- AWS
AWS VPNとは?概要と実装の方法を解説
クラウド活用の広がりとともに、オンプレミスとクラウドのネットワークをつなぐニーズが年々高まっています。それを実現する手段の一つとして、「VPN」があります。本記事ではAWS VPNの一つである「AWS Site-to-Site VPN」を主題として概要、実装等について解説します。
|
|
AWS環境を構成する上でVPCなどのネットワークサービスは高い頻度で使用しますよね。また、オンプレミス環境と通信している方はAWS Direct Connect(以下Direct Connect)やAWS Site-to-Site VPN(以下サイト間VPN)も利用していると思います。
しかし、ネットワークリソースの数が多くなるにつれてネットワーク管理は複雑になります。
複数のサイト間VPNを利用、複数のVPCとDirectConnectで通信など複雑な構成をしていてルーティングの設定がよくわからなくなってしまった、ネットワーク図が見にくくなってしまったなどの経験がある方もいらっしゃるのではないでしょうか。
このような場合にAWS Transit Gateway(以下TGW)を使用することで数多くのネットワークリソースの通信をまとめることができます。
本稿ではTGWとは?から始め、特徴やユースケースまで幅広くお伝えします。
Index
TGWとは、複数のVPCとオンプレミス環境をつなぐ仮想ルーターのようなサービスです。
|
|
|
|
図1.TGWを使用しない構成例
|
図2.TGWを使用した構成図例
|
TGWを使用しない場合(図1)、オンプレミスと各VPCを通信させる際は、サイト間VPNとDirect Connectから各VPCまでそれぞれ接続します。さらに、各VPC間も通信する場合、それぞれにVPCピアリングを設定する必要があります。
一方、TGWを使用することで同じネットワーク構成について、サイト間VPNやDirect Connectから、各VPCへの通信を集約できます(図2)。
また、VPC間の通信ではVPCピアリングを設定する必要がありません。
TGWがあることでルーティングが簡素化しネットワーク図が見やすくなります。そしてネットワークの管理が楽になります。
TGWの特徴をユースケースを用いて順番に紹介します。
主に以下3つのユースケースがあります。
この例ではVPC4つをそれぞれ接続する構成を紹介します。
TGWを利用していない場合(図3)、各VPCごとにVPCピアリングを設定する必要があります。
TGWを導入することでVPCピアリングが不要になります。(図4) また、VPCを5つに増やす場合、TGWを利用していない構成ではVPC1つとVPCピアリング4つを作成し、各VPCにVPCピアリングを増やす必要があります。TGWを利用している場合はVPCピアリングが不要ですので、今後の拡張性の面でもTGWは便利です。
さらに、AWS Resource Access Managerを用いてアカウントを跨いだVPC間通信も実現可能です。
|
|
|
|
図3.TGWを利用しないVPC間通信
|
図4.TGWを利用したVPC間通信
|
この例ではサイト間VPNでオンプレミスと2つのVPCを接続する構成を紹介します。
TGWを使用しない場合(図5)、サイト間VPN1つに対して1つのVPCにしか接続できないため、サイト間VPNを2つ構築して2つのVPCに接続する必要があります。
TGWを使用した場合(図6)、サイト間VPNからTGWへ接続してTGWから2つのVPCに接続することでサイト間VPNを1つ構築するだけで2つのVPCに接続できます。
|
|
|
|
図5.TGWを利用しないVPN通信
|
図6.TGWを利用したVPN通信
|
この例ではVPCとインターネットで通信をする際にサードパーティーのファイアウォールを経由する構成を紹介します。
TGWはGREトンネルを利用できるため、Paloalto Firewallなどのサードパーティー製品を利用したい場合にも有用です。(図7) VPCとIGWの間にTGWとサードパーティーのファイアウォール製品を配置することで、VPCからインターネットへの通信、インターネットからVPCへの通信のセキュリティを向上できます。
|
|
TGWはマネージドサービスのためAZ内で冗長化を考慮する必要はありません。
TGWの裏側でHyperPlaneと呼ばれる技術を使用して冗長性を保っています(図8)。
|
|
出典:オンプレミスとAWS間の冗長化接続
https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
引用日付:2023/3/13
TGWの料金を記載します。課金対象はアタッチメントの利用時間とデータ通信量の2つになります。アタッチメントとはTGWとVPCやサイト間VPNなどをつなぐ線のことです。
TGW本体に接続しているアタッチメントの利用時間(表1)、及びTGWを経由するデータ通信のデータ量で課金されます(表2)。
なお、VPCアタッチメントを接続した場合でもVPNアタッチメントを接続した場合でも料金は同じです。
| 課金対象 | 1時間 | 1ヶ月 | 1年間 |
|---|---|---|---|
| アタッチメント1つあたりの利用時間 | 0.07 USD | 51.10 USD | 613.2 USD |
| 課金対象 | 1GB | 50GB | 100GB |
|---|---|---|---|
| データ通信量 | 0.02 USD | 1 USD | 2 USD |
※料金は2023/03/15時点の金額です。最新情報は公式ページをご確認ください。
AWS Transit Gateway の料金
https://aws.amazon.com/jp/transit-gateway/pricing/
本記事ではTGWとは?から始め、ユースケースや特徴まで幅広く紹介しました。
TGWは複数のネットワークリソースの中心に置くルーターのようなイメージで、各リソースにつなぐことでルーティングの管理が楽になりネットワークフローを簡素化できます。
また、TGWはAZ内で冗長性を考慮する必要はありません。
記事では機能の概要を中心として解説してきましたが、実際にAWS環境のネットワーク構成を適切に管理・統制するための設計を行うには、専門家の助けが必要かもしれません。アシストでは、AWSサービスの導入コンサルティングや技術支援を行っています。今回取り上げた、「複雑化したネットワーク構成」でお困りの際にも、ぜひ相談ください。
|
|
2022年中途入社。前職では主にLinux案件に従事し、その経験も活かし現在はAWSのフィールド業務を担当している。 好きなAWSサービスはAWS Transit Gateway お笑い芸人のさらば青春の光が大好きで毎日動画を見ている。...show more |
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
クラウド活用の広がりとともに、オンプレミスとクラウドのネットワークをつなぐニーズが年々高まっています。それを実現する手段の一つとして、「VPN」があります。本記事ではAWS VPNの一つである「AWS Site-to-Site VPN」を主題として概要、実装等について解説します。
~しまえりの雲を向いて歩こう!シリーズ:第7回目~ 今回のブログ記事ではAWS Jr. Championsとしての一年間の活動を通して「AWS Jr. Championsに選ばれて良かった!」と特に感じたことをご紹介したいと思います。
今回のAWS re:Inventでも数々の新製品や機能、サービスの発表があり、クラウド技術の進化とその可能性を改めて感じることができました。本記事では「今日から使える!」をテーマに注目すべきアップデートについてお伝えしたいと思います。
