CLF-3.5AWS のネットワークサービスを特定する。

ヒントボタン

東京本社のオンプレミスデータセンターと AWS の VPC を結ぶトラフィックが常に 2Gbps を超えるようなミッションクリティカル環境では、インターネットを共有する Site-to-Site VPN や Client VPN のベストエフォート型では帯域が変動しやすい一方、AWS Direct Connect は専用回線で 1G／10G／100G ポートを選択でき、SLA により帯域と遅延を明示的に保証できる点が大きな利点となります。
さらに高い冗長性と経路制御を求められる金融業界では、複数の AWS Direct Connect 回線を Link Aggregation Group（LAG）で束ねて総帯域を論理的に集約しつつ、2本それぞれに BGP セッションを張ることでアクティブ-アクティブなフェイルオーバーと意図した経路アドバタイズが行え、回線障害時も瞬時に切り替わりサービス継続性を担保できます。
専用線による帯域保証、BGP を用いた詳細な経路制御、LAG 構成による冗長とスループット拡張という複数要件を同時に満たせるのは Direct Connect のみであり、VPN や VPC ピアリングなどインターネット経路を用いるサービスでは設計上ギャップが残るため、総合的に専用回線サービスを採用する判断が最適といえます。

ヒントボタン

金融システムでは往復5ms以内という厳格なレイテンシと10Gbpsという高い帯域が同時に求められる場合、パブリック網を避け物理的にAWSへ直結できるAWS Direct Connectが推奨候補になります。Direct Connect Gatewayを併用し、同じリージョンあるいは複数リージョンへBGPでマルチアタッチすると回線を二重化しやすく、フェイルオーバー時も帯域が落ちにくい仕組みを構築できます。さらに10 Gbps専用回線は帯域保証オプションが提供されるため、月間50 TB程度のトラフィックでもピーク性能を維持しやすい点が金融用途では安心材料になります。

Site-to-Site VPNはAWS側で自動的に2本のIPsecトンネルが張られ冗長性を確保できますが、1トンネルあたりの理論的な上限はおよそ1.25 Gbpsとされ、装置性能や圧縮処理によって実効値が変動します。複数トンネルを束ねることで帯域を積み上げても、インターネット経路を通る以上レイテンシが日々変わり、5 ms以内を常時キープするのは難易度が高いです。また暗号処理による遅延加算も無視できず、金融取引のリアルタイム性を担保するには速度・安定性双方で余裕が足りない可能性があります。

Transit GatewayとVPN CloudHubは多拠点接続をまとめるには便利ですし、S3 Transfer Accelerationはグローバルエッジネットワークを活用した高速化ソリューションですが、いずれも10 Gbpsの帯域保証や5 msのレイテンシSLAは存在しません。オンプレDCとAWS間で月50 TBを安定的に流しつつ、回線障害時も即時切替が行える設計を求める総合判断では、専用線を複数引きBGPフェイルオーバーが可能なDirect Connectベースのアプローチが要件との整合性を最も高い水準で満たしてくれるでしょう。

ヒントボタン

オンプレミスDCとVPCを高スループットかつ低遅延で直結したい場合、AWS Direct Connectの1Gbps専用回線は物理帯域を確保でき、インターネットを経由するIPsec VPNよりジッタが小さくパケットロスも抑えられます。プライベート仮想インターフェイスを使えばVPC内部のサブネットにレイヤ2で到達でき、余分な暗号化装置を挟まずに済むうえ、データ転送料金も抑えられるため広告配信トラフィックの安定性とコスト最適化の両方を実現しやすくなります。

Direct ConnectはオンプレミスルーターとBGPピアを張れるので、Prefix長やAS_PATHを用いたプライマリ／セカンダリ制御やMED値でのロードバランシングなど、ネットワークエンジニアが慣れた手法で動的ルーティングを調整できます。BGP Keepalive／Holdタイマーによって数秒でリンク障害を検知し、経路が自動で切り替わるため、求められているBGPフェイルオーバーの要件を追加機器なしで満たせることが大きな利点です。

高可用性を担保するには、AWSのベストプラクティスである異なるDirect Connectロケーションに冗長回線を設け、2本の1Gbps回線を物理的に別経路へ引き込む設計が推奨されます。これによりビル障害・電源断・ファイバー断など局所的イベントを回避でき、Service Level Agreement 99.9%を確保できます。低遅延、専用線、BGP、経路冗長という複数要件を俯瞰すると、この構成が最も整合的で実装容易と判断できます。

ヒントボタン

まず、30TB もの医療データを毎日 1Gbps で Amazon S3 に同期し続けるには、帯域を確実に確保できる AWS Direct Connect が前提になります。Site-to-Site VPN はインターネット経由ゆえジッターやロスの影響を受けやすく、CloudWatch や Lambda での監視・再試行を伴う手動運用では RTO15分という厳しい復旧目標を守りにくくなります。さらに VPN のみで 1Gbps を持続させるにはトンネル束ねやオンプレ機器の暗号化性能を考慮する必要があり、運用負荷を最小化したいスタートアップには大きな負担となりがちです。

AWS Direct Connect を単一ロケーションに 1 本だけ敷設すると、ケーブル断や設備点検で回線が切れた瞬間にレプリケーションが停止し災害対策になりません。一方で異なるロケーションへ 2 本敷設すると可用性は高まりますが、毎月の専用線コストと LOA-CFA 管理負荷が跳ね上がります。Transit Gateway の下に Direct Connect Gateway と Site-to-Site VPN を 2 本接続し、BGP で同一プレフィックスを広告しておけば、平常時は専用線 1Gbps を優先しつつ障害時は VPN へ自動切替でき、費用と冗長性のバランスを取ることが可能です。

BGP のプリファレンスや AS_PATH を調整すれば経路選択を完全自動化でき、Route 53 などで手動フェイルオーバーを行う必要がなくなります。Direct Connect のパブリック VIF を使えば Amazon S3 への最短経路が確保でき、VPN 側でも同じアドレス空間を広告できるためアプリケーション変更は不要です。専用線 1 本と VPN 冗長という構成は、帯域確保、可用性要件、コスト抑制、運用簡素化という複数条件を俯瞰してみたときに最もバランスの取れた選択肢と判断できます。

ヒントボタン

遅延10ミリ秒以下かつ1Gbpsの帯域保証を本番で求める場合、インターネット経由の Site-to-Site VPN や Client VPN はベストエフォートでブレやすく要件を満たしにくいため、東京リージョンに専用線を引く AWS Direct Connect を軸に据えるのが定石です。専用線は SLA が明確でスループットが安定し、オンプレミスと VPC を直結できるうえ、マネージドサービスゆえルーターに最小限の BGP 設定を行うだけで運用負荷も抑えられます。

回線障害時に RTO30分以内の自動切替を実現する冗長化策としては、1Gbps の Direct Connect 回線を2本束ねる LAG 構成で BGP によるアクティブ-アクティブ経路を張る方法、または Direct Connect と Site-to-Site VPN を AWS Transit Gateway に接続して高優先度ルートと低優先度ルートを持たせる方法が現実的です。どちらも経路収束は数分で完了し、監視のみで切替に人手を要しません。

総合的に見ると、帯域と遅延を保証できる専用線を中心に置きつつ、LAG＋BGP で専用線を二重化するか、専用線と VPN を Transit Gateway で統合して経路を自動フェイルオーバーさせる構成が、性能・冗長性・運用効率の全要件をバランス良く満たします。

ヒントボタン

1日5TB＝約40Tbitを4時間で送るには平均2.8Gbps超の実効帯域が必要です。AWS Direct Connectは10Gbpsポートを複数束ねられ、インターネットを経由せずSLAも付与されます。オンプレを2拠点にして回線を引き込み、Virtual Interfaceを冗長し、Link Aggregation GroupやBFDで高速障害検知を行えば、高帯域と安定性の両方を確保できます。

Site-to-Site VPNやTransit GatewayはIPsecトンネルが公衆網に乗るため帯域と遅延を利用者側で制御できず、1本あたり約1.25Gbpsが上限です。2本接続しても要件の3Gbpsには届きにくく、輻輳で低下する恐れもあります。Snowball Edgeは物理輸送なので日次同期のたびに梱包・配送が発生し4時間以内へ収めるのは困難です。Client VPNはリモートアクセス用途であり、大容量基幹データ転送には運用負荷と性能面が課題です。

インターネット経由禁止、1Gbps超の安定スループット、回線冗長という三要素を同時に満たすには、専用線であるAWS Direct Connectを2ロケーションへ引き、バックアップとしてSite-to-Site VPNを用意する構成が最も現実的です。性能・可用性・セキュリティを総合的に俯瞰するとこの選択が合理的と判断できます。

ヒントボタン

オンプレミスからAWSへミッションクリティカルな金融トラフィックを流す場合、Direct Connectはインターネットを経由しない専用線であり、Site-to-Site VPNのようなパブリック網より遅延とジッターが圧倒的に安定します。さらにSLAはポート単位で99.9%が保証され、TLS終端も不要なためパケット処理のオーバーヘッドが抑えられます。専用10 Gbpsポートを複数束ねればキャリア回線側の引き込みも1本で済み、機器構成がシンプルになって運用リスクが減り、可用性の証跡として監査にも提出しやすい特徴があります。

Direct ConnectのLink Aggregation Groupを利用すると、10 Gbpsポートを最大4本束ねて論理的に1本の50 Gbps回線として扱えます。まずは2本で20 Gbpsの冗長構成を組み、需要増に合わせてポートを追加するだけで帯域を水平拡張できるため、再設計や追加回線工事の費用を抑えながら将来の50 Gbps要件を無停止で満たせます。さらにLACPにより転送負荷が自動で分散されるので、高速フェイルオーバーを実現しながらアクティブ/アクティブ利用による回線の無駄も避けられます。

VPNやGlobal Accelerator、CloudFront経由のTLSトンネルは初期費用が小さい一方でインターネット回線品質に依存し、SLA 99.9%はエンドツーエンドではなく各サービス単体の公表値に留まります。Direct Connectはポート料金こそ掛かりますがトラフィック課金がVPNより低く、長期の大容量転送では月額が逆転しやすいです。これらを踏まえ、専用線＋LAG構成が低遅延・高可用性・コスト最適化の三条件を同時に充たすと総合的に判断できます。

ヒントボタン

要件では社内データセンターと東京リージョン間を10Gbpsかつ遅延10ms以内で常時接続し、さらに通信は暗号化されている必要があります。AWS Direct Connectは専用回線で帯域とレイテンシ要件を満たせますが、生のDXは暗号化されないため、DX GatewayやVirtual Private GatewayにSite-to-Site VPNを重ねて暗号化トンネルを作成する構成が検討されます。オンプレミス側ルーターがBGPを話すことで、DXとVPNの経路優先度を調整し、平常時は専用回線、障害時は自動的にVPNへ経路が切り替わる設計も可能です。

RTO5分以内で自動迂回という条件は、BGPのHold TimerやLocal Preferenceを用いてプライマリ経路喪失を検知し、スタンバイ経路へフェイルオーバーする仕組みで達成できます。Direct Connectの仮想インターフェイスとSite-to-Site VPNを同一Virtual Private Gatewayにアタッチし、BGPメトリクスでDXを優先、VPNをバックアップとすると、リンクダウン時に数十秒から数分で経路が切り替わります。CloudWatchやLambdaを追加せずともプロトコルだけで自律動作できる点が大きな利点です。

インターネット経由のIPsec Site-to-Site VPNだけでは10Gbpsや10ms未満の往復遅延を現実的に満たしにくく、AWS Global AcceleratorはTCP/UDP負荷分散であり専用線品質を提供しません。またClassicLinkは既に非推奨です。専用線の性能とVPNの暗号化を兼ね備え、BGPで迅速にフェイルオーバーできる二層構成こそが、帯域・レイテンシ・セキュリティ・切替時間という複数要件を俯瞰して最もバランス良く満たせる選択といえます。

ヒントボタン

要件はオンプレDCと東京リージョンのVPC間を5 Gbps超で低遅延かつ専用線接続すること、さらにインターネットを完全に避けることです。AWS Direct Connectは物理的専用回線でルート迂回がなく帯域保証が可能ですが、Site-to-Site VPNはIPSecトンネルで公衆網を通るため遅延・経路変動が起こりやすく、1トンネルあたりのスループットも1.25 Gbps程度で多数トンネルを束ねても要件を満たすには運用が煩雑になります。

Direct Connectには1 Gbpsや10 Gbpsのポートを論理的に束ねるLink Aggregation Group（LAG）があり、ポートを2本以上組めば即座に5 Gbpsを超える帯域を単一のBGPセッションで扱えます。医療画像や電子カルテのような大容量ワークロードでは、10 Gbps LAGが提供する一桁ミリ秒レベルの安定遅延と帯域保証がガバナンスやSLIの達成に大きく寄与します。

HL7やDICOMなどセンシティブな医療データを扱う場合、Internet Gateway経由のHTTPS通信やClient VPNのTLSトンネルは暗号化は容易でも帯域保証や経路制御が難しく、要件の「専用線」「インターネット非依存」「5 Gbps超」に全て合致しづらい点が課題です。Direct ConnectはPrivate VIFでVPCに直接プレミスルートをアドバタイズでき、バックプレーンまで閉域を維持できるため、帯域・遅延・セキュリティを総合的に俯瞰して判断すると最も要件適合度が高いことに気付けるはずです。

ヒントボタン

スループット10 Gbpsを持続させながら金融グレードの可用性を得るには、インターネット経由では帯域変動が避けられません。AWS Direct Connectは専用線でVPCとオンプレミスを直結でき、Link Aggregation Groupを用いて複数10 G回線を束ねることで帯域を拡張しつつ回線障害時は自動的に別回線へ切り替えます。SLAは99.9%で、デュアルロケーション接続を選択するとデバイス障害にも強くなり、要件を満たしやすい点がポイントです。

障害発生後5分以内に暗号化通信へフェイルオーバーするには、Virtual Private GatewayにBGPで接続するSite-to-Site VPNをDirect Connectと同じプレフィックスでアドバタイズしておく構成が効果的です。専用線が切れてもBGPが経路の消失を検知し、IPsecトンネルへトラフィックを自動迂回します。keepaliveやholdtimerを短縮しておけば数十秒レベルで切り替わるため、300秒以内という目標達成が現実的になります。

インターネットゲートウェイやNATインスタンス、Classic Load Balancerはアウトバウンド変換やL4/L7分散が主用途であり、オンプレとVPC間を高帯域で直結し暗号化バックアップを用意する目的には直接寄与しません。したがって、高可用性専用線を提供するAWS Direct Connectと、暗号化された冗長経路を実現するSite-to-Site VPNを組み合わせることが、帯域、SLA、冗長性、切替時間という複数要件を俯瞰した総合的な最適解と判断できます。

ヒントボタン

金融業界で本番VPCとオンプレミスDCを常時大容量で結ぶ場合、99.9%の可用性や10 Gbpsの帯域保証、10 ms以内の遅延といった厳格なSLAはインターネット経由では維持が難しいです。AWS Direct Connect は物理専用線でPoPに接続し、回線ごとにSLAを提供できます。さらに Link Aggregation Group を使えば複数回線を束ねて合計帯域を高めながら回線冗長も確保できるため、5 TB/日の連続転送という要求にも余裕をもって対応できます。

Site-to-Site VPN や AWS Client VPN は設定が容易で短期的な利用には便利ですが、通信経路は公衆インターネットを通過するベストエフォート型です。そのためピーク時には帯域が収束せず、一定のスループットや低レイテンシを保証するSLAがありません。金融SaaSのように継続的に大容量データをやり取りし、回線停止が業務停止に直結するシナリオでは、物理専用線ベースの接続を主回線として設計するのが一般的な選択肢になります。

VPC ピアリング はリージョン内外の AWS 環境同士をプライベートIPで直結するサービスで、オンプレミスDCとのハイブリッド接続には使えません。複数要件を俯瞰すると、オンプレ側で二系統のキャリア回線を Direct Connect ロケーションに引き込み、Link Aggregation Group により耐障害性とスループットを同時に高める構成が、帯域・可用性・遅延のすべてを一度に満たす総合解となります。

ヒントボタン

1日あたり3TBを安定的に転送するには平均で約280Mbps、ピークを見込めば瞬間的に1Gbps近い帯域も視野に入ります。Site-to-Site VPNやClient VPNはインターネット経由のため輻輳やISP障害の影響を受けやすく、契約したポート速度をそのまま使える専有線のAWS Direct Connectはスループット確保の面で有利です。

レイテンシ10ミリ秒以内かつ99.9％以上の可用性という要件ではネットワークSLAが重要です。AWS Direct Connectはロケーション冗長やLAG、デュアルリンクでポート・デバイス・ファイバー断を吸収し公式に99.9％SLAを提示しています。VPNトンネルはBGPフェイルオーバーを組んでも公衆網の変動を完全に避けられずレイテンシもブレやすい点を比較しましょう。

インターネットを使わない条件があるためCloudFrontなどのEdgeサービスやIPsec VPN系は前提から外れます。金融業界で求められる閉域性を保ちつつ大容量を低遅延で流すにはAWS Direct Connect GatewayやPrivate VIFによるオンプレミス-VPC間の専用線接続をロケーション二重化する構成が最も素直に要件を満たします。帯域・遅延・可用性・経路制限という複数要素を俯瞰し総合的に判断してみてください。

ヒントボタン

10 Gbpsという高スループットをIPsecのみで賄うと仮想ルータが飽和しやすいので、オンプレミスとVPCを802.1Qで直結できるAWS Direct Connect専用線を土台にし、ロケーション内で冗長ポートを束ねるLink Aggregation GroupとBGPマルチセッションで自動迂回を確保する設計が99.9％可用性の要求に適しており、さらにDDoS緩和を担うAWS Shield Standardが自動で有効になる点も運用面の安心材料になります。
金融審査で必須となるAES-256暗号化はAWS Direct Connect自体には備わっておらずMACsecオプションはロケーション限定かつ費用増となるため、専用線の上にSite-to-Site VPNを二重トンネルで重畳しIPsec AES-256を使う構成にすると回線品質を保ったままデータを暗号化でき、さらにVPN対向ルートをDynamic BGP広告と連携させればフェイルオーバーも自動化できます。
可用性・帯域・暗号化・コストという四つの軸を俯瞰すると、Transit GatewayだけのIPsecやインターネットVPN集約では帯域上限とジッタに懸念が残り、Direct ConnectのパブリックVIFでは暗号化やプロトコル制約が解消しないため、専用線で物理帯域を確保しつつSite-to-Site VPNとBGPを重ねて暗号化と経路冗長を両立させる案が総合的にバランスが取れます。

ヒントボタン

ヒント1
往復遅延を20ミリ秒以下、帯域を1Gbps以上で安定させたい場合、インターネット区間を極力排除することが鍵です。AWS Direct Connectはキャリアの専用線を介してAWSリージョンのDirect Connectロケーションに接続するため、ベストエフォートであるSite-to-Site VPN単独よりも遅延変動が小さく、帯域保証も取りやすい仕組みです。

ヒント2
金融業界で求められるIPsec暗号化を満たすには、AWS VPNを用いるとマネージドで鍵交換やトンネル冗長が確保できます。Direct Connect自体はL2／L3の専用線であり、暗号化を行わない点が特性なので、専用線の経路上にSite-to-Site VPNを重ねてIPsecカプセル化を行うパターンが定番です。

ヒント3
要件を俯瞰すると、低遅延・高帯域・専用回線はDirect Connectがカバーし、データ機密性のIPsec暗号化はSite-to-Site VPNが担います。2つのサービスを並行構成することで、それぞれの長所を補完しながら金融レベルの性能とセキュリティを同時に充足できるという総合判断になります。

ヒントボタン

ヒント①
オンプレミスのデータセンターと東京リージョンのVPCを結び、常に20Gbpsという大容量かつミリ秒単位の遅延変動を抑えたい場合、インターネットを経由する Site-to-Site VPN や EC2 上の自前 IPSec は BGP 経路が変動しやすく、スループットも 1 トンネルあたり 1.25Gbps 程度に収束しやすいです。金融取引のようにジッターと帯域保証が求められるワークロードでは、AWS Direct Connect の専用物理線を敷設し、プライベート VIF でトラフィックを収容する設計が定石となります。

ヒント②
可用性を高めるために Direct Connect では回線やデバイス単位で冗長化するベストプラクティスが公開されています。Link Aggregation Group（LAG）を用いれば同一ロケーションで複数の 10 Gbps または 100 Gbps ポートを束ねて論理的に 1 本の接続として扱え、片系断でもフェイルオーバーは瞬時です。加えて別施設ロケーションにバックアップ回線を敷けば、AWS 側ルーター障害もカバーできます。こうした仕組みはインターネット VPN では提供されず、ECMP でトンネルを張っても可用性 SLA や遅延の揺らぎは避けられません。

ヒント③
問いの要件は「常時 20Gbps 帯域」「低遅延」「2 系統冗長」の三点です。インターネットを前提とする VPN は帯域上限とレイテンシー変動で要件を満たしにくく、VPC ピアリングはクラウド間専用でオンプレミスには使えません。したがって物理専用線で回線を束ね、リンク障害時もシームレスに切り替えられる AWS Direct Connect LAG が、帯域確保・遅延安定・冗長性という複数条件を同時に満たす総合的な解となります。

ヒントボタン

常時10 Gbpsかつ遅延5 ミリ秒未満という厳しい性能要件を社内データセンターとus-east-1間で満たすには、インターネット経由の暗号化トンネルでは帯域確保もRTTも読みづらいため、物理的に閉域網を敷設できるAWS Direct Connect専用回線が最も適した基盤となり、Private VIFでVPCに収容すれば追加機器も少なくシンプルで、さらにMACsec暗号化を選べばERPのトランザクションを高速かつ安全に処理できます。

障害時60秒以内に自動で経路を切り替える仕組みを整えるなら、Direct Connect GatewayまたはVirtual Private GatewayにSite-to-Site VPNを並列に接続し、BGPの優先度を専用線を低メトリクス、VPNを高メトリクスに設定すると、BGP KeepAliveのタイムアウトに合わせて迅速に再収束し運用負荷も低減でき、Route 53フェイルオーバーのDNS伝播待ちよりはるかに短時間でトラフィックが回復します。

性能保証、可用性、最小の運用介入を俯瞰すると、プライマリ経路にAWS Direct Connect 10 Gbpsを置き、同一GatewayにSite-to-Site VPNをBGP冗長で組み合わせる構成が、低遅延と60秒未満のフェイルオーバーという複数条件を最もバランス良く満たす総合的な判断となります。

ヒントボタン

Amazon Route 53のフェイルオーバールーティングポリシーは、HTTPやTCPヘルスチェックでエンドポイントの死活を最短10秒間隔で複数回判定し、異常を検知すると平均30秒程度でDNS応答を待機系に変更できます。機能は完全マネージドで、スクリプトによる監視やバッチ切替が不要なため、マルチリージョンで高PVサイトでも運用負荷を抑えながら自動フェイルオーバーを実現できます。

AWS Global Acceleratorは世界中のAnycast IPに対してエッジロケーションでトラフィックを受け、エンドポイントグループ内の各リージョンALBやNLBのヘルスチェック結果に基づき数秒以内に転送先を変更します。DNS TTLに左右されず即時ルーティングが可能で、クライアントは単一IPに接続するだけなのでアプリケーション側の設定変更を要せず、可用性向上と運用簡素化を同時に達成できます。

マルチリージョン冗長では、Route 53のヘルスチェック連動DNS切替やAWS Global AcceleratorのAnycast経路制御など、切替速度と自動化が担保されたマネージドサービスを優先し、手動CNAMEやオンプレDNSラウンドロビン、単一点障害となり得る単一リージョンCLBを採用しないという総合判断が求められます。

ヒントボタン

日次10TBという大容量を確実に転送するには、連続して1Gbpsの実効スループットを占有できることが鍵です。AWS Direct Connect で専用線ポートを確保しプライベート VIF を張ればベストエフォートではなく帯域確保型となり、時間帯に左右されない安定した転送が実現できます。

インターネットを経由する Site-to-Site VPN や Client VPN は暗号化トンネルの上でベストエフォートとなり、3ms以内という厳しい遅延要求やジッタを担保できません。Direct Connect は専用ファイバーでリージョンに直結するため物理距離分のレイテンシだけに抑えられ、SLA でも可用性と一貫性が保証されます。

VPC ピアリングはクラウド内部の VPC 間通信専用でオンプレミスを結びません。複数要件を俯瞰すると「インターネット非経由」「1Gbps帯域保証」「3ms以内の低遅延」「プライベートアドレス接続」という条件をすべて満たせる専用線サービスこそ最も合理的だと判断できるでしょう。

ヒントボタン

専用線で常時1Gbpsという帯域保証を得られるのは Direct Connect だけで、オンプレミスから VPC へプライベート仮想インターフェースを張ることでインターネット経由のジッタや輻輳を回避できるため、動画配信のような持続的高負荷ワークロードではまずこの回線を主経路に据える設計が自然となります。
専用線が断たれた場合の自動フェイルオーバーを考えると、BGP による動的ルーティングで経路を広告しつつバックアップとして Site-to-Site VPN を用意し、Direct Connect の BFD や Keepalive 消失を検知して同じプレフィックスを VPN へ瞬時に迂回させれば、CloudWatch や手動操作に頼らず数秒で切替が完了します。
Site-to-Site VPN だけではインターネット品質の変動により 1Gbps を安定維持しにくく、二本の Direct Connect を静的ルートで待機させても切替検知ができないため、帯域保証を担う専用線と動的経路冗長化を組み合わせる構成が、帯域・可用性・自動化という複数要件を俯瞰した最適な総合判断となります。