action.skip
Megaportのドキュメンテーション
AWS FAQ
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

AWSに関するよくある質問 (FAQs)

右のナビゲーションのFAQをクリックして、提案と解決策を確認できます。

Direct Connect接続のバックアップとしてVPNを設定するにはどうすればよいですか?

AWS Direct Connect接続のフォールオーバー用にバックアップVPN接続を設定したいと思います。何か推奨事項やベストプラクティスはありますか?

解決策

Direct Connect接続のバックアップとしてハードウェアVPNを設定するには:

  • Direct ConnectとVPCへのVPN接続の両方で同じ仮想プライベートゲートウェイを使用していることを確認してください。
  • Border Gateway Protocol (BGP) VPNを構成する場合、Direct ConnectおよびVPNで同じプレフィックスを広告してください。
  • 静的VPNを構成する場合、Direct Connect仮想インターフェイスで発表しているプレフィックスと同じ静的プレフィックスをVPN接続に追加してください。
  • AWS VPCに向けたルートを同じように広告している場合でも、Direct Connectパスが常に優先されます。

重要

Direct Connect仮想インターフェイスがアクティブな場合、VPNではなくDirect Connectを優先するようにしてください。非対称ルーティングを避けるためです。これによりトラフィックがドロップされる可能性があります。常にDirect Connect接続をVPNルートより優先します。ルートの優先順位とルーティングオプションについては、AWSトピックRoute Priorityを参照してください。

注記

短期間または低コストの解決策を希望する場合、Direct Connect接続のフォールオーバーオプションとしてハードウェアVPNを構成することを検討してください。VPN接続は、ほとんどのDirect Connect接続で利用可能な帯域幅と同じレベルの提供を想定して設計されていません。VPNをDirect Connect接続のバックアップとして構成する場合、使用ケースやアプリケーションが低帯域幅に耐えられることを確認してください。

Direct ConnectでBFDを有効にするにはどうすればよいですか?

双方向転送検出 (BFD) は、直接接続されたBGPネイバー間のパス障害を検出するネットワーク障害検出プロトコルです。これにより、高速な障害検出が可能となり、動的BGPルーティングプロトコルの迅速な再収束時間が促進されます。BFDは、メディア、ルーティングプロトコル、データに依存しません。

複数のAWS Direct Connect接続を設定するとき、またはバックアップとしてのVPN接続を設定するとき、BFDを有効にすることをお勧めします。BFDはリンクやパスの障害を検出し、Direct ConnectがBGP Peeringを速やかに終了させることで、バックアップルートが有効になります。これにより、Bidirectional Forwarding Detection (BFD) 隣接関係が90秒間の保留時間で3回のキープアライブが失敗するのを待つ代わりに迅速に終了します。

解決策

BFD間隔はBFDパケットの送信頻度を指定し、min_rxはルーターがパケットを受け取ることを期待する頻度、乗算はBGP隣接関係がダウンと見なされる前に失うことができる数を示します。

非同期BFDはAWSサイドの各Direct Connect仮想インターフェイスに自動的に有効化されますが、ルーターで設定されるまで効果がありません。Direct Connectのデフォルトでは、BFDの存活検出の最小間隔を300ミリ秒、BFDの存活検出乗算を3に設定しています。

ネットワークデバイスでBFDエコーモードを使用する前に、高いCPU使用率を避けるためにインターネット制御メッセージプロトコル (ICMP) とリダイレクトメッセージの送信をno ip redirect コマンドで無効にする必要があります。

アクティブ/パッシブなDirect Connect接続を設定するにはどうすればよいですか?

AWS Direct Connectを使用してAWSとの間でプロダクションワークロードを転送する際には、単一Portから、または一対の物理Port接続(個別またはLAG/LACP)のいずれかから、または複数のデータセンターに分散しているいずれかの双対のDirect Connect仮想回路を使用することが推奨されます。

以下の設定をすることができます:

  • 機器の単一点の障害を回避するために、プライマリとセカンダリのDX接続を終了させる2つのルーター。
  • 同じVPCに終端する各DXルーター上のプライベート仮想インターフェイス。 HAルーティングプロトコル(HSRP, VRRF, GLBPなど)の2つのルーターでの使用により、ローカルサーバーが単一の仮想ルーターとして機能する複数のルーターを使用できます。プライマリルーターが故障しても、セカンダリルーターがアクティブとなり、接続を維持します。あるいは、Direct Connect EBGPからルートを学習し、内部iBGPゲートウェイにプレフィックスを分配する内部ルーティングプロトコルを実行できます。
  • アクティブ/パッシブ(フォールオーバー)。1つの接続がトラフィックを処理し、もう1つは待機中です。アクティブな接続が利用できなくなった場合、すべてのトラフィックはパッシブ接続を経由します。ルートをASパスにプリペンドすることで、どちらかのリンクがパッシブリンクとして機能するようにする必要があります。 詳しくは、Configure Redundant Connections with AWS Direct Connect. を参照してください。

ローカルプレファレンス属性は、ローカル自治システム(AS)からの優先出口ポイントを識別します。ASから複数の出口ポイントが存在する場合、ローカルプレファレンス属性は特定のルートに対して出口ポイントを選択します。

AS Pathプリペンドを使用してAWSアウトバウンドトラフィックに影響を与える

BGPベストパスアルゴリズムは、最適なパスを選択する方法を決定します。最適なパスを決定するための一般的な値は、ASパスの長さです。プレフィックスに到達するための2つ以上のルートが存在する場合、BGPのデフォルトではASパスが最も短いルートを優先します。

セカンダリルーターはより長いASパスを広告し、VPCからネットワークへのトラフィックが常にプライマリルーターを経由するようにします。

パブリック仮想インターフェイスが「確認中」ステートに固定されています。どうすればよいですか?

パブリック仮想インターフェイスを作成し、パブリックピアIPアドレスを指定した場合、AWS Direct Connectチームからの承認が必要です(プライベートVIFs/VXCsにはこの承認は必要なく、数分で使用可能になります)。パブリックIPプレフィックスやパブリックASNの承認前に、AWS Direct ConnectチームはパブリックIPプレフィックスとBGP ASNの所有権を確認する必要があります。AWS Direct Connectチームは、リージョナルレジストリがAWSアカウントに記載されている組織名に属していることを確認することで所有権を確認します。

解決策

72時間以上パブリック仮想インターフェイスのステートが確認中になっている場合は、AWSアカウントに登録されているメールアドレスを確認してください。BGP ASNの所有者または広告したルートのいずれかがアカウントの詳細と一致しない場合、AWS Direct Connectチームからメールを受け取っている可能性があります。

BGP ASNまたは広告されたルートがアカウントと一致しない場合、次のように行動できます:

  • IPアドレスの所有者に、パブリック仮想インターフェイスdxvif-xxxのためにパブリックIPプレフィックスの承認を行うという内容のメールをdirectconnect-requests@amazon.com に送信するよう依頼します。

    —または—

  • IPアドレスの所有者に、会社のレターヘッドに書かれた承認書を提出するよう依頼します。または、パブリック仮想インターフェイスdxvif-xxxのためにパブリックIPプレフィックスの使用を承認するメールをAWSアカウントに送信するよう依頼します。次に、Direct Connectパブリック仮想インターフェイスを所有するアカウントにサインインし、ケースを開いて承認書をケースに添付してください。

AWSコンソールで仮想インターフェイスのBGPステータスがダウンしています。どうすればよいですか?

仮想インターフェイスステータスがダウンしている原因は、OSI層2またはBorder Gateway Protocol (BGP)の設定問題かもしれません。

OSI Layer 2 の設定

まず、OSIレイヤー2が正しく設定されているかを確認します。 次の詳細を確認してください:

  • デバイス(ルーターやスイッチなど)で正しいVLAN IDとdot1Qカプセル化を設定していること。VLAN IDは、VXCのAエンドサービスとしてポータル情報タブに表示されます。

  • ピアIPアドレスの設定がデバイス内、Portal、そしてAWS Direct Connectコンソールで同一であること。

  • 中間デバイスが適切なVLAN IDでVLANタグ付けされており、AWS Direct ConnectエンドポイントでVLANタグ付きトラフィックが保持されていること。

  • デバイスが、アドレス解決プロトコル (ARP) テーブルから設定されたVLAN IDのAWS Direct Connectエンドポイントのメディアアクセス制御 (MAC) アドレスを学習していること。

  • デバイスがピアIPからのAmazonピアIPをpingできること。

BGPの設定

OSIレイヤー2テスト結果が良好である場合、デバイス上のBGP設定を確認してください。次のことを確認してください:

  • ローカルASNおよびリモートASNが、VXCのAエンドサービスとしてポータル情報タブに提供されている内容と一致していること。
  • ピアIPアドレスとBGP MD5パスワードが、VXCのAエンドサービスとしてポータル情報タブに提供されている内容と一致していること。
  • デバイスがTCPポート179 (BGP) やその他の適切なエフェメラルポートからの入力または出力をブロックしていないこと。
  • デバイスがBGPを使用してAWSへの100以上のプレフィックスを広告していないこと。デフォルトでは、AWSはAWS Direct ConnectでのBGPセッションで最大100個のプレフィックスしか受け付けません。

これらの設定を確認した後、仮想インターフェイスBGPステータスがアップするはずです。