【AWS Direct Connect (DX)】
概要
Direct Connect (DX) は、オンプレミス環境とAWSの間をつなぐ専用の物理的な回線で、高速かつ安定した帯域幅を提供します。
接続方式
専用回線による直接接続。
パフォーマンス
高速かつ一貫性のあるスループットを提供し、ギガビット単位(例:1 Gbps, 10 Gbps)の帯域幅が選択可能。
一貫した低遅延が特徴で、大量のデータを転送する際や、低遅延が必要なアプリケーションに最適。
セキュリティ
デフォルトでは暗号化が提供されないため、必要に応じてVPNトンネル(IPSec)などで暗号化を追加する。
コスト
専用回線のため、一般的にVPNよりコストが高いが、長期の安定した接続が必要な場合に適している。
主なユースケース
AWSとオンプレミス間で、大容量データの転送やデータセンターの相互接続が必要な場合。
金融業界や医療業界など、低遅延で高帯域幅が求められるシステムでの利用。
Virtual Interface (VIF)の種類
Private VIF (プライベートVIF)
主な用途
VPCへのプライベート接続
Private VIFは、Direct ConnectからAmazon VPC (Virtual Private Cloud) に直接接続するために使用され、主にプライベートIPアドレスを用いてAWS内部のリソースにアクセスします。
特徴
AWS VPCへの直接アクセスを提供し、プライベートIPで接続するため、インターネットを経由しません。
インターネット非依存で、オンプレミスからAWS VPC内のEC2インスタンスやRDSなどのリソースにアクセスする際に適しています。
VPCのルーティングテーブルに従い、サブネットのセキュリティグループやネットワークACLにより制御されます。
ユースケース例
オンプレミスとAWS間でデータベースやバックエンドサーバーにアクセスする。
企業内ネットワークとVPCの間での通信をプライベートに維持したい場合。
Public VIF (パブリックVIF)
主な用途
AWSのパブリックサービスへのアクセス
Public VIFは、AWSが提供するパブリックIPを持つサービス(例:S3、DynamoDB、SNSなど)にアクセスするために使用され、パブリックIP経由での接続となります。
特徴
AWSリージョン全体のパブリックサービス(例:S3、DynamoDBなどのパブリックエンドポイント)に対して、Direct Connect経由でパブリックIPアドレスを使用して接続します。
VPC接続とは異なり、インターネット経由ではないものの、アクセスするリソースがパブリックエンドポイントにあるためパブリックIPを利用します。
Public VIFのルーティングテーブルにより、AWSパブリックサービスへのルートが設定されます。
ユースケース例
オンプレミスからS3に対してデータのアップロード・ダウンロードを行う。
VPC内のリソースではなく、AWSパブリックサービスを低遅延かつインターネットを経由せずに利用する必要がある場合。
【AWS VPN】
概要
AWS VPN は、インターネット経由でオンプレミスとAWS VPCの間を接続するための仮想プライベートネットワークで、IPSecプロトコルを使った暗号化により安全な通信が行えます。
接続方式
インターネット経由の暗号化トンネル(IPSec VPNトンネル)を利用。
パフォーマンス
インターネット回線に依存するため、スループットはインターネットの品質や帯域幅に左右される。
DXよりも遅延が発生しやすく、スループットが安定しない可能性があるため、大容量データの転送には不向き。
セキュリティ
デフォルトでIPSec暗号化が提供され、インターネット経由でも安全な通信が可能。
コスト
DXに比べると、インターネットを利用するため初期コストが低い。小規模な接続や、突発的・一時的な接続に適している。
主なユースケース
中小規模のアプリケーションで、コストを抑えつつオンプレミスからAWSへの安全な接続が必要な場合。
DXを使用するまでもないが、特定のリソースに対してインターネットを介したセキュアなアクセスが必要な場合。
比較表
| 特徴 | AWS Direct Connect (DX) | AWS VPN |
|---|---|---|
| 接続方式 | 専用回線 | インターネット経由のVPNトンネル |
| スループット | 高速かつ安定(1~10 Gbps) | インターネット依存(不安定な場合あり) |
| 遅延 | 一貫した低遅延 | インターネットの品質に依存 |
| 暗号化 | デフォルトで暗号化なし、追加可能 | デフォルトでIPSec暗号化 |
| コスト | 高コスト、長期利用向き | 低コスト、短期・小規模向き |
| 主な用途 | 大容量データ転送、低遅延が必要な場合 | 簡易かつセキュアな接続が必要な場合 |
AWS Direct Connect (DX) と AWS VPN を併用するユースケース
①DX接続の暗号化を必要とする場合
ユースケース
セキュリティポリシーやコンプライアンスの要件として、DX経由の通信が暗号化されていることを求められる場合。
解決方法
DX接続自体はデフォルトでは暗号化されていませんが、VPNトンネル(IPSec VPN)を併用することで暗号化が可能になります。DXの上でVPNを走らせ、VPNトンネルを介してDX接続の暗号化が実現できます。
メリット
安定したDXのパフォーマンスを維持しつつ、VPNで暗号化を追加することにより、セキュリティを強化。
②DXの冗長性とフェールオーバーを確保する場合
ユースケース
重要な接続のため、障害時にも接続が途切れないように、DXの冗長性やバックアップを確保したい場合。
解決方法
DXとVPNを併用し、普段はDXをメインに利用し、障害発生時にはインターネット経由のVPNへフェールオーバーさせる構成にします。
メリット
DXが使用できない場合でも、VPNを利用して接続が維持でき、可用性が向上します。
③パフォーマンス重視のトラフィックと一般的なトラフィックを分けたい場合
ユースケース
低遅延・高帯域幅が求められるトラフィックと、セキュリティは確保しつつもパフォーマンス要件がそれほど高くないトラフィックを分けて運用したい場合。
解決方法
重要なトラフィックはDXを介し、他のトラフィックにはVPNを利用して帯域幅の確保や優先度の設定を行います。
メリット
必要なリソースを最適化し、コストを抑えつつパフォーマンスも確保できます。
④ハイブリッドクラウド環境でのセキュアなデータ転送
ユースケース
ハイブリッドクラウド環境での機密データのやり取りを行う際に、インターネット経由と専用回線を使い分けたい場合。
解決方法
機密データはDX上でVPNを併用して暗号化した上で転送し、非機密データはVPNのみによる接続にするなど、データの機密性や重要度に応じて使用を分けます。
メリット
高度なセキュリティが確保でき、ハイブリッドクラウド環境での安全なデータ管理が可能になります。
⑤マルチリージョンまたはグローバル接続でのバックアップや一貫性の維持
ユースケース:
グローバルに展開されたAWSリソースとオンプレミス間の接続で、万が一の接続障害や回線の問題に備えたい場合。
解決方法
リージョン間でDXとVPNを併用し、バックアップ回線としてVPNを設定しておくことで、一貫した接続の維持を図ります。
メリット
グローバルにまたがるシステムでも、一貫性のある通信が確保され、万が一の際の迅速な復旧が可能になります。
参考サイト