【AWS】VPC(Virtual Private Cloud)の各オプションについて

VPC(Virtual Private Cloud)の各オプションについて解説します。

 

以下、関連する記事も参考にしてください。

 

【AWS】VPC(Virtual Private Cloud)の基本から解説

 

【AWS】ルートテーブル (Rote Table) について解説

 

 

 

VPC サービス一覧

  • AWS Managed VPN(VPN 接続、AWS マネージド VPN、ハードウェア VPN) ← IPsec VPN
  • AWS Direct Connect(ダイレクトコネクト)
  • AWS Direct Connect + VPN ← AWS Direct Connect 接続を Amazon VPC VPNと組み合わせる
  • AWS VPN CloudHub(CloudHub 接続)
  • Software VPN(ソフトウェア VPN) ← VPN サーバーと VPN トンネルを構築
  • Transit VPC
  • VPC Peering(VPC ピアリング接続)
  • Software-to-AWS Managed VPN
  • AWS PrivateLink

 

 

 

AWS Managed VPN(VPN 接続)

データセンター(オンプレミス環境) ←→ AWS 間のネットワーク接続です。

 

  • オンプレミス ← on-premises、企業が主体となって H/W や S/W を購入し、データセンター等で構築して運用することを言います。

 

Amazon VPC には、インターネット経由で企業が持つデータセンターのネットワーク(または、企業内ネットワークなどオンプレミス環境)と Amazon VPC の間に IPsec VPN 接続を作成できます。

 

データセンター側で 2 つのゲートウェイを持っている場合は、Amazon VPC との間のネットワークを冗長化することができます。

障害が発生した場合はフェールオーバーを実装できます。

ルーティングは、「動的ルーティング」「静的ルーティング」の両方のオプションを利用できます。

  • 動的ルーティング ← BGPピアリングを使用

 

 

 

 

 

AWS Direct Connect(ダイレクトコネクト、ダイレクト接続)

AWS Direct Connect(AWS ダイレクトコネクト)は、データセンターのネットワークや企業内ネットワーク環境(オンプレミス環境)から Amazon VPC への専用接続(プライベート接続)を実現します。

つまり、インターネットを経由せずに、直接オンプレ環境と AWS 環境をネットワーク接続できます。(プライベート接続になります)

 

このプライベート接続は、インターネットを経由していないため、インターネットの影響を受けずに帯域幅を安定させ、高いネットワーク品質を利用でき、コストを削減できます。

 

AWS ダイレクト接続を使用すると、AWS ネットワークと AWS ダイレクト接続間に 1 Gbps または 10 Gbps の専用ネットワーク接続を確立できます。

VLAN を使用して、プライベート IP アドレスで Amazon VPC 内の EC2 インスタンスにアクセスできます。

 

AWS Direct Connect にアクセス可能なキャンパスロケーション

  • Equinix TY2 東京、日本(AWS Direct Connect ロケーション) ← Equinix TY2、TY6 – TY8(AWS Direct Connect にアクセス可能なキャンパスロケーション)

 

他に AWS Direct Connect ロケーションとしては以下があります。

  • アット東京 CC1 中央データセンター、東京、日本
  • Equinix OS1、大阪、日本
  • Chief Telecom LY、台北、台湾
  • Chunghwa Telecom、台北、台湾

 

AWS Direct Connect パートナー一覧

自社のデータセンターがエクイニクス(Equinix)のデータセンターになくても、AWS Direct Connect パートナーに依頼すれば、データセンターのオンプレ環境から AWS Direct Connect ロケーションまでネットワークを拡張してくれます。

 

■AWS Direct Connect パートナー一覧

  • アルテリア・ネットワークス株式会社
  • AT Tokyo
  • AT&T
  • BSO Network Solutions
  • BT
  • CenturyLink
  • Chief Telecom
  • China Mobile International
  • China Telecom Global Limited
  • CITIC Telecom CPC
  • Colt
  • Datapath.io GmbH
  • Epsilon
  • Equinix, Inc.
  • Global Cloud Xchange
  • Hibernia Networks
  • HGC Global Communications
  • インターネットイニシアティブ
  • IX Reach
  • KDDI
  • 野村総合研究所 (NRI)
  • NTT コミュニケーションズ株式会社
  • NTT 東日本
  • Orange Business Services
  • Sejong
  • ソフトバンク株式会社
  • Tata Communications
  • Telstra
  • TOKAI Communications
  • Verizon
  • Zayo Group

 

 

APN パートナー一覧

  • APN ← AWS パートナーネットワークの略

 

■APN パートナー一覧

https://aws.amazon.com/jp/partners/find/results/?keyword=Japan&size=100&start=0&sort=Relevance&view=Grid

 

2019年5月18日現在、日本国内の APN パートナーは 776 社あります。

 

 

AWS Direct Connect 接続形態

AWS Direct Connect(ダイレクト接続)の接続形態は以下の 2 つがあります。

  • AWS Direct Connect 専用接続
  • AWS Direct Connect ホスト型接続

 

■AWS Direct Connect 専用接続

専用接続は、顧客が専用で使用される 1G または 10G のイーサネットのネットワークです。

 

 

■AWS Direct Connect ホスト型接続

ホスト型接続は、50M から最大 10G まで利用できます。

AWS Direct Connect パートナーに注文し、一部の AWS Direct Connect パートナーが AWS の承認を受けて 1G から 10G の容量のホスト接続を提供します。

 

AWS Direct Connect の料金について

AWS Direct Connect の料金は、以下の 2 つに分けて請求されます。

  • ポート時間
  • データ転送

 

 

 

 

AWS VPN CloudHub(CloudHub 接続)

AWS VPN CloudHub を利用すると VPC とオンプレ環境間の通信だけでなく、下図のように「New York」と「Los Angeles」間でも通信が出来るようになります。

本社、各支店、データセンターなどと、ハブアンドスポークのネットワーク構成が利用できます。

Amazon VPC 側に「Virtual Private Gateway(仮想プライベートゲートウェイ)」を設定し、各拠点に「Customer Gateway(カスタマーゲートウェイ)」を設定し、VPN 接続をします。

【AWS】VPC(Virtual Private Cloud)の各オプションについて

 

 

Customer Gateway(カスタマーゲートウェイ)で AWS テスト済みのデバイス

Customer Gateway(カスタマーゲートウェイ)でテスト済みのデバイス一覧は以下の URL で確認できます。

URL:https://docs.aws.amazon.com/ja_jp/vpc/latest/adminguide/Introduction.html#DevicesTested

 

  • Check Point Security Gateway
  • Cisco 各製品
  • Dell SonicWALL
  • Fortinet Fortigate
  • Juniper 各製品
  • Netgate pfSense
  • Palo Alto
  • Yamaha 各ルーター
  • Microsoft Windows Server 2008 R2 以降

などです。

 

 

 

Software VPN(ソフトウェア VPN)

Software VPN(ソフトウェア VPN)は、VPN サーバーと VPN トンネルを確立し通信をします。

VPN サーバーは、下図のように「Amazon マシンイメージ(AMI)」から各ベンダーのアプライアンスを選択することができます。

【AWS】VPC(Virtual Private Cloud)の各オプションについて

 

OpenVPN Access Server は「無料利用枠の対象」です。

【AWS】VPC(Virtual Private Cloud)の各オプションについて

 

 

 

Transit VPC

Transit VPC を使用すると、地理的に離れていたり、別々の AWS アカウントで実行しているVPC(仮想プライベートクラウド)を転送専用センターとして構築できます。

その結果、世界中の VPC と簡単に接続することができるようになります。

Transit VPC は特定の VPC を転送専用として、VPN の Hub(ハブ)のような形で利用します。

【AWS】VPC(Virtual Private Cloud)の各オプションについて

 

 

 

 

VPC ピアリング接続

  • peer ← 同僚、仲間、同等のもの、対等者、ある通信プロトコルでデータを交換する2台(ペア、pair)の装置のこと
  • peer to peer ← P2P(サーバーとクライアントといった役割がなく対等の者同士が通信をする)

 

VPC ピアリング接続は、2 つの VPC 間でのネットワーク接続です。

(ネットワークが接続されているので ping もリプライが返ってきます。)

インターネットを介さずに、オンプレミス環境を介さずに、VPC 同士を接続する形態です。

【AWS】VPC(Virtual Private Cloud)の各オプションについて

 

 

VPC ピアリング接続は、自分の AWS アカウントの VPC 間や、他の AWS アカウントの VPC との間に作成できます。

 

他の AWS アカウントということなので、異なる会社間で特定の VPC を相互接続できます。

【AWS】VPC(Virtual Private Cloud)の各オプションについて

 

会社間で重要なデータを転送するような要件があれば、セキュアな環境で利用できそうです。

 

 

メリット

  • トラフィックは、常にグローバル AWS バックボーンにとどまり、パブリックインターネットを通過することがないため、一般的なエクスプロイトや DDoS 攻撃などの脅威を減らすことができます。
  • すべてのリージョン間トラフィックは暗号化され、セキュアな環境で通信ができます。
  • VPC ピアリング接続は冗長化されているので、通信断は発生しない信頼度の高いネットワーク環境です。
  • 帯域幅のボトルネックは存在しません。

 

 

制限事項

  • VPC ピアリング接続は、あくまでも VPC 同士を接続させるためのものなので、相手側の VPC を経由して、第三の VPC に接続したり、インターネットに出ていくことはできません。
  • CIDR ブロックが重複しているとピアリング接続を作成することができません。
  • 3 つの VPC を接続する際は、それぞれがピアリング接続を作成する必要があります。

【AWS】VPC(Virtual Private Cloud)の各オプションについて

 

 

【AWS】VPC(Virtual Private Cloud)の各オプションについて

 

 

セキュアな VPC Peer 接続(VPC ピア接続)の例

VPC Peer 接続を設定する場合は、新規で「プライベートサブネット」「ルートテーブル」を作成し、メインルートテーブルには割り当てないようにします。

その結果、必要なトラフィックのみ VPC Peer 接続内を通信するようになります。

 

 

 

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

コメント

コメントする

AlphaOmega Captcha Medica  –  What Do You See?
     
 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください