BGP コミュニティを使用して、Direct Connect により AWS パブリック仮想インターフェイスを介してアドバタイズおよび受信されるルートを制御するにはどうすればよいですか?

簡単な説明

AWS リージョンまたは AWS GovCloud (米国) リージョンの AWS Direct Connect ロケーションは、任意の AWS リージョン (中国 (北京) リージョンを除く) のパブリックサービスにアクセスできます。Direct Connect は、利用可能な場合はすべてのローカルおよびリモートの AWS リージョンプレフィックスをアドバタイズし、Amazon CloudFront など、利用可能な場合は他の AWS 非リージョンポイントオブプレゼンス (POP) からのオンネットプレフィックスを含んでいます。詳細については、ルーティングポリシーと BGP コミュニティを参照してください。

解決方法

Direct Connect は、パブリック VIF を介してアドバタイズおよび受信されるルートの範囲 (リージョン、大陸、またはグローバル) を制御するのに役立つ、さまざまなボーダーゲートウェイプロトコル (BGP) コミュニティタグをサポートします。

AWS がパブリック VIF 経由でカスタマーゲートウェイデバイスにアドバタイズする Direct Connect BGP コミュニティタグには、次のものがあります。

• 7224:8100 - Direct Connect ポイントオブプレゼンスがある AWS リージョンから発信されるルート。
• 7224:8200 - Direct Connect ポイントオブプレゼンスがある大陸から発信されるルート。
• タグなし - グローバル (すべてのパブリック AWS リージョン)。

us-east-1 リージョンにパブリック VIF がある場合、AWS は us-east-1 リージョンのパブリックリソースに関連付けられているルートを 7224:8100 というコミュニティタグでアドバタイズします。北米の公開リソースのルートについては、AWS はコミュニティタグ 7224:8200 でルートをアドバタイズします。その他すべてのプレフィックスには、タグはありません。

AWS へのプレフィックスの範囲を選択するために使用できる Direct Connect BGP コミュニティタグ。

• 7224:9100 - Direct Connect ポイントオブプレゼンスがあるローカル AWS リージョン。
• 7224:9200 - Direct Connect ポイントオブプレゼンスがある大陸 (北米など) のすべての AWS リージョン。
• 7224:9300 またはタグなし - グローバル (すべてのパブリック AWS リージョン)。

us-east-1 リージョンにパブリック VIF がある場合、コミュニティタグ 7224:9100 を使用して us-east-1 リージョンにアドバタイズするルートの範囲を制限できます。ルートに 7224:9200 というコミュニティタグを付けた場合、プレフィクスはすべての米国リージョン (北米大陸) にアドバタイズされます。ルートに 7224:9300 というコミュニティタグを付けたり、コミュニティタグでプレフィックスをタグ付けしなかったりすると、プレフィックスはすべての AWS リージョンにアドバタイズされます。

例えば、パブリック VIF で受信およびアドバタイズされるルートを特定のローカルリージョンに制限するには、コミュニティタグ 7224:8100 で AWS から受信したルートと一致するプレフィックスフィルターとルートマップを設定し、それらのルートだけをインストールします。また、コミュニティタグ 7224:9100 を使用して AWS にプレフィックスをアドバタイズする必要があります。これにより、パブリック VIF で受信およびアドバタイズされるルートが、ローカルリージョンに限定されます。

コミュニティタグの任意の組み合わせを使用して、AWS パブリック VIF でアドバタイズおよび受信されるルートを制御できます。

AWS Direct Connect はすべてのパブリックプレフィックスをNO_EXPORT BGP コミュニティタグでアドバタイズします。

現在 AWS でアドバタイズされるプレフィックスのリストは、AWS JSON IP アドレス範囲をダウンロードします。詳細については、「AWS IP アドレスの範囲」を参照してください。

---

関連情報

ルーティングポリシーと BGP コミュニティ