拠点とAWSをつなぐ専用線を使っているのに、
という経験をしたことはないでしょうか。
正直にいうとわたし自身はガッツリと専用線を扱ったことがありません。
なので人伝てに聞いた話ですが、専用線でそんなことあるんだ、と驚いた記憶があります。
専用線は安定した通信品質が売りのはずなのに、意図しないトラフィックの急増でその品質が損なわれてしまうのは本末転倒ですよね。
そんな方に朗報です。
AWSは2026年6月、AWS Direct Connectの専用接続でVIF(仮想インターフェイス)レートリミッターに対応したと発表しました。
VIFごとに使用できる帯域の上限を設定できるようになり、特定のトラフィックが帯域を独占してネットワーク全体に影響を与える問題を防げるようになるようです。
AWS Direct Connectとは何か インターネットを使わずAWSとつなぐ専用線
AWS Direct Connectは、オンプレミス環境(自社データセンターやオフィス)とAWSを専用の物理回線で直接接続するサービスです。
通常のAWSへのアクセスはインターネット経由ですが、Direct Connectを使うとインターネットを経由しない専用のネットワーク経路を確保できます。
インターネット経由との主な違いは3点です。
- 安定した帯域幅
インターネットは混雑状況によって速度が変動しますが、Direct Connectは契約した帯域が安定して使えます。
1Gbps・10Gbpsなど、あらかじめ決めた容量で通信できます。 - 低レイテンシ
インターネットを経由しないため、通信の遅延が少なく、往復の応答時間が安定します。
データベースの同期やリアルタイムに近い処理が必要なシステムに向いています。 - セキュリティ
公共のインターネットを経由しないため、通信経路上での盗聴リスクが低く、金融・医療など機密データを扱う業種でも使いやすい接続方式です。
Direct Connectには「専用接続」と「ホスト型接続」の2種類があります。
専用接続は1Gbps・10Gbps・100Gbpsといった大容量の専用回線を契約するもので、今回のVIFレートリミッター機能はこの専用接続が対象です。
VIF(仮想インターフェイス)とは何か 1本の専用線を論理的に分割する仕組み
VIF(Virtual Interface:仮想インターフェイス)は、Direct Connectの専用線を論理的に分割して複数の用途に使うための仕組みです。
たとえば10Gbpsの専用線を1本引いているとき、その1本をそのままひとつの接続として使うのではなく、VIFを複数作ることで
のように論理的に分けて使うことができます。
物理的には1本の回線ですが、複数の仮想的な回線として扱える、というイメージですね。
VIFには3種類あります。
| 種類 | 接続先 | 主な用途 |
|---|---|---|
| プライベートVIF | VPC(Amazon Virtual Private Cloud) | VPC内のリソース(EC2・RDSなど)への接続 |
| パブリックVIF | AWSのパブリックサービスエンドポイント | S3・DynamoDBなどパブリックIPを持つサービスへの接続 |
| トランジットVIF | AWS Transit Gateway | 複数のVPCを束ねたトランジットゲートウェイへの接続 |
専用接続では、1つの接続に最大50個のVIFを作成できますが、全VIFが専用線の帯域を共有しています。
実はここに問題が潜んでいます。
なぜ帯域制御が必要なのか VIFの帯域共有が引き起こす問題
複数のVIFが帯域を共有している状態では、あるVIFのトラフィックが急増すると他のVIFに影響が出るという問題があります。
具体的なシナリオを考えてみましょう。
10Gbpsの専用線に「本番VIF」「開発VIF」「バックアップVIF」の3つが共存しているとします。
バックアップ処理の時間帯になると、バックアップVIFが大量のデータを転送し始め、帯域を7〜8Gbps使い切ってしまいます。
その結果、本番VIFに使える帯域が2〜3Gbpsしか残らず、本番システムのレスポンスが低下する――というような状況が起こります。
これまでこの問題に対応するには、
といった割と力技っぽい方法しかありませんでした。
いずれもコストや運用の手間がかかりますよね。
今回追加されたVIFレートリミッターは、VIFごとに使用できる帯域の上限をソフトウェアで設定できる機能です。
QoSを必死こいて勉強してた頃を思い出します
「バックアップVIFは最大2Gbpsまで」と設定しておけば、バックアップ処理がどれだけ増えても2Gbps以上は使えなくなります。
このように、物理的な構成を変えることなく、帯域の割り当てを論理的に制御できるようになりました。
今回追加されたVIFレートリミッターの仕様 設定できる範囲と動作
新機能の仕様をあらためてまとめてみましょう。
| 項目 | 説明 |
|---|---|
| 対象 | 専用接続のVIF(ホスト型接続は対象外) |
| VIF数 | 1つの専用接続につき最大10個のVIFにレートリミッターを設定可能 |
| 設定できる帯域幅の範囲 | 50Mbpsから1.6Tbpsまで、幅広い増分で指定可能 |
| 適用方向 | 受信(イングレス)・送信(エグレス)の両方に設定できる |
| 上限超過時の動作 | 設定した容量を超えたパケットはドロップ(破棄)される |
| 対応リージョン | Direct Connect専用接続がサポートされているすべての商用リージョンおよび中国リージョン |
| 設定方法 | AWS Direct Connectコンソール、API、SDKで設定可能 |
「パケットがドロップされる」という動作は不安に感じますよね。
でもこれはレートリミッターの標準的な動作です。
上限を超えたトラフィックは受け入れないという明確なルールを持つことで、他のVIFへの影響を確実に防ぐことができます。
上限設定をどこに置くかが設計のポイントになりそうです。
CloudWatchと組み合わせた監視 レートリミッターの効果を可視化する
VIFレートリミッターにはAmazon CloudWatchと連携したメトリクスも提供されています。
設定した後の監視・チューニングに活用できるのはありがたいですね。
特に「ドロップパケット数」のモニタリングは最重要項目になるでしょう。
レートリミッターを設定した直後は、適切な上限値かどうかわからないことも多いはずです。
という判断の材料に使えそうです。
VIFレートリミッターが活きる場面 典型的な活用シーン3つ
バックアップ処理と本番トラフィックの共存
先ほど例に挙げたシナリオです。割と多いパターンではないでしょうか。
本番VIFとバックアップVIFが同じ専用線を共有している場合、バックアップVIFに上限を設定することで、バックアップ処理が本番通信を圧迫しなくなります。
バックアップのスケジュールを夜間にずらしていた運用が、上限設定によって昼間でも本番への影響なしで実行できるようになるかもしれません。
開発・テスト環境と本番環境の帯域分離
開発チームが大規模なデータ処理テストやロードテストを実行すると、開発VIFのトラフィックが急増することがあります。
レートリミッターで開発VIFの上限を設けておけば、開発側の作業が本番VIFの品質を落とす心配がなくなります。
開発チームが気兼ねなくテストを実行できる環境が用意できますね。
マルチテナント環境でのテナント間帯域制御
Direct Connectを複数の部門・子会社・テナントで共有している場合、各部門のVIFに上限を設けることで「公平な帯域配分」を実現できます。
特定の部門が帯域を使い切って他部門に迷惑をかけるという状況を防ぎ、SLA(サービスレベル合意)の管理がしやすくなります。
VIFレートリミッター設定時に考えておくべきポイント
実際に設定を検討する際に意識しておきたい点を整理しておきましょう。
上限値の決め方
まずCloudWatchで現在の各VIFのトラフィック量を把握してから設定するのが王道でしょう。
ピーク時の使用量に一定のバッファを加えた値を上限にすると、通常運用に支障が出にくくなります。
いきなり厳しい上限を設定するとパケットドロップが頻発し、アプリケーションに影響が出る可能性があるので注意が必要です。
受信・送信を別々に設定
ユースケースによってはデータのアップロード(送信)は制限したいが、ダウンロード(受信)は制限したくない、といった場合もあるかもしれません。
VIFレートリミッターは、受信・送信を独立して設定できるため、実際のトラフィックパターンに合わせた柔軟な制御が可能です。
設定後はCloudWatchアラームをセット
レートリミッターを設定したら、同時にCloudWatchアラームも忘れずに設定しておきましょう。
ドロップパケット数や使用率が一定値を超えたらアラートが来るようにしておくことで、設定値の見直しが必要なタイミングに気づけます。
1接続あたり最大10個という制限
レートリミッターを設定できるVIFは1接続につき10個までです。
VIFを多数作成している場合は、どのVIFを優先的に制御するかを選ぶ必要があります。
Direct Connectの帯域管理がソフトウェアで完結できるようになった
これまでDirect Connectの帯域管理は「物理的な回線の容量計画」が中心でした。
将来のトラフィック増加を見越して大きめの回線を引くか、足りなくなったら増設するか、という選択しかありませんでした。
今回のVIFレートリミッターの登場により、既存の物理回線の中で帯域を柔軟に配分するという選択肢が加わりましたね。
AWS Direct Connectコンソール・API・SDKで設定でき、追加のハードウェア変更は不要なのも嬉しいです。
設定はすべての商用リージョンおよび中国リージョンで利用可能と発表されています。
Direct Connectで複数のVIFを運用している環境では、今回の機能を活用することで帯域の「取り合い」を防ぎ、重要なトラフィックの品質を安定させる運用が実現できます。
現在の帯域使用状況をCloudWatchで確認しながら、レートリミッターの導入を検討してみませんか?
インフラを基礎から学ぶなら、インターネット・アカデミーが頼れる存在。
