Közvetlen kapcsolat az Amazon AWS globális hálózatához?
Posted 2023-09-27 09:30:00 by sanyi ‐ 6 min read
Mi is az a Direct Connect, hogyan épül fel egy ilyen kapcsolat
Régóta érdekelt hogyan lehet közvetlenül kapcsolódni az Amazon AWS globális hálózatához, most a Networking Specialty képzés során sikerült megfejtenem ezt a "rejtélyt".
Az AWS Global Backbone az a világméretű hálózat ami összekapcsolja a teljes AWS infrastruktúra elemeit: adatközpontokat, régiókat, edge helyszíneket, DX helyszíneket. A Direct Connect, röviden DX helyszínek azok a pontok, ahol az ügyfelek kapcsolódhatnak az AWS hálózatához. Ezekről a pontokról bármelyik AWS adatközpont nagy sávszélességű, alacsony késleltetésű hálózati kapcsolaton keresztül elérhető.
Mikor lehet erre valakinek szüksége? Jellemzően akkor ha hibrid infrastruktúrát akar kiépíteni: rendelkezik saját private cloud-dal a telephelyén vagy valamelyik adatközpontban de az AWS erőforrásait is használni szeretné és megbízható, nagy sávszélességű, alacsony késleltetésű kapcsolatra van szüksége a két infrastruktúra között.
Nézzük hogyan is fog ez kinézni a gyakorlatban!
.
Az AWS DX helyszíneken az AWS router-eket tüzemeltet, amik összeköttetésben állnak az AWS Global Backbone-nal és az ügyfelek ezeknek a router-eknek 1-1 optikai ethernet portjához igényelhetnek kapcsolódást 1, 10 vagy 100 Gbit/s sebességen. (Ez az úgynevezett dedicated connection, kisebb sávszélességekhez hosted connection is igényelhető, erről majd később írok).
A kapcsolat kiépítését nem az AWS végzi, hanem minden DX helyszínt egy-egy DX partner üzemeltet, az ügyfelek velük lépnek kapcsolatba.
A hozzánk legközelebb eső AWS régió a frankfurti, ehhez kapcsolódó közeli DX helyszín például az Interxion VIE2 Bécsben. Ezek a DX helyszínek jellemzően nagy adatkicserélő központokban találhatóak, ahol több nemzetközi kommunikációs szolgáltató is jelen van végpontokkal.
A dedicated DX kapcsolat létrehozását az AWS felületén lehet kezdeményezni, az AWS kijelöli hogy melyik router melyik fizikai portjára fog kapcsolódni az ügyfél és kiad erről egy "Letter of Authorization" nyilatkozatot, ennek birtokában lehet a DX partnerhez fordulni. A DX partner elhelyez az ügyfél részére egy router-t a DX központban és összekapcsolja azt az AWS kijelölt router portjával a kívánt sebességel. A következő (és jóval komplikáltabb) lépés az ügyfél számára beüzemelt router és az ügyfél telephelye, adatközpontja közötti nagy sebességű kapcsolat felépítése. Ez bizony akár hónapokig is eltarthat. Ha az ügyfél infrastruktúrája egy nagy adatközpontban van, akkor egyszerűbb a helyzet: ezekben jelen vannak nemzetközi távközlési szolgáltatók végpontokkal, akik pl. az MPLS hálózatuk fölött ki tudnak építeni egy logikai L2 szintű kapcsolatot (egy virtuális ethernet linket) az ügyfél és a DX partner adatközpontja között. Ez egy dedikált, nagy rendelkezésreállású, garantált sávszélességű, alacsony késleltetésű kapcsolat. Az ügyfélnek (illetve hosting szolgáltatójának) ilyenkor csak az ügyfél és a távközlési szolgáltató router-e között kell kiépítenie a kapcsolatot az adatközponton belül. Ha az ügyfél infrastruktúrája saját telephelyen van, akkor bizony előbb a telephely és valamelyik adatközpont között kell egy nagy sebességű (jellemzően optikai alapú) bérelt vonalat kiépíteni. Na ez az ami hónapokig is eltarthat és igen sok pénzbe is kerülhet. Utána az adatközpontból már lehet kapcsolódni valamelyik nemzetközi távközlési szolgáltatóhoz.
A hosted DX kapcsolat ettől annyiban különbözik hogy az ügyfél nem kap saját AWS router portot csak a DX partner egy meglevő kapcsolatán keresztül kap sávszélességet és nem lesz saját routere a DX partnernél hanem a DX partner router-ének egyik portjára fog kapcsolódni. Ilyenkor 50 Mbit/s és 10 Gbit/s közötti sávszélesség igényelhető, a kapcsolatot az ügyfél és a DX partner között ugyanúgy kell kiépíteni mint dedicated kapcsolat esetén. Ebben az esetben a kapcsolat felépítését nem az AWS oldalán kell kezdeményezni, hanem a DX partnernél.
Az ügyfél infrastruktúrájának határát egy BGP routing protokokolt és 802.1Q VLAN-okat támogató router-nek kell biztosítania.
Ha létrejött az IP szintű kapcsolat, az AWS felületén úgynevezett VIF-eket, virtuális interface-eket lehet allokálni a kapcsolat fölött. Dedicated kapcsolat esetén jelenleg 50 VIF allokálható, hosted kapcsolat esetén viszont csak egyetlen egy! Viszont kiépíthető párhuzamosan több kisebb sávszélességű hosted kapcsolat, mindegyiken 1-1 VIF-vel.
A VIF-ekből háromféle van: public, private és transit.
A public VIF-eken keresztül az AWS szolgáltatásai érhetőek el, publikus IP címeken. Ahhoz hogy ezt használni tudja, az ügyfélnek is rendelkeznie kell publikus IP cím tartománnyal. Ebben a felállásban az AWS routere BGP-n meghirdeti az ügyfél felé az összes olyan IP tartományt amin az AWS szolgáltat, az ügyfél router-ének pedig meg kell hirdetnie egy vagy több saját publikus IP prefixet (összesen max. 1000 prefix hirdethető meg). Ilyenkor az ügyfél infrastruktúrája és az AWS publikus szolgáltatásai közötti teljes forgalom a public VIF-en és a DX kapcsolaton keresztül fog haladni. Ha az ügyfélnek nincs saját IP tartománya, akkor az AWS kioszt számára egy /31 tartományt amin keresztül a routing lebonyolítható.
A private VIF-eken keresztül az AWS-en létrehozott VPC-k érhetőek el, ezek private IP tartományokat és private BGP AS számokat használnak. Ilyenkor az ügyfél router-e is egy private BGP AS-t használ és private IP tartományokat hirdet meg az AWS felé. Egy kapcsolaton maximum 100 private IP prefix hirdethető meg. Ebben a felállásban csak a VPC-k és az ügyfél infrastruktúrája közötti forgalom megy a DX kapcsolat fölött. Egy private VIF közvetlenül csak egyetlen VPC egyetlen virtual private gateway-éhez (VGW) kapcsolható és a VPC-nek ugyanabban a régióban kell lennie ahova a DX végpont kapcsolódik. Ha több VPC-hez vagy régióhoz akarunk kapcsolódni akkor egy Direct Connect Gateway-t kell közbeiktatni.
Végül a transit VIF nagyon hasonló a private VIF-hez csak az nem egyes VPC-khez hanem transit gateway-ekhez tud kapcsolódni.
Korábban említettem, hogy az ügyfél router-ének támogatnia kell a 802.1Q VLAN-okat. Erre azért van szükség, mert minden VIF egy saját VLAN azonosítót fog kapni, így tudják a router-ek elkülöníteni a különböző VIF-ek felé irányuló forgalmat.
Ha az ügyfél több routerrel vagy több adatközponttal is rendelkezik, akkor növelhető a saját infrastruktúra és az AWS közötti kapcsolat sávszélessége valamint rendelkezésreállása több párhuzamos DX kapcsolat kiépítésével. AWS zsargonban high resiliency a konfiguráció ha két különböző DX helyszín két különböző ügyfél adatközponthoz kapcsolódik, maximum resiliency pedig akkor ha mindkét DX helyszín és ügyfél adatközpont között 2-2 kapcsolat épül ki.
Végül a legfájdalmasabb kérdés, a költségek. Jelentős költséggel járhat az ügyfél saját infrastruktúrájától az első adatközpontig tartó bérelt vonal kiépítése és üzemeltetése. Szintén jelentős költsége lehet a nemzetközi MPLS tranzitnak, ami az ügyfél adatközpontjától a DX helyszín adatközpontjáig fogja szállítani az adatokat. Költsége lesz a DX helyszínen a router elhelyezésének, üzemeltetésének, úgy általában a DX kapcsolat menedzselésének. Továbbá az AWS is felszámol egy összeget a router port fenntartásáért.
A DX kapcsolatokhoz tartozik adatforgalmi díj, viszont ez jelentősen kisebb mint az AWS-ből a publikus internet felé irányuló forgalom díja. Így ha valaki nagyon sok adatot mozgat az AWS-ből a saját infrastruktúrája felé, akár adatátviteli költségek szempontjából is előnyös lehet a DX kapcsolat kiépítése.
Néhány hasznos link: