パブリッククラウドへの接続にインターネットを使わず、VPNによる「閉域接続」を利用するケースが増えている。閉域接続の仕組みは簡単で、クラウドサービス事業者のゲートウエイと通信事業者のゲートウエイを接続する。Microsoft Azureとの接続に使う「ExpressRoute」や、Amazon Web Services(AWS)との接続に使う「Direct Connect」が閉域接続の代表例だ。

 閉域接続は専用線よりも低いコストでセキュアなアクセスを簡単に実現できるが、インターネット接続には不要だった配慮が求められる。さらにサービスによって制約事項が全く違う点も考慮に入れる必要がある。そこで今回は、パブリッククラウドのなかで特に利用者数の多いAzureとAWSで起こったトラブル事例から、閉域接続を導入・運用する際のポイントを解説する。

ケース1:経路数超過で接続トラブルが発生

 最初に取り上げるのは、経路数超過による接続トラブルの例である。

 クラウド事業者は限られたリソースを複数のユーザーに提供しているため、1ユーザーが利用できるリソースに制約を設定している。ネットワークに関するリソースも同様だ。経路情報については、意図せずとも制限を超えた経路数をクラウド側に流してしまった場合、クラウド事業者側で接続を遮断してしまう。

 特にこの問題で気を付けなければならないのは、AWSと接続する場合である。AWSのサービスは経路数の上限が100経路と決まっている。このため閉域網からAWSに配信する経路数を100以内に抑える工夫が必要になる。

 実際にあったトラブル事例では、構築時には100経路以内でのネットワークを設計していたが、運用中に100経路を超えてしまった。このためAWSへの接続が切断され、業務中にシステムにアクセスできなくなってしまった(図1)。

図1●AWSでは経路数が100を超えるとピアが切断される
図1●AWSでは経路数が100を超えるとピアが切断される
[画像のクリックで拡大表示]

 こうした経路数増加によるネットワーク切断を避ける手法として、VPN側のゲートウエイで経路をサマライズ(大きいネットワークの単位にまとめて経路数を減らすこと)して、AWS側に伝える方法がある。実際に多店舗などで経路数の多いユーザー企業は、こうした手法を採用している。

 ちなみにAzureの経路数の上限は4000経路であるため、経路数が問題になることはあまりない。