Traffic Flowを使⽤したきめ細かいルーティング

CRR:ECR

Route 53 Traffic Flowを使⽤したきめ細かいルーティング

AWS Global Accelerator

• 固定エンドポイントとして機能するスタティックIPをAWSエッジロケーションから Anycastで提供

• TCP, UDPの分散をサポート

• エンドポイントとしてALB, NLB, EIP, EC2 を指定可能

• エンドポイントがUnhealthyと判断された場合、そのエンドポイントへのリクエストのルーティングは即座に中⽌する。通常20秒以下で切り替え可能

Japan Osaka

endpoint ap-northeast-1

endpoint ap-northeast-3 Global Accelerator

Edge Locations

DNS TTLに依存しない素早いフェイルオー

バーが可能

Active-Active Reference Architecture 1

ap-northeast-1

Japan East Japan West

R W

ap-northeast-3

R

オンプレミス

DX 1 DX 2

VIF

Direct Connect Gateway

VIF

W

Aurora Global Database Aurora Global Database

Route 53

Active-Active Reference Architecture 2

ap-northeast-1

Japan East Japan West

R W

ap-northeast-3

W R

DynamoDB Global Tables

オンプレミス

DX 1 DX 2

VIF

Direct Connect Gateway

VIF

Global Accelerator

その他の考慮ポイント

監視

• 障害の時ほど監視システムの重要性が増す

• CloudWatch クロスアカウント、クロスリージョンダッシュボードで⼀元管理が可能

• ⾃前の監視サーバーがVPC内にある場合、リージョン障害に備え冗⻑化が必要

ロギング

• 単⼀リージョンへ集約する場合、リージョン障害時にログ調査が不可能になるため、必要あれば他リージョンへのバックアップを⾏う

デプロイメント

• リージョン障害を⾒据えてCodePipelineを単⼀リージョンに集約するか分散するかを検討する

テストと演習

• 障害をシミュレーションし、確実にフェイルオーバーが⾏われることを定期的に確認する

• フェイルバックの決定者、判断基準、⼿順を確⽴し、定期的に演習を⾏う

3.⼤阪リージョンとのNW接続

3-1.⼤阪リージョンとの東京リージョンの接続

リージョン間のネットワーク

リージョン間で実現できること

• AWS Direct Connect Gateway経由での接続

• インターリージョンVPC Peering

• Amazon EC2 リージョン間のAMIコピー

• Amazon S3 リージョン間のレプリケーション

• Amazon RDS リージョン間のリードレプリカ

• Amazon Dynamo DB リージョン間のレプリカライブラリ

• Route 53 DNS フェイルオーバー

⼤阪リージョンと東京リージョンを結ぶ冗⻑化された広帯域の専⽤ネットワークにより、信頼性の⾼い通信を実現

東京リージョン

⼤阪リージョン

⼤阪リージョンと他リージョンの

リージョン間接続およびインターネット接続構成イメージ

メインサイト︓東京リージョン

VPCピアリング/TGWピアリング AWSネットワーク内にとどまる

Internet gateway

Internet

Q:2 つのインスタンスがパブリック IP アドレスを使⽤して通信している場合、両者間のトラフィックはインターネットを経由しますか?

•

同じ AWS リージョン内の 2 つの EC2 インスタンス間のトラフィックは、たとえパブリック IP アドレス経由であっても、AWS ネットワーク内に留まります。

•

異なる AWS リージョン内の 2 つの EC2 インスタンス間のトラフィックは、その 2 つのインスタンスが存在する VPC 間にインターリージョン VPC ピアリング接続が存在する場合、AWS ネットワーク内に留まります。

•

異なる AWS リージョンにある 2 つの EC2 インスタンス間のトラフィックにおいて、その 2 つのインスタンスが存在する VPC 間にインターリージョン VPC ピア

AWS Cloud

⼤阪リージョン

メインサイト︓東京リージョン

Internet gateway

他リージョン IGW経由の通信

AWS内にとどまるかは保証されない

3-2.オンプレミスと⼤阪リージョンの接続

オンプレミスとの接続

• Direct Connect接続

• VPN接続

⼤阪リージョンとのDirect Connect接続

• Direct Connect Gateway経由で全世界の Direct Connect ロケーションから接続可能

• 東京リージョンのDirect Connectロケーションを利⽤しても、東京のCC1,TY2を利⽤しなければ、東京の災害の影響を受けない

• 東京を経由せず、直接⼤阪へ到達する

東京リージョン

⼤阪リージョン東京リージョンのAWS Direct Connect ロケーション

• Equinix OS1 – Osaka

• AT Tokyo Chuo Data Center – Tokyo

• Equinix TY2, TY6 – TY8 – Tokyo

• Chief Telecom LY, Taipei, TWN

• Chunghwa Telecom, Taipei, TWN

⼤阪リージョン / 東京リージョンのオンプレミスのネットワーク接続構成

VPN

CRR:ECR

Route 53 Traffic Flowを使⽤したきめ細かいルーティング

AWS Global Accelerator

• 固定エンドポイントとして機能するスタ ティックIPをAWSエッジロケーションから Anycastで提供

• TCP, UDPの分散をサポート

• エンドポイントとしてALB, NLB, EIP, EC2 を指定可能

• エンドポイントがUnhealthyと判断された場 合、そのエンドポイントへのリクエストの ルーティングは即座に中⽌する。通常20秒以 下で切り替え可能

Japan Osaka

endpoint ap-northeast-1

endpoint ap-northeast-3 Global Accelerator

Edge Locations

DNS TTLに依存しない素早いフェイルオー

バーが可能

Active-Active Reference Architecture 1

ap-northeast-1

Japan East Japan West

R W

ap-northeast-3

R

オンプレミス

DX 1 DX 2

VIF

Direct Connect Gateway

VIF

W

Aurora Global Database Aurora Global Database

Route 53

Active-Active Reference Architecture 2

ap-northeast-1

Japan East Japan West

R W

ap-northeast-3

W R

DynamoDB Global Tables

DynamoDB Global Tables

オンプレミス

DX 1 DX 2

VIF

Direct Connect Gateway

VIF

Global Accelerator

その他の考慮ポイント

監視

• 障害の時ほど監視システムの重要性が増す

• CloudWatch クロスアカウント、クロスリージョンダッシュボードで⼀元管理が可能

• ⾃前の監視サーバーがVPC内にある場合、リージョン障害に備え冗⻑化が必要

ロギング

• 単⼀リージョンへ集約する場合、リージョン障害時にログ調査が不可能になるため、必要あれば他 リージョンへのバックアップを⾏う

デプロイメント

• リージョン障害を⾒据えてCodePipelineを単⼀リージョンに集約するか分散するかを検討する

テストと演習

• 障害をシミュレーションし、確実にフェイルオーバーが⾏われることを定期的に確認する

• フェイルバックの決定者、判断基準、⼿順を確⽴し、定期的に演習を⾏う

3.⼤阪リージョンとのNW接続

3-1.⼤阪リージョンとの東京リージョンの接続

リージョン間のネットワーク

リージョン間で実現できること

• AWS Direct Connect Gateway経由での接続

• インターリージョンVPC Peering

• Amazon EC2 リージョン間のAMIコピー

• Amazon S3 リージョン間のレプリケーション

• Amazon RDS リージョン間のリードレプリカ

• Amazon Dynamo DB リージョン間のレプリカライブラリ

• Route 53 DNS フェイルオーバー

⼤阪リージョンと東京リージョンを結ぶ冗⻑化された広帯 域の専⽤ネットワークにより、信頼性の⾼い通信を実現

東京リージョン

⼤阪リージョン

⼤阪リージョンと他リージョンの

リージョン間接続およびインターネット接続構成イメージ

Internet gateway

Internet

•

•

•

Internet gateway

3-2.オンプレミスと⼤阪リージョンの接続

オンプレミスとの接続

• Direct Connect接続

• VPN接続

• 固定エンドポイントとして機能するスタティックIPをAWSエッジロケーションから Anycastで提供

• エンドポイントがUnhealthyと判断された場合、そのエンドポイントへのリクエストのルーティングは即座に中⽌する。通常20秒以下で切り替え可能

• 単⼀リージョンへ集約する場合、リージョン障害時にログ調査が不可能になるため、必要あれば他リージョンへのバックアップを⾏う

⼤阪リージョンと東京リージョンを結ぶ冗⻑化された広帯域の専⽤ネットワークにより、信頼性の⾼い通信を実現

• 東京リージョンのDirect Connectロケーションを利⽤しても、東京のCC1,TY2を利⽤しなければ、東京の災害の影響を受けない

⼤阪リージョン東京リージョンのAWS Direct Connect ロケーション