【AWS認定資格 試験対策】AWS VPN / AWS Direct Connect

オンプレミス側と、AWSを接続する方法として、DirectConnectとVPNがあります。

どちらもセキュアにオンプレミスとAWSを接続するためのソリューションですが、違いはDirectConnectは閉域網、VPNはインターネット経由での接続であるということです。

Direct Connectの接続イメージも確りと頭に入れておきましょう。

まずは、DirectConnectは、「VPC」と「オンプレミス」だけでなく、その間に「DirectConnectロケーション」というものが存在していることを明確に認識しておく必要があります。

VPC側に仮想プライベートゲートウェイ（Virtual Private Gateway。VPG、あるいはVGWと書いてある場合もあり。以下の図では、Private Virtual Gatewayと書いてますが、正しくは、Virtual Private Gatewayです。）の作成が必要です。また、AWSの出口と、DirectConnect Loactionをつなぐために『仮想インターフェース（VIF）（下記の図では、Private Virtual Interfaceと示されている箇所）』の設定をDirectConnectのコンソールから行う必要があります。

出典：やさしいDirect Connect の構築

通常のDirectConnectは、仮想プライベートゲートウェイ（VGW）および仮想インターフェース（VIF）が同じのリージョン同士でないと接続できませんでしたが、DirectConnectGatewayを利用すればその制限はなく、他リージョンへの接続も可能になります。

マルチリージョン構成の場合に問われることがありますので、機能だけおさえておいてください。

前述のDirect ConnectやDirect Connect Gatewayとは区別できるようにしておきましょう。

ポイントは下記の3点です。

• Direct Connect Gatewayはオンプレ〜VPC間であるのに対して、Transit Gatewayはそれに加えてVPC同士の接続も可能
• Direct Connect Gatewayの接続可能なVPCは最大10個であるのに対して、Transit Gatewayは数千個
• Direct Connect Gatewayは他リージョンのVPCにも接続可能であるのに対して、Transit Gatewayは同リージョン内のみ接続可能

なお、Transit Gateway同士の接続は不可能です。

冗長化や、NWの構成について問われます。

接続の概要図としては以下の通りですので、以下の図を頭に入れておくといいでしょう。

出典：AWS でホストされたアプリケーション用のユーザーネットワークから Amazon VPC への接続

高可用性・高パフォーマンスがある旨を覚えましょう。

オンプレからクラウド上のS3にデータを移行する場合の問題はSAAでもSAPでも頻出です。パターン化されていますので、確りと覚えましょう。

オンプレからS3に移行するデータの量、インターネットの回線速度、移行の為に使える期間が示されるので、移行のために与えられた時間の中で、移行を終わらせる事が可能であるか否かを計算する必要があります。移行に要する時間は下記の２つの要素に分けて考えることができます。

たとえば、VPNとSnowballで比較した場合、移行準備に要する時間はVPNの方が圧倒的に短いので、VPNの方が、移行を迅速に終える事ができるようにも感じますが、もし、インターネット回線が遅い場合、転送自体に膨大な時間を要してしまう為、総合的に考えるとSnowballの方が、早いということもあります。

• 移行準備に要する時間
  • 例えば、DirectConnectや、Snowballの場合、データ転送を開始するまでに、数日～数週間程度の時間を要します。この準備期間を考慮に入れる必要があります。
• 移行自体に要する時間
  • 実際に移行を開始してからは、移行自体にどれほど時間を要するか評価する必要があります。
  • 例えば、10PBのデータを１Gbyte/sの回線でAWSへ移行しようとする場合、120日以上かかります。その場合は、Snowballを利用したほうが高速にデータを移行できます。