AWS認定資格 WEB問題集&徹底解説

機械学習エンジニア–アソシエイト

AWS Direct Connect の概要と試験出題ポイントは?

AWSサービスの一つであるAWS Direct Connectはどんな内容なのでしょうか?また、AWS認定資格の機械学習エンジニア-アソシエイト(MLA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS Direct Connect 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

AWS Direct Connectは、オンプレミスデータセンター(またはコロケーション施設)とAWSを専用線(プライベート回線)で直接接続するサービスです。インターネットを経由しないため、安定した低レイテンシ・高帯域幅の接続を実現します。

VPN接続と比べ帯域・レイテンシ・安定性に優れますが、初期設定に時間(数週間〜数ヶ月)とコストがかかります。金融・医療・大規模データ転送など、高い接続品質が求められる用途に使用されます。

2. 主な特徴と機能

2.1 接続タイプ

  • 専用接続(Dedicated Connection): 1Gbps・10Gbps・100Gbpsの物理ポートを直接割り当て。AWSのDirect Connectロケーションに物理的に接続。
  • ホスト接続(Hosted Connection): AWSパートナー(DirectConnectパートナー)経由の仮想接続。50Mbps〜10Gbpsの柔軟な帯域幅選択が可能。

2.2 仮想インターフェース(VIF)

  • プライベートVIF(Private Virtual Interface): VPCのプライベートIPアドレス空間への接続。VPCのVGW(Virtual Private Gateway)またはDirect Connect Gatewayに接続。
  • パブリックVIF(Public Virtual Interface): S3・DynamoDB・CloudFrontなどのAWSパブリックサービスのエンドポイントに接続(インターネット経由なし)。
  • トランジットVIF(Transit Virtual Interface): Direct Connect GatewayとTransit Gatewayを組み合わせ、複数のVPCへの接続を集約。

2.3 Direct Connect Gateway

1つのDirect Connect接続から複数リージョン・複数VPCに接続できます(同一アカウントまたはクロスアカウント)。Transit Gatewayと組み合わせることで大規模マルチVPC構成に対応。

2.4 HA(冗長化)構成

  • デュアルロケーション: 2つの異なるDirect Connectロケーションに接続してロケーション冗長性を確保。
  • Active/Active または Active/Passive: 2本のDirect Connect回線でリンクアグリゲーション(LAG)またはBGPルーティング制御。
  • バックアップVPN: Direct Connect障害時のフェイルバックとしてSite-to-Site VPN接続を用意。

3. アーキテクチャおよび技術要素

  1. オンプレミス → Direct Connectロケーション(コロケーション施設)まで顧客回線で接続。
  2. Direct ConnectロケーションでAWSのDXルーターとクロスコネクト(物理接続)。
  3. BGPでルート交換(オンプレのCIDR ↔ VPCのCIDR)。
  4. VIF(プライベート/パブリック/トランジット)でトラフィックを分離。

Direct ConnectはインターネットをバイパスするためIPSecトンネルを使わず、MACsec(L2暗号化)をオプションで使用できます。

4. セキュリティと認証・認可

  • プライベート接続: インターネットを経由しないため、盗聴・IPスプーフィングのリスクが低い。
  • MACsec: L2レベルの暗号化オプション(専用接続/ホスト接続の一部で対応)。
  • ルートフィルタリング: BGPルート広告をプレフィックスフィルターで制限。

5. 料金形態

  • ポート時間料金: Direct Connectポートの時間課金(接続速度に応じた単価)。
  • データ転送: AWSからオンプレミスへのアウトバウンドデータ転送料金(インターネット経由より安価)。インバウンドは無料。

6. よくあるアーキテクチャ・設計パターン

  • ハイブリッドクラウド基盤: オンプレミスのデータセンターとAWSをDirect Connectで専用線接続。安定した帯域幅でVMやデータを移行。
  • 大容量データ転送: S3・Glacierへの大規模データアーカイブをパブリックVIFで高速転送(インターネットより安価・安定)。
  • 冗長構成(HA): 2本のDirect Connect回線(異なるロケーション)+ Site-to-Site VPNをバックアップとして構成。RTOを最小化。

7. 設定・デプロイ手順(ハンズオン例)

  1. Direct ConnectコンソールでDirect Connect接続を申請(専用接続またはパートナー経由)。
  2. 接続確立後、仮想インターフェース(VIF)を作成(プライベートVIF/パブリックVIF/トランジットVIF)。
  3. Direct Connect Gatewayを作成してVGWまたはTGWに関連付け。
  4. BGP設定でルートを交換し、オンプレとAWSの通信を確認。

8. 試験で問われやすいポイント

8.1 Direct Connect vs VPN

  • Q: Direct ConnectとSite-to-Site VPNの違いは?
    A: Direct Connectは専用線(安定・低レイテンシ・高帯域・高コスト・時間がかかる)。VPNはインターネット経由(IPSec暗号化・安価・即座に設定可能・帯域変動あり)。重要なワークロードや大容量転送はDirect Connect、緊急の接続やバックアップはVPN。

8.2 仮想インターフェース(VIF)の種類

  • Q: VPCのプライベートリソースに接続するVIFは?
    A: プライベートVIF(Private VIF)。VGWまたはDirect Connect Gatewayに接続。
  • Q: S3やDynamoDBにDirect Connect経由でアクセスするVIFは?
    A: パブリックVIF(Public VIF)。AWSパブリックサービスのエンドポイントに直接接続。

8.3 Direct Connect Gateway

  • Q: 1つのDirect Connect接続から複数のVPC(複数リージョン)にアクセスするには?
    A: Direct Connect Gatewayを使用。VGWまたはTransit Gateway(トランジットVIF)と組み合わせ。

8.4 HA構成

  • Q: Direct Connectの冗長構成のベストプラクティスは?
    A: 2つの異なるDirect Connectロケーションに接続。Site-to-Site VPNをバックアップとして設定。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報