AWS Direct Connect (DX) は、オンプレミス環境とAWSを接続する安定したプライベートネットワーク接続を提供しますが、物理的な回線であるため、それ自体が単一障害点（SPOF）になり得ます。建設工事によるファイバー切断や、DXロケーションの設備障害など、様々な要因で接続が中断する可能性があります。

ミッションクリティカルなシステムを運用する場合、この単一障害点を解消し、ビジネスの継続性を確保するために冗長構成を組むことが不可欠です。

冗長化の設計で最も重要な判断基準は、コストとパフォーマンスのトレードオフです。バックアップ回線に対して、平常時と同じレベルの性能を求めるのか、それとも障害時に接続が維持できれば性能は低くても許容できるのか。この要件によって、採用すべきアーキテクチャが決まります。

最も高い可用性と性能を実現する冗長化パターンが、2本以上のDirect Connect接続を使用する構成です。このアプローチは、プライマリ回線の障害時でも、バックアップ回線で同等の高いスループットと低いレイテンシーを維持する必要がある、極めてミッションクリティカルなワークロードに適しています。

大規模な金融取引システムや、リアルタイム性が要求される生産管理システムなど、数秒の接続断絶でも大きな損失につながるシステムでは、このデュアルDX構成が選択されます。下図は、この冗長化アーキテクチャの全体像を示しています。

上図のアクティブ/パッシブ構成を実現するには、BGP（Border Gateway Protocol）の属性を調整して、平常時に使用する経路（アクティブ）と障害時に使用する経路（パッシブ）をルーターに教える必要があります。図中の緑色の太線がプライマリ経路、青色の破線がバックアップ経路を表しています。

コストと可用性のバランスを重視する場合に選択されるのが、Direct ConnectとAWS Site-to-Site VPNを組み合わせた構成です。このアプローチは、障害時の性能低下を許容できる一方で、接続の可用性自体は確保したい多くの一般的なワークロードに適しています。

DXを2本用意するよりも大幅にコストを抑えられるため、中小企業や開発環境でよく採用されます。下図は、このハイブリッド構成の全体像を示しています。

上図の構成では、Direct ConnectとVPNの両方からBGPで経路を受け取ります。通常は、より優先度の高いDirect Connectの経路（緑色の太線）が自動的に選択され、VPN経路（青色の破線）は待機状態となります。DX回線に障害が発生すると、その経路がBGPテーブルから自動的に削除され、VPN経路に切り替わります。

企業のセキュリティ要件が厳格化する中で、Direct Connect接続においてもデータ暗号化が求められるケースが増えています。従来のDirect Connectは物理的に専用線を使用するため安全性は高いものの、データ自体は暗号化されていません。金融機関や医療機関など、規制要件でデータ転送の暗号化が義務付けられている業界では、この課題を解決する必要があります。

MACsec（Media Access Control Security）は、IEEE 802.1AE標準に基づくレイヤー2暗号化プロトコルで、Direct Connect接続におけるデータ暗号化を実現します。VPNのようなオーバーヘッドなしに、10Gbpsの高性能を維持したまま暗号化を提供できるため、セキュリティと性能の両方を重視する企業に最適なソリューションです。

上図の構成では、両方のDirect Connect接続でMACsec暗号化が有効になっており、オンプレミスのエッジルーターとAWS間のすべてのトラフィックがレイヤー2レベルで暗号化されます。この暗号化は物理層に近いレベルで実行されるため、アプリケーションレベルでの追加設定は不要で、運用オーバーヘッドを最小限に抑えることができます。

ここまで学んだ3つの冗長化パターンを、実践的な問題で確認しましょう。

Direct Connectの冗長化設計では、まずビジネス要件（可用性と性能）を明確にし、それに基づいてコストとのバランスを考えることが重要です。厳しい要件であればデュアルDX、コストを重視しつつ可用性を確保したい場合はDX+VPNという判断軸を持つことで、多くの問題に迅速に対応できます。

また、アクティブ/パッシブ構成を実現するためにはBGPの経路制御が不可欠である点も押さえておきましょう。