VPC 接続性設計ガイド - VPN、Direct Connect、クロスリージョン接続
AWS VPCと外部ネットワーク(オンプレミス環境、他のVPC、他のクラウドプロバイダー)間の接続性は、ハイブリッドクラウド戦略の中核となります。本ガイドでは、VPN接続、AWS Direct Connect、VPC Peeringという主要な接続オプションの設計手法と選択指針を詳しく解説します。
VPN接続の設計と実装
Site-to-Site VPN
Site-to-Site VPNは、オンプレミスネットワークとVPC間にセキュアなIPsecトンネルを確立する接続方法です。
Site-to-Site VPN の構成要素
yaml
VPN 構成要素:
Virtual Private Gateway (VGW):
- VPC側のVPNエンドポイント
- BGPルーティング対応
- 冗長化設計
Customer Gateway (CGW):
- オンプレミス側のVPN設定情報
- 静的IPアドレス必須
- BGP ASN設定
VPN Connection:
- 2つのIPsecトンネル(冗長化)
- 各トンネル最大1.25Gbps
- 暗号化:AES-256、SHA-256Site-to-Site VPN設定例
yaml
VPN接続設定:
Customer Gateway:
IP Address: 203.0.113.12 (オンプレミス固定IP)
BGP ASN: 65000
Device: Cisco ASA 5505
Virtual Private Gateway:
BGP ASN: 64512 (AWS側)
Route Propagation: Enabled
VPN Connection:
Tunnel 1: 169.254.10.1/30
Tunnel 2: 169.254.10.5/30
Pre-shared Key: 自動生成またはカスタムClient VPN
Client VPNは、個別のクライアントデバイスからVPCへの安全なアクセスを提供するマネージドサービスです。
Client VPN の設計パターン
yaml
Client VPN 設定:
エンドポイント設定:
- サブネット: 複数AZに配置
- クライアントCIDR: 専用レンジ(例:192.168.0.0/22)
- 認証: 証明書ベース、Active Directory統合
アクセス制御:
- セキュリティグループ: VPN クライアント用
- Network ACL: サブネットレベル制御
- 認証ルール: ユーザー/グループベースClient VPN ベストプラクティス
yaml
セキュリティ設計:
多要素認証 (MFA):
- SAML 2.0統合
- Active Directory連携
- 証明書ベース認証
ログ記録と監視:
- CloudWatch Logs統合
- 接続ログ記録
- 異常アクセス検知AWS Direct Connect
Direct Connect の概要と利点
AWS Direct Connectは、オンプレミス環境からAWSへの専用ネットワーク接続を提供するサービスです。インターネットを経由せずに安定した高帯域幅接続を実現します。
Direct Connect の主要メリット
yaml
Direct Connect メリット:
パフォーマンス:
- 安定した帯域幅 (1Gbps-100Gbps)
- 低レイテンシー
- 帯域幅保証
コスト効率:
- データ転送料金削減
- 長期利用でのROI向上
セキュリティ:
- プライベート接続
- インターネット経由なし
- 専用線レベルの信頼性Direct Connect Gateway
Direct Connect Gatewayは、複数のVPCやリージョンに対してDirect Connect接続を共有するためのサービスです。
Direct Connect Gateway 設計パターン
yaml
Direct Connect Gateway アーキテクチャ:
中央集約型設計:
Direct Connect Location:
- 物理接続: 10Gbps Dedicated Connection
- Direct Connect Gateway経由で複数VPC接続
接続先VPC:
- Production VPC (us-east-1)
- Staging VPC (us-east-1)
- Development VPC (us-west-2)
- Shared Services VPC (us-east-1)
Virtual Interface (VIF) 設計:
Transit VIF:
- Direct Connect Gateway接続用
- BGP ルーティング
- VLAN ID: 100Link Aggregation Group (LAG)
LAGを使用して複数のDirect Connect接続を束ねることで、帯域幅の増加と冗長性を実現できます。
yaml
LAG 設定例:
LAG構成:
- 接続数: 4 x 10Gbps
- 総帯域幅: 40Gbps
- 冗長性: アクティブ-アクティブ
フェイルオーバー:
- 自動検出: BGP Keep-alive
- 切り替え時間: 数秒以内
- トラフィック再分散: 自動Direct Connect + VPN バックアップ
Direct Connectの冗長性確保のため、VPN接続をバックアップとして構成できます。
yaml
冗長性設計:
プライマリ: Direct Connect
- 帯域幅: 10Gbps
- レイテンシー: 最小
- BGP プリファレンス: 高
バックアップ: VPN Connection
- 帯域幅: 1.25Gbps x 2
- 自動フェイルオーバー
- BGP プリファレンス: 低VPC Peering
VPC Peering の基本概念
VPC Peeringは、2つのVPC間でプライベートIP通信を可能にする接続です。同一リージョン内、クロスリージョン、クロスアカウントでの接続をサポートします。
VPC Peering の特徴と制限
yaml
VPC Peering 特徴:
メリット:
- シンプルな1対1接続
- 低レイテンシー
- プライベートIP通信
制限事項:
- 推移的ルーティング不可
- CIDRブロック重複不可
- スケーラビリティ制限(VPC当たり最大125接続)VPC Peering 設計パターン
ハブ&スポーク型設計
yaml
ハブ&スポーク設計:
Hub VPC (Shared Services):
- DNS、監視、ログサービス
- 各Spoke VPCとPeering接続
- インターネットゲートウェイ共有
Spoke VPC群:
- Production VPC
- Staging VPC
- Development VPC
- Hub VPCとのみ接続(Spoke間直接接続なし)フルメッシュ型設計
yaml
フルメッシュ設計:
適用場面: 小規模環境(3-5 VPC)
接続パターン: 各VPC間で相互接続
管理複雑度: 高(n*(n-1)/2 の接続数)
用途: 開発環境、POC環境クロスリージョン VPC Peering
yaml
クロスリージョン設計:
Region 1 (us-east-1):
- Production VPC
- 本番アプリケーション
Region 2 (us-west-2):
- DR VPC
- ディザスタリカバリ環境
Peering設定:
- 暗号化: デフォルト有効
- DNS解決: 相互設定可能
- データ転送料金: リージョン間料金適用Transit Gateway による統合接続
Transit Gateway の利点
Transit Gatewayは、VPC、VPN、Direct Connectを中央のハブで接続し、複雑なネットワーク接続を簡素化します。
yaml
Transit Gateway 統合設計:
接続リソース:
- Multiple VPCs
- Direct Connect Gateway
- VPN Connections
- VPC Peering代替
メリット:
- 簡素化されたルーティング
- 中央集約管理
- スケーラブル接続
- 推移的ルーティング対応Transit Gateway ルーティング設計
yaml
ルートテーブル設計:
Production Route Table:
- 本番VPC群
- Direct Connect経由オンプレミス
- 共有サービスVPCのみアクセス
Development Route Table:
- 開発VPC群
- VPN経由オンプレミス
- インターネットアクセスのみ
Shared Services Route Table:
- DNS、監視サービス
- 全環境からアクセス可能ハイブリッドクラウド接続の選択指針
接続オプション比較
| 要件 | Site-to-Site VPN | Direct Connect | VPC Peering |
|---|---|---|---|
| 帯域幅 | 最大1.25Gbps | 1Gbps-100Gbps | VPCの制限に依存 |
| セットアップ時間 | 数分 | 数週間-数ヶ月 | 数分 |
| コスト | 低 | 中-高 | 低 |
| 安定性 | インターネット依存 | 高 | 高 |
| 用途 | 小-中規模接続 | エンタープライズ | VPC間接続 |
選択フローチャート
yaml
接続方式選択:
帯域幅要件:
< 1Gbps: Site-to-Site VPN検討
> 1Gbps: Direct Connect検討
接続先:
オンプレミス: VPN or Direct Connect
AWS内VPC: VPC Peering or Transit Gateway
トラフィック特性:
バースト的: VPN適用
継続的高負荷: Direct Connect適用
セキュリティ要件:
標準: VPN十分
高セキュリティ: Direct Connect推奨DNS統合とサービス検出
Route 53 Resolver
Route 53 Resolverは、VPCとオンプレミス間でのDNS解決を統合します。
yaml
DNS統合設計:
Inbound Endpoint:
- オンプレミスからVPC内DNS解決
- プライベートホストゾーン解決
- 各AZに配置
Outbound Endpoint:
- VPCからオンプレミスDNS転送
- 条件付きフォワーダー設定
- 企業ドメイン解決
Resolver Rules:
- ドメイン別転送設定
- 優先度設定
- アカウント間共有ハイブリッドDNS設計
yaml
統合DNS設計:
Route 53 Private Hosted Zone:
- AWS内部サービス解決
- 例:api.internal.company.com
オンプレミスDNS:
- 企業内サービス解決
- 例:erp.company.local
条件付きフォワーダー:
- .company.com → オンプレミスDNS
- .aws.company.com → Route 53セキュリティとコンプライアンス
ネットワークセキュリティ設計
yaml
多層セキュリティ:
境界セキュリティ:
- AWS WAF
- Network Firewall
- Transit Gateway ルートテーブル
通信暗号化:
- IPsec VPN暗号化
- Direct Connect MACsec
- アプリケーションレベルTLS
アクセス制御:
- セキュリティグループ
- Network ACL
- IAM ポリシーコンプライアンス対応
yaml
コンプライアンス要件:
ログ記録:
- VPC フローログ
- CloudTrail API ログ
- DNS クエリログ
データ保護:
- 転送中暗号化
- 地理的データ制限
- データ主権要件
監査対応:
- 接続設定ドキュメント化
- 変更管理プロセス
- 定期的セキュリティレビュー運用とトラブルシューティング
監視とアラート
yaml
監視項目:
接続性監視:
- VPN トンネル状態
- Direct Connect リンク状態
- BGP セッション状態
パフォーマンス監視:
- 帯域幅使用率
- レイテンシー測定
- パケットロス率
セキュリティ監視:
- 異常トラフィックパターン
- 接続失敗アラート
- 不正アクセス検知一般的な問題と対策
yaml
トラブルシューティング:
VPN接続問題:
- PSK設定確認
- ファイアウォール設定
- BGP設定確認
Direct Connect問題:
- 物理接続状態確認
- VLAN設定確認
- BGP設定確認
DNS解決問題:
- Resolver設定確認
- セキュリティグループ設定
- ルーティング設定確認まとめ
AWS VPCの接続性設計は、ビジネス要件、技術的制約、コスト考慮を総合的に評価して適切な接続方式を選択することが重要です。Site-to-Site VPN、Direct Connect、VPC Peeringそれぞれに特徴があり、ハイブリッドクラウド戦略に応じて組み合わせることで、スケーラブルで安全なネットワークアーキテクチャを構築できます。Transit Gatewayによる統合管理とRoute 53 ResolverによるDNS統合により、運用効率を高めることができます。
引用元:
- https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html
- https://docs.aws.amazon.com/directconnect/latest/userguide/Welcome.html
- https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html
- https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html
- https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html