概要

本記事は共有型DirectConnectの単体AWSアカウント接続を共有型DirectConnectの複数AWSアカウント接続に変更する⼿順を記載します。
昨今は初期段階でDirectConnectGatewayやTransitGatewayを要件に盛り込まれれていることが多い為あまり本記事の⼿順を⾏うことがないですが、古いAWSアカウントなどはキャリア網を利⽤して単体接続を⾏っているケースもあり、古いAWSアカウントを分割してプライベートな専⽤線接続で複数のAWSアカウントを接続するような要件には最適な⼿順だと思います。

前提

  • 共有型DirectConnectを利⽤(キャリア網などを想定)
  • バーチャルインターフェースと仮想プライベートゲートウェイを1対1で接続
  • 既存AWSアカウントのVPCは1個利⽤
  • 共有型接続のバーチャルインターフェース接続は接続変更が出来ないため、新たに新規DirectConnect
  • 回線を契約
  • 既存のDirectConnect回線は作業後に解約

想定想定切替期間

⼤まかな作業期間ですが、やはり回線⼿配が⼀番⻑いリードタイムとなります。(図は約⼆ヶ⽉を想定)
キャリアさんにもよりますが1ヶ⽉〜3ヶ⽉など準備期間を⽤意するのが望ましいと思います。
AWSアカウントを新設する場合もベンダー様の請求代⾏など利⽤する場合はベンダー様の準備期間などもご考慮ください。
構築期間は⼿順的にはそこまで多くはないですが、オンプレミス側のルーティング変更の準備などお客様側の準備期間などもご考慮ください。

構成図

切替前

構成変更前は単独AWSアカウントのみの接続です。

切替後

切替後は複数のAWSアカウントと接続です。
AWSアカウント間の通信を⾏う場合は、⼀旦オンプレミスを折り返すかVPC Peerで接続する⽅法を想定しております。

事前作業

事前作業としては⾚枠の箇所となります。
DirectConnectの新設と既存AWSアカウントにDirectConnect Gatewayを新設し、新規アカウントのVirtual Private Gatewayに接続します。
DirectConnect Gatewayの許可されたプレフィックスに既存AWSアカウントと新規AWSアカウントのVPCCIDRを追加する。

想定ダウンタイム

ダウンタイムは回線切替のタイミングに発⽣します。
事前作業で新規のAWSアカウントはすでに接続済みとなるため既存のAWSアカウント側の接続変更時にダウンタイムが発⽣いたします。
既存AWSアカウントのVGW接続変更のタイミングでダウンタイムが発⽣します。
VGW変更⾃体はすぐに実施出来ますが、後続のルートテーブル変更やオンプレミス側のルーティング変更
(新規DirectConnect接続に変更など)を加味すると約1時間30分〜2時間ほどを想定してください。
切り戻しを加味する場合は、同様の時間を想定してください。

料⾦⾯

料⾦⾯としてはDirectConnect Gateway、Virtual Private Gatewayは利⽤料は発⽣しませんのでAWS利⽤料は増額しません。
Private Virtual Interfaceのポート利⽤料はキャリア側の請求となりますので回線利⽤料が切替後、既存の回線解約まで重複して発⽣します。
その他切替作業に関するベンダー作業費、または内製化する場合の⼯数が発⽣します。

切替⼿順

フェーズ1(事前作業)

事前作業は前述の通りDirectConnectの新設と既存AWSアカウントにDirectConnect Gatewayを新設し、新規アカウントのVirtual Private Gatewayに接続します。
DirectConnect Gatewayの許可されたプレフィックスに既存AWSアカウントと新規AWSアカウントのVPCCIDRを追加しておきます。
回線⼿配などが完了した後の切替前に事前作業を⾏う想定です。

フェーズ2(既存AWSアカウントへのVirtual PrivateGateway作成)

既存AWSアカウントに新しいVirtual Private Gatewayを追加します。

フェーズ3(Virtual Private Gatewayのデタッチ)

既存AWSアカウントのVPCに接続している既存Virtual Private Gatewayをデタッチする。
※本作業を⾏う時点でダウンタイムが発⽣します。

フェーズ4(Virtual Private Gatewayのアタッチ)

既存AWSアカウントのVPCに新規Virtual Private Gatewayをアタッチする。

フェーズ5(Virtual Private GatewayのDirectConnect Gateway関連付け)

新規Virtual Private GatewayとDirectConnect Gatewayを関連付けする。
ゲートウェイの関連付け作業は数分〜10分ほどかかる可能性があります。

フェーズ6(ルートテーブルの変更)

既存のルートテーブルを変更し、オンプレミスへのルーティングを新規Virtual Private Gatewayに向ける。
ルート伝播が更新されるまで少し時間がかかる場合があります。

フェーズ7(オンプレミス側ルーティング変更)

BGPで経路交換が⾏われますが静的ルーティングの箇所などを新しいDirect Connect側に向けるようにルーティング変更を⾏います。

事後作業

事後作業は既存のDirect Connectの解約作業を⾏います。
また、既存Virtual Private Gatewayも削除します。

切り戻し

切り戻しは新規Virtual Private Gatewayをデタッチして既存Virtual Private Gatewayをアタッチしてルートテーブルの変更を⾏えば切り戻しが出来ます。
合わせてオンプレミス側のルーティングも切り戻します。

まとめ

以上で単独AWSアカウントから複数のAWSアカウントにDirect Connect接続を変更する⼿順が完了です。
期間もコストもかかってしまうことから出来ればDirect Connectを契約する場合は単独AWSアカウントとの接続でもDirect Connect Gatewayを⼊れることをおすすめします。
Direct Connect Gatewayは料⾦がかからないのでデメリットがありません。