はじめに
オンプレとAWSの接続でVPNやDirect Connectも会社によってプランや言い方が違う印象を感じた。
今後のオンプレ-AWS間の接続方法の判断や運用時の理解のために「VPN」「DirectConnect」とはどういうものかをまとめる。
他社情報
- 基本的にVPNでレイヤー3の領域に関しては冗長化している会社は少ない(Colt情報)
- Direct Connectを本気で利用する会社は副回線もダイレクトコネクトにする場合が多い(クラスメソッド情報)
- 1Gbps利用するならDXか閉域VPNの利用が多い(クラスメソッド情報)
- IPsec-VPN使う方もいるが利用シーンとしては帯域食わない使い方(クラスメソッド情報)
AWSとの接続においてのVPNやDirect Connectの言い方
(色んな情報を調べたり、回線業者と話したりして)
- AWSとのVPN接続と言えばIPsec VPNでの接続のことを言うケースが多い
- VPN接続の中でも閉域網と言う言葉が出れば最終的にはDirect Connectのことを指しているイメージ
- Direct Connectと言ってもAPNパートナーによっては専有型と共有型の二つがある。
社内とAWSの接続方法
| インターネット接続 | (回線業者接続) | 専用線接続 | |||||||
|---|---|---|---|---|---|---|---|---|---|
| 1.接続方式 | HTTPS/SSH | VPN接続 | VPN接続 | ||||||
| 2.VPNの種類 | インターネットVPN | エントリーVPN | IP-VPN | 広域イーサネット | |||||
| 3.インターネットVPNの種類 | IPsec-VPN | SSL-VPN | |||||||
| 4.相互データセンターへの接続方式 | 物理専用線 | AWS Direct Connectパートナーサービス(APNパートナーサービス) | |||||||
| 5.パートナーサービスのDirect Connectの契約プラン | 共有型(共有port) IP-VPN or 広域イーサネット |
専有型(専有port) IP-VPN or 広域イーサネット |
|||||||
| 一般的な考え方・言い方 | インターネット接続 | 閉域網接続 | |||||||
| レイヤ | レイヤ3(IPのみ) | レイヤ2(IP以外も可) | |||||||
| 通信ネットワークの形態 | ベストエフォート | ギャランティ型(帯域保証・確保型) | |||||||
1. 接続方式
HTTPS/SSH
- インターネット回線
- ブラウザでアクセスするときにHTTPSを使ったり、SSHクライアントツールを使ってアクセス
VPN接続
- 仮想専用回線
- インターネット接続と閉域網接続(通信事業業者が用意している回線を利用する)の大きく二つにまず分類出来る。
- その中でも細かく分けられる( 2. VPNの種類 を参照すると分かりやすいかも)
参考URL:
https://www.gate02.ne.jp/column/26/
AWS Direct Connect
- AWSが提供する専用線接続サービス
- ユーザーのオフィスやオンプレミスのデータセンターからAWS環境までの専用ネットワークを確立出来る
- AWSはセキュリティ上の理由からデータセンターの場所を公表していない
- AWSから提供されている帯域は1Gbps or 10Gbpsの2種類
- DirectConnectパートナーの持っているプランによって帯域は細分される
- インターネット回線を経由しないため、高いセキュリティがある
- AWSからインターネットへの送信量よりもDirect Connect通信料金の方が安い
参考URL:
https://www.bit-drive.ne.jp/managed-cloud/column/column_19.html
https://www.business-on-it.com/2003-aws-direct-connect/
2. VPNの種類
インターネット接続
インターネットVPN
- 社内オフィスにVPNルーターを設置する
- AWS環境(VPC)にIPsec VPNで接続
- インターネット回線をベースとするため、速度は契約しているインターネット回線の帯域に影響する
閉域網接続
エントリーVPN
- 事業者網を利用するが、高い回線品質は保証していないVPN
IP-VPN
- 高い回線品質を保証するVPN
- 例:Colt https://www.colt.net/wp-content/uploads/2019/03/asia-services-ipvpn-jp.pdf
- 広域イーサネットとの比較はIPのみの接続になる
広域イーサネット
- 高い回線品質を保証しつつ、様々なプロトコルに対応するVPN
- 例:Colt https://www.colt.net/wp-content/uploads/2019/03/asia-ethernet-services-jp.pdf
参考URL:
https://tech.nikkeibp.co.jp/it/atcl/column/17/011900625/011900003/
3. インターネットVPNの種類
IPsec-VPN
- ネットワーク層
- 決まった拠点間の通信が多い場合に利用されることが多い
- 組織間を繋ぐプライベートネットワークとして開発された
- Webブラウザなどのアプリケーションとは無関係に、全ての通信を自動暗号化している
- 通信の出口となるIP層で暗号化・認証を行う
- IP層で暗号化するため、アプリケーションごとにウェブ化したり、暗号化したりする必要がない。
SSL-VPN
- セッション層
- VPNを通じて社内情報にアクセスさせたい端末が多い場合に利用されることが多い
- WebブラウザからサーバにSSL通信出来るように開発された
- リバースプロキシ,ポートフォワーディング,L2フォワーディングの3方式ある
※メリット・デメリットとしてまとめようとしましたが、必要条件によってどちらを使うか変わると思うので箇条書きにしました。
参考URL:
https://it-trend.jp/vpn/article/48-0063
https://jp.globalsign.com/blog/articles/vpn_structure.html
https://www.yamanjo.net/knowledge/internet/internet_36.html
https://it-trend.jp/remote_access/article/147-0017
4. 相互データセンターへの接続方式
物理専用線
- ユーザー自身がエクイニクスの相互接続ポイントにラックスペースを確保して専用線を直接引き込む
AWS Direct Connectパートナーサービス
- 通信事業者などのAWS Direct Connectパートナーが提供するサービスを利用する
- AWS接続提供プラン-EQUINIX
- AWS接続提供プラン-TOKAIコミュニケーションズ
- AWS接続提供プラン-Coltテクノロジーサービス
- AWS接続提供プラン-ARTELIA
※パートナー毎のプラン等もまとめてあるが公開していいのか迷ったため、今回は非公開
5. パートナーサービスのDirect Connectの契約プラン
専有型/専有タイプ(専用ポート)
- 1Gbps以上の回線を契約する場合にオススメされることが多い
- AWS が指定するデータセンターにて、ルータに直接接続します。
共有型/共有タイプ(共有ポート)
- 1Gbps未満の回線を契約する場合にオススメされることが多い
- 複数の利用者を束ねて、Direct Connect を共有するイメージ
- 共有とはいえ、専有できる帯域が保証されている場合が殆ど
参考URL:
https://xn--o9j8h1c9hb5756dt0ua226amc1a.com/?p=2669
https://www.business-on-it.com/2003-aws-direct-connect/
https://alexander.achanblog.mydns.jp/?p=181
https://businessnetwork.jp/tabid/65/artid/3836/page/2/Default.aspx
https://alexander.achanblog.mydns.jp/?p=181