Cloud Service
AWS Site-to-Site VPN
オンプレ拠点と VPC を IPsec で暗号化された拠点間 VPN で接続するマネージドな閉域通信サービス
- 1.オンプレ拠点と AWS を IPsec トンネルで結ぶマネージドな拠点間 VPN で、短時間に構成できる
- 2.各接続は冗長化のために 2 本のトンネルを持ち、静的ルートか BGP による動的ルーティングを選べる
- 3.Direct Connect のバックアップや、専用線を引くほどでない拠点接続のハイブリッド経路として使われる
AWS Site-to-Site VPN は、オンプレミスのデータセンターやオフィスの拠点ネットワークと AWS のネットワークを、インターネット上に張った IPsec トンネルで接続するマネージドサービスです。AWS 側のトンネル終端を AWS が運用するため、利用者は物理回線を手配することなく、短時間で暗号化された拠点間接続を立ち上げられます。
解決する課題
オンプレミス拠点から VPC 内のリソースへ安全に到達したいとき、専用線である Direct Connect は安定していますが、物理回線の手配に日数を要し、コストもかかります。検証環境や小規模拠点、あるいは恒久回線を引くほどでない一時的な接続では、より手軽で迅速に立ち上げられる手段が求められます。
Site-to-Site VPN は、既存のインターネット回線の上に IPsec で暗号化されたトンネルを張ることで、この課題に対応します。AWS 側のトンネル終端はマネージドで提供されるため、利用者はオンプレミス側のルータ(カスタマーゲートウェイ機器)を設定するだけで接続を確立できます。経路はインターネット経由のためベストエフォートで帯域や遅延は保証されませんが、迅速さと低い初期コストが利点です。Direct Connect の障害時バックアップ経路としても広く使われます。
主要概念と用語
- カスタマーゲートウェイ(Customer Gateway): オンプレミス側のトンネル終端を表す AWS 上のリソース。拠点ルータのパブリック IP アドレスや BGP の自律システム番号などの情報を登録する。
- カスタマーゲートウェイデバイス: 実際にオンプレミス拠点に設置された物理または仮想のルータやファイアウォール。IPsec トンネルの片側を終端する。
- 仮想プライベートゲートウェイ(Virtual Private Gateway、VGW): VPC に 1 つアタッチする AWS 側のトンネル終端。単一の VPC への VPN 接続を終端する。
- トランジットゲートウェイ(Transit Gateway): 複数の VPC やオンプレ網を集約するハブ。VPN を Transit Gateway に接続すると、複数 VPC への到達や拠点間の中継が可能になる。
- VPN 接続(Site-to-Site VPN Connection): カスタマーゲートウェイと AWS 側ゲートウェイの間に確立する論理的な接続。内部に冗長化のための 2 本の IPsec トンネルを持つ。
- IPsec トンネル: 暗号化された通信路。1 つの VPN 接続につき 2 本提供され、異なる AWS 側のエンドポイントで終端されることで冗長性を確保する。
- 静的ルーティング: 相手側のプレフィックスを手動で登録する方式。BGP を話せない機器でも利用できる。
- 動的ルーティング(BGP): BGP で経路を交換する方式。経路の自動学習とフェイルオーバーが容易になり、Direct Connect との併用時の経路制御にも適する。
- アクセラレーテッド VPN: AWS Global Accelerator のエッジネットワークを経由させ、トンネルの通信品質を安定させるオプション。Transit Gateway と組み合わせて利用する。
仕様・制限・クォータ
1 つの VPN 接続は、冗長性のために 2 本の IPsec トンネルで構成されます。各トンネルは AWS 側の異なるエンドポイントで終端されるため、片方のトンネルやメンテナンスの影響を受けてももう一方で通信を継続できます。可用性をさらに高めるには、オンプレミス側にも 2 台のカスタマーゲートウェイ機器を用意し、それぞれに VPN 接続を張る構成を採ります。
各トンネルにはスループットの上限があり、これを大きく超える帯域が必要な場合は、複数のトンネルや接続にトラフィックを分散する設計、あるいは Direct Connect の併用を検討します。動的ルーティングでは BGP で広告・受信できる経路数に上限があり、これを超えるとセッションに影響します。VPN 接続数や 1 つのゲートウェイに紐づけられる接続数などにもアカウント単位のクォータが定められています。具体的な数値はリージョンや時期で変わり得るため、設計時には最新の公式ドキュメントとアカウントごとのクォータを確認してください。
1 本のトンネルだけで運用すると、AWS 側のメンテナンスや障害でそのトンネルが切れたときに通信が止まります。設計時には必ず 2 本のトンネルを両方アクティブに使えるようにし、オンプレミス機器側のフェイルオーバーを構成してください。
内部の仕組み
VPN 接続を作成すると、AWS 側に 2 つのトンネルエンドポイントが割り当てられ、それぞれにパブリック IP アドレスと事前共有鍵などの設定情報が払い出されます。利用者はこの情報をもとにオンプレミス側のカスタマーゲートウェイ機器を設定し、IKE による鍵交換を経て IPsec のセキュリティアソシエーションを確立します。確立すると 2 本のトンネルが立ち上がります。
トラフィックの経路選択は、静的ルーティングなら手動で登録したルートに、動的ルーティングなら BGP で交換した経路に従います。AWS 側のルートテーブルでは、宛先がオンプレミスのプレフィックスである通信を VGW または Transit Gateway へ向けます。VGW にアタッチした場合はルート伝播を有効にすることで、BGP で学習した経路を VPC のルートテーブルへ自動反映できます。
2 本のトンネルのうち、一般には片方を主、もう片方を待機として扱う構成が多いですが、機器とルーティング設計によっては両方を同時に使って負荷を分散することもできます。トンネルがダウンすると BGP セッションも切れ、経路が引き上げられてもう一方のトンネルへフェイルオーバーします。
設計パターン / ベストプラクティス
可用性を重視する基本構成では、AWS が提供する 2 本のトンネルに加えて、オンプレミス側にも 2 台のカスタマーゲートウェイ機器を配置し、合計で複数の独立した経路を確保します。これにより、AWS 側のエンドポイント障害にもオンプレミス機器の障害にも耐えられます。
ルーティングはできる限り BGP による動的ルーティングを採用すると、経路の自動学習とフェイルオーバーが容易になり、運用の手間が減ります。複数の VPC や拠点を束ねる場合は、VGW ではなく Transit Gateway に VPN を接続し、ハブとして集約します。Direct Connect を主経路、Site-to-Site VPN をバックアップ経路とするハイブリッド構成も定番で、BGP の属性を調整して通常時は Direct Connect を優先させ、障害時に VPN へ切り替わるようにします。
トンネルの通信品質を安定させたい場合は、Global Accelerator を活用するアクセラレーテッド VPN を検討します。これは Transit Gateway と組み合わせて利用します。
機器が BGP に対応しているなら、静的ルーティングより動的ルーティングを選ぶのが基本です。経路の追加や障害時の切り替えが自動化され、Direct Connect との併用時にも経路の優先制御を一貫して扱えます。
運用・監視
VPN 接続では、各トンネルの状態(アップまたはダウン)や、トンネルを流れるデータ量などのメトリクスを Amazon CloudWatch で監視できます。2 本のうち片方でも長時間ダウンしている状態は冗長性が失われたサインであり、トンネル状態のメトリクスにアラームを設定して早期に検知することが重要です。
BGP を使う場合は、セッションの確立状態と受信経路数を継続的に確認し、セッション断や経路数の異常を捉えます。トンネルにはアイドル時にセッションが切れる挙動があるため、常時通信が乏しい経路ではキープアライブの設定や定期的な疎通確認で接続を維持します。冗長構成を組んでいるなら、定期的に片方のトンネルや機器を意図的に切り離し、もう一方へ正しくフェイルオーバーすることをテストしておくと安心です。オンプレミス機器の設定はバージョン管理し、復旧時に再現できるようにしておきます。
コスト
Site-to-Site VPN の費用は主に、VPN 接続が確立している時間に対する接続時間料金と、VPN を経由して AWS から外向きに送出したデータに対するデータ転送料金で構成されます。アクセラレーテッド VPN を有効にした場合は、Global Accelerator の利用に伴う追加費用が発生します。
Direct Connect と比べると初期コストや固定費は低く抑えられますが、インターネット経由のため大量データの常時転送には向かず、転送量が増えるとデータ転送料金の比重が大きくなります。少量の通信やバックアップ経路としては割安ですが、定常的に大容量を流すなら Direct Connect との比較が必要です。具体的な金額は変動するため、最新の料金ページで確認してください。
セキュリティ
Site-to-Site VPN は IPsec によりトンネル区間の通信を暗号化するため、インターネット経由であっても通信内容の機密性と完全性が保たれます。鍵交換と暗号化のアルゴリズムは複数から選べ、要件に応じて強度の高い方式やトンネルごとの設定を選択できます。事前共有鍵を使う場合は十分に強いものを設定し、安全に管理します。
到達範囲は、AWS 側ではルートテーブルと VPC のセキュリティグループ、ネットワーク ACL で制御し、オンプレミス側ではカスタマーゲートウェイ機器のポリシーで制御します。最小権限の原則に従い、トンネル越しに到達できるプレフィックスを必要最小限に絞ります。設定変更や接続の作成・削除は AWS CloudTrail に記録され、監査に利用できます。
事前共有鍵が漏えいすると、トンネルのなりすましや盗聴のリスクが生じます。鍵は推測されにくい十分に長い値を用い、安全な経路で配布・保管してください。要件が高い場合は証明書ベースの認証の利用も検討します。
Well-Architected の観点
信頼性の観点では、AWS が提供する 2 本のトンネルを両方活用したうえで、オンプレミス側にも冗長な機器を配置し、単一障害点を排除することが中心になります。Direct Connect をバックアップする、あるいは Direct Connect にバックアップされる立場として、フェイルオーバーの定期テストを行うことも信頼性を支えます。
セキュリティの観点では、インターネット経由でも IPsec で暗号化される点を活かしつつ、鍵の管理と到達経路の最小化を徹底します。コスト最適化の観点では、初期コストの低さと従量課金の特性を踏まえ、転送量が大きくなる用途では Direct Connect との使い分けを検討します。運用上の優秀性の観点では、動的ルーティングと監視・アラームによって運用を自動化・省力化します。
試験で問われるポイント
- 1 つの VPN 接続は冗長化のために 2 本の IPsec トンネルを持ち、各トンネルが AWS 側の異なるエンドポイントで終端される点。
- 高可用性にはオンプレミス側にも 2 台のカスタマーゲートウェイ機器を用意し、複数の独立した経路を確保する構成が問われる。
- 単一 VPC への接続は仮想プライベートゲートウェイ、複数 VPC や拠点の集約には Transit Gateway を使う使い分け。
- 静的ルーティングと動的ルーティング(BGP)の違いと、BGP が経路の自動学習とフェイルオーバーに有利である点。
- Direct Connect を主経路、Site-to-Site VPN をバックアップ経路とするハイブリッド構成と、BGP による経路優先制御。
- VPN はインターネット経由でベストエフォートだが IPsec で暗号化される点。専用線の Direct Connect との比較。
- 通信品質を安定させたい場合のアクセラレーテッド VPN(Global Accelerator 経由)の利用。
関連サービス・比較
オンプレミスと AWS を接続する手段として、Site-to-Site VPN は専用線の Direct Connect とよく比較されます。VPN はインターネット経由でベストエフォートですが手軽かつ迅速に開通でき、IPsec で暗号化されます。Direct Connect は専用線による安定性と低遅延が強みですが、物理回線の手配に日数を要し、既定では暗号化されません。実務では両者を組み合わせ、Direct Connect を主経路、VPN をバックアップとする構成が多く採られます。
| 観点 | Site-to-Site VPN | Direct Connect |
|---|---|---|
| 接続経路 | インターネット経由の IPsec トンネル | 専用線による閉域接続 |
| 帯域と遅延 | ベストエフォートで変動 | 安定し低遅延 |
| 開通までの期間 | 短時間で構成可能 | 物理手配で日数を要する |
| 暗号化 | IPsec で暗号化 | 既定では非暗号化 |
| 初期コスト | 低く手軽 | 回線手配でコスト高 |
| 主な用途 | 手軽な接続やバックアップ経路 | 大容量や安定重視の常時接続 |
ハンズオン / CLI例
以下は AWS CLI でカスタマーゲートウェイと仮想プライベートゲートウェイを作成し、両者を結ぶ VPN 接続を立ち上げる最小の流れの例です。リソース ID や IP アドレスは実際の値に置き換えてください。
# オンプレミス拠点ルータを表すカスタマーゲートウェイを作成(BGP の ASN を指定)
aws ec2 create-customer-gateway \
--type ipsec.1 \
--public-ip 203.0.113.10 \
--bgp-asn 65000
# VPC 側のトンネル終端となる仮想プライベートゲートウェイを作成
aws ec2 create-vpn-gateway \
--type ipsec.1
# 仮想プライベートゲートウェイを対象の VPC にアタッチ
aws ec2 attach-vpn-gateway \
--vpn-gateway-id vgw-0123456789abcdef0 \
--vpc-id vpc-0123456789abcdef0
# カスタマーゲートウェイとゲートウェイを結ぶ VPN 接続を作成(動的ルーティング)
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--vpn-gateway-id vgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
# 各トンネルの状態を確認
aws ec2 describe-vpn-connections \
--vpn-connection-ids vpn-0123456789abcdef0
AWS Service
AWS Site-to-Site VPNを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ネットワーキング
比較で見る軸
クラウド: AWS / カテゴリ: ネットワーキング / 難易度: intermediate
導入後に効く点
各接続は冗長化のために 2 本のトンネルを持ち、静的ルートか BGP による動的ルーティングを選べる
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- AWS
- カテゴリ
- ネットワーキング
- 難易度
- intermediate
- 関連資格
- ANS-C01 / SAA-C03
- 設計柱
- reliability / security
判断チェックリスト
- 自社の用途が「ネットワーキング / reliability」に近いか確認する。
- 強みである「オンプレ拠点と AWS を IPsec トンネルで結ぶマネージドな拠点間 VPN で、短時間に構成できる」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。