解析
   - MTU Path Discovery: 実施

フェーズ 2: 本番 DX 導入(4-8 週)

1. Dedicated Connection 申請
   - ロケーション選定(既存拠点から最寄り)
   - 帯域幅決定(現在 + 3 年見積)
   - LOA-CFA 取得

2. Physical Cross-Connect 施工
   - Equinix / ISP 手配
   - リード時間: 2-4 週(短縮難しい)
   - 事前テスト: BGP Config Ready

3. VIF 作成
   - Private VIF: 既存 VPC へ
   - Transit VIF: マルチリージョン / マルチアカウント用
   - MACsec 設定確認

フェーズ 3: 段階的トラフィック切替(2-4 週)

1. 静的ルート割合変更
   Week 1: DX 20%, Internet VPN 80%
   Week 2: DX 50%, Internet VPN 50%
   Week 3: DX 80%, Internet VPN 20%
   Week 4: DX 100% (Internet VPN は障害時Backup)

2. CloudWatch アラート監視
   - DX Connection Status
   - BGP Session Health
   - Data Transfer 分析
   - Latency Spike 検知

3. ロールバック計画
   - Internet VPN は削除せずに保持(3-6 ヶ月)
   - 逆切替テスト実施

フェーズ 4: 最適化・HA 強化(継続中)

1. 冗長接続追加
   - Secondary ロケーション DX 追加
   - LAG 構成検討
   - リージョン間 SiteLink

2. BGP コミュニティ設定
   - 優先度別ルーティング
   - QoS ポリシー連動

3. Cloud WAN 統合
   - 複数 DX を WAN ハブで統合
   - On-Prem / AWS / マルチリージョン 統一管理

Multi-Region / Multi-Account 設計パターン

パターン A: DX Gateway Hub-and-Spoke

構成:
  On-Premises (ASN 65000)
    ↓ DX Connection
  DX Gateway (ASN 65001) ← 中央ハブ
    ├ Transit VIF → ap-northeast-1 (Tokyo)
    ├ Transit VIF → us-east-1 (N. Virginia)
    ├ Transit VIF → eu-west-1 (Ireland)
    └ Transit VIF → ap-southeast-2 (Sydney)
    
  各リージョンの Transit Gateway:
    - Account A: VPC 1, VPC 2
    - Account B: VPC 3, VPC 4
    - Account C: VPC 5, VPC 6
    
利点:
  - 単一 DX Connection で全リージョン対応
  - 拠点間トラフィックは AWS Backbone 経由(直結可能)
  - BGP 学習簡素化(1 Session で十分)
  - スケーリング性良(リージョン追加が容易)

構成(複数データセンター保有企業向け):
  DC Tokyo (LAG: 4x10G)
    ↓ DX Connection
  DX Location Tokyo
    ↓ SiteLink (AWS Backbone 直結)
  DX Location London
    ↑ DX Connection
  DC London (LAG: 4x10G)
  
追加構成:
  DX Location Sydney
    ↓ SiteLink
  DC Sydney (Dedicated 10G)
  
効果:
  - 拠点間通信が AWS ネットワーク経由で低遅延化
  - DC Tokyo ↔ DC London RTT: 150-200ms(インターネット経由の 1/3)
  - リージョンをスキップして直結可能

パターン C: マルチアカウント統合(Transit VIF)

構成:
  On-Premises
    ↓ DX (Customer ASN: 65000)
  DX Connection A (ap-northeast-1)
    ↓ Transit VIF
  Transit Gateway A (Account Owner Account)
    ├ TGW Peering → Account B Transit Gateway
    └ TGW Peering → Account C Transit Gateway
    
  DX Connection B (eu-west-1)
    ↓ Transit VIF
  Transit Gateway B (Account Owner Account)
    └ TGW Peering → Org-wide Multi-Account

BGP 設定:
  - Customer BGP ASN: 65000
  - AWS-side ASN(Transit VIF): 64512 (Private)
  - Local Pref / Communities で Account 間のトラフィック制御

セキュリティ:
  - Security Group + NACL で Account 間通信制御
  - VPC Flow Logs で監視

Security Deep Dive(セキュリティ詳細設計)

MACsec セキュリティモデル

概要: IEEE 802.1AE Layer 2 暗号化
  - 物理ファイバーレベルでの保護
  - End-to-End(顧客側 DX ルータ ↔ AWS DX ルータ)
  - 暗号スイート: GCM-AES-XPN-256(256-bit)

Key Management:
  - CAK(Connectivity Association Key): 初期 Handshake で交換
  - SAK(Secure Association Key): CAK から自動生成・定期更新
  - Rekeying: 30 秒~1 時間(設定可能)

有効化ステップ:
  1. DX Connection 作成時に "Enable MACsec" チェック
  2. AWS が CAK を生成・提示
  3. Customer はオンプレ DX 機器に CAK 入力
  4. BGP Session 確立(暗号化状態で)

Compliance 効果:
  - HIPAA Requirement 164.312(a)(2)(ii)(伝送セキュリティ)対応
  - PCI-DSS 3.4(暗号化)対応
  - SOC 2 Type II 要件충족

IAM + Direct Connect の統合

AWS IAM Policy Example:
  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {"AWS": "arn:aws:iam::123456789012:role/NetworkTeam"},
        "Action": [
          "directconnect:CreateConnection",
          "directconnect:CreatePrivateVirtualInterface",
          "directconnect:CreateTransitVirtualInterface"
        ],
        "Resource": "arn:aws:directconnect:*:123456789012:*",
        "Condition": {
          "StringEquals": {"directconnect:Location": "Equinix Tokyo"}
        }
      }
    ]
  }

効果:
  - Network Team: DX 管理者権限
  - Security Team: MACsec/BGP 監視のみ
  - Cost Optimization Team: 使用量レポート取得

BGP セッション保護(BGP MD5 認証)

設定例(Cisco IOS):
  router bgp 65000
    neighbor 192.168.1.2 remote-as 65001
    neighbor 192.168.1.2 password secure-key-12345
    
AWS CLI での確認:
  aws directconnect describe-connections \
    --query 'connections[*].{id: connectionId, auth: authKey}'
    
セキュリティ効果:
  - BGP Spoofing 防止
  - BGP Hijacking 防止
  - Unauthorized Peering 防止

運用:
  - Key rotation: 年1回推奨
  - Key 管理: AWS Secrets Manager に保存
  - 監査: CloudTrail に記録

追加ユースケース 5 個

ユースケース 1: 金融 High-Frequency Trading(HFT)

要件: 
  - RTT < 50ms (Tokyo ↔ AWS ap-northeast-1)
  - Jitter < 5ms
  - Loss: ゼロ

構成:
  - Dedicated 100 Gbps (Tokyo)
  - MACsec + BFD (100ms interval)
  - Jumbo Frame 9001
  - Private VIF only (Public Internet 非経由)

効果:
  - インターネット経由 VPN (RTT 80-120ms) → DX (RTT 30-40ms)
  - Jitter 削減で約定価格改善
  - 競争優位性向上(ミリ秒単位)

コスト: $15,000/月(価値: 1 ティック(最小取引単位)/ 1000 取引)

ユースケース 2: 医療画像クラウド連携

要件:
  - 100+ TB/月の DICOM ファイル転送
  - HIPAA Compliance(ネットワーク完全分離)
  - バックアップ: 毎日全データ同期

構成:
  - Dedicated 10 Gbps (Primary)
  - Secondary Hosted 5 Gbps (Backup)
  - Encryption: MACsec + TLS (app-level)
  - Monitoring: CloudWatch Custom Metrics

設計詳細:
  - 大ファイル転送: iperf3 並列ストリーム 4 本
  - スケジュール: 夜間バッチ(業務時間外)
  - MTU: 9001 で大ファイル効率化

コスト削減:
  - インターネット: 100TB × $0.09/GB = $9,000
  - DX: 100TB × $0.02/GB + 月額 $5,000 = $7,000
  - 月額節減: $2,000

ユースケース 3: リアルタイム工場自動化

要件:
  - IoT センサー → AWS から制御信号(< 100ms レイテンシ)
  - 10,000+ デバイスのメトリクス取得
  - ネットワーク冗長化(障害時の自動フェイルオーバー)

構成:
  - DX (Primary) + Internet VPN (Backup)
  - Dual Connection: 東京 + 大阪 DX
  - Transit Gateway で集約・Load Balancing
  - Route 53 Health Check で故障検知(数秒以内)

ML/Analytics:
  - Kinesis Data Streams で DX トラフィック分析
  - SageMaker で異常検知(機械故障予兆)
  - Forecast で帯域幅 Capacity Planning

効果:
  - ダウンタイム削減(年 1% → 0.1%)
  - 保全時間削減(予測 → 予防保全)

ユースケース 4: グローバル SAP ハイブリッド

要件:
  - On-Prem SAP (Japan) ↔ AWS RDS PostgreSQL (Multi-Region)
  - Transaction Replication (< 500ms)
  - オンプレ SAP からのリアルタイムレポート作成

構成:
  - Tokyo DX (Dedicated 10G) → ap-northeast-1 (Primary)
  - London DX (Hosted 5G) → eu-west-1 (Standby)
  - DX Gateway で統合
  - SiteLink: Tokyo ↔ London (AWS側接続)
  - RDS Global Database: ap-northeast-1 → eu-west-1

トラフィック分析:
  - SAP Transaction Log: 20 MB/s peak
  - Report データセット: 2 TB/日 night batch
  - 帯域幅: 10 Gbps で十分(Peak = 160 Mbps)

ROI:
  - オンプレ→クラウド移行リスク低減
  - バックアップ自動化
  - Disaster Recovery 実装(RPO < 1 hour)

ユースケース 5: エンタープライズグローバル WAN

要件:
  - 世界 15 拠点 ↔ AWS グローバル統合
  - オンプレ複数 VPC 間通信(East-West)
  - ネットワーク運用の一元化

構成:
  - AWS Cloud WAN (新世代)
  - Core Network: Global via DX Gateway
  - DX Locations: Tokyo / Singapore / Sydney / London / Frankfurt / São Paulo
  - Transit Gateway Peering across Regions

アーキテクチャ:
  各拠点:
    Local DX (or Hosted) → Regional DX Gateway
    ↓
    Cloud WAN Core Network (AS Path 65001)
    ↓
    Regional Transit Gateway → VPC リソース
    
  拠点間通信:
    Tokyo ↔ Singapore: SiteLink (AWS 経由, 直結)
    Singapore ↔ London: Cloud WAN Backbone
    
運用効果:
  - WAN 管理一元化(複数 ISP から AWS へ)
  - BGP ポリシー統一(Community-based routing)
  - Auto-Scaling WAN(帯域自動調整・予測ベース)
  - Cost 最適化(Regional DX → Global Cloud WAN)

2026 年 Roadmap:
  - AI-based WAN Optimization(自動ルーティング最適化)
  - Predictive Bandwidth Allocation
  - Multi-Cloud Integration(AWS + Azure + GCP)

トラブルシューティング表(追加 10 行)

症状 原因 対処
BGP Session が Up なのにトラフィック不通 ルートが広告されていない・ファイアウォール制限 show bgp ipv4 summary確認・NACL チェック
AS Path Prepending が無効に見える AS Path 学習順序・BGP Soft Reset 未実行 clear bgp * soft実行・Wait 30s
MACsec が自動で無効化される Rekeying 中に通信断裂・Key 不一致 AWS Support に CAK Re-sync リクエスト
AWS Interconnect 4 つの接続が 3 つに減少 1 ロケーション障害・AWS 側自動フェイルオーバー AWS Console で接続状態確認・復旧待機
LAG 内の 1 接続が Standby 状態 MTU ミスマッチ・Interface エラーカウント増加 物理インターフェース確認・Cross-Connect 再接続
Transit VIF の BGP Flapping(UP/DOWN 繰り返し) VGW / Transit Gateway の CPU 過負荷 CloudWatch CPU メトリクス確認・AWS Support
Direct Connect Location の Latency が突然増加 Congestion at Equinix / AWS ネットワーク混雑 traceroute で経路確認・AWS に報告
カスタマーゲートウェイとのハンドシェイク失敗 BGP ASN 設定ミス・Auth Key 不一致 ASN / Auth Key AWS Console と照合
SiteLink 経由の通信が往路のみ Return Route が DX Gateway 経由でない オンプレ側ルートテーブルで確認・Static Route 追加
Data Transfer 料金が予想の 2 倍 Public VIF で AWS API 経由通信・トラフィック漏えい Flow Logs で Public VIF 経由流量確認・Private VIF 移行

学習リソース

公式ドキュメント(8+)

関連ベンダー・OSS(5+)

実装例・チェックリスト

小規模実装例(単一ロケーション)

  • Single Dedicated 10 Gbps Connection
  • Private VIF のみ(Public VIF 不要)
  • シングル Transit VIF で単一 AWS アカウント統合
  • 最小限の BGP 設定

中規模実装例(マルチリージョン)

  • 2 つの Dedicated Connection(異なるロケーション)
  • Public + Private + Transit VIF の 3 種構成
  • DX Gateway で複数リージョン VPC 統合
  • MACsec + SiteLink 有効化

大規模実装例(エンタープライズグローバル)

  • AWS Interconnect で Last-Mile 自動化 -複数ロケーション LAG(最大 4 接続)
  • Transit VIF + DX Gateway で複数アカウント・複数リージョン統合
  • Cloud WAN 統合で全社 WAN 一元管理
  • MACsec + BFD + CloudWatch 完全監視

実装チェックリスト

  • [ ] Direct Connect ロケーション選定(Equinix / 国内パートナー)
  • [ ] Dedicated vs Hosted Connection 検討
  • [ ] 帯域幅要件算出(現在 + 将来 3 年)
  • [ ] LOA-CFA 取得・施工手配
  • [ ] BGP ASN 準備(Public / Private)
  • [ ] VPC CIDR 設計・VGW / Transit Gateway 作成
  • [ ] Public / Private / Transit VIF 作成設計
  • [ ] BGP セッション確立・テスト
  • [ ] MACsec 設定・運用手順確立
  • [ ] 冗長接続デザイン(複数ロケーション)
  • [ ] LAG 設定(必要に応じて)
  • [ ] SiteLink 構成(グローバル拠点向け)
  • [ ] CloudWatch / X-Ray 監視設定
  • [ ] 災害復旧計画(フェイルオーバー)
  • [ ] Compliance 要件確認(インターネット非経由 etc)
  • [ ] Cloud WAN との統合検討
  • [ ] AWS Interconnect 評価(2026 GA 以降)

まとめ

AWS Direct Connect は、インターネットの不安定性を排除し、安定した帯域幅・一貫した低レイテンシ・高いセキュリティ を必要とするエンタープライズハイブリッドクラウド環境の必須インフラです。金融・医療・製造業などのミッションクリティカルなシステムで活躍し、次世代の AI/ML ワークロード向けに 400 Gbps への進化と AWS Interconnect(2026 GA)による Last-Mile 自動化が予定されています。DX Gateway・SiteLink・MACsec などの機能と組み合わせることで、グローバルスケールのネットワーク統合が実現できます。

最終更新:2026-04-26
バージョン:v2.0