VPCの接続
VPCは他のVPCやネットワークと接続ができる。
自社のVPC同士だけでなく、他社のVPCと相互に接続することもできる。
VPC同士を接続するためには、VPCピアリングという機能を有効にする。
また、VPCは、物理的なネットワークや他のクラウドと接続することも可能。
社内LANやオンプレミスとAWSとを接続するときは、専用線や仮想専用線(VPN)で安全に接続できる。
AWSでは、専用線としてAWS Direct Connect、仮想専用線(VPN)としてAWS VPNがある。
専用線と仮想専用線(VPN)
ネットワークとネットワークとを接続し、大きなネットワークにすることをWAN(Wide Area Network) という。
WANは昔からある概念で、本社と支社や、支社同士など、一対一でネットワーク同士を繋げる。WANを構成する方法が専用線と仮想専用線。
専用線
NTTなどの通信事業者から、安全線と呼ばれる、直結できる配線を借りて接続する方法。高価だが、安全で信頼性の高いのが特徴。
仮想専用線(VPN)
占拠する回線だけでなく、共有する回線を使って、拠点同士を暗号化した通信で接続する。安価だが信頼性は低くなる。暗号化技術が破られない限り、データは漏洩しない。
VPNのうち、インターネットを使って構成するものをインターネットVPNと呼ぶ。インターネット回線さえあれば、引き込み工事などは不要で、対応したルーターなどの機器を配置するだけで利用できる。
AWS Direct Connect
AWS Direct Connectは、VPCやAWSのサービスと他のネットワークを専用線で接続できるサービス。
AWS側とは、AWS Direct Connectエンドポイントを接続点として接続する。
専用線で接続するので、引き込み工事が必要。また、AWS側でその接続を受け入れるルーター機器を設置する必要があるので、導入は大掛かりで、月額コストもかかる。
AWS Direct Connectを使用した接続では、プライベート接続とパブリック接続が用意されている。
プライベート接続はVPCと接続する。接続するには、VPC側にプライベートゲートウェイを構成し、そこを経由して通信する。基本的に、一対一で接続するが、間にAWS Direct Connectゲートウェイを構成すると、一対多(AWS側が複数)の接続ができるようになる。
一方で、これでは、VPCに非対応のサービス(S3やDynamoDB)が使用できないので、その場合は、パブリック接続を使用する。これは、個々のサービスに直接接続する。
AWS VPN
AWS VPNは、インターネットVPNを使って、他のネットワークを接続する方法。
インターネット経由のVPNなので、社内にVPN対応のルーターさえ設置すれば、すぐに使える。その接続をVPN接続という。
具体的には、VPCにVPG(Virtual Private Gateway)を構成する。
接続には、社内のVPN対応ルーターを使用。このルーターは、市販されている一般的なVPN対応ルーターだが、AWSの用語では、カスタマーゲートウェイと呼ぶ。
AWS VPNは手軽な反面、インターネットを使用しているので、速度や品質が保証できない。回線が切れたりすると重大な問題になるときは、AWS VPNではなく、AWS Direct Connectが良い。
また、AWS VPNにはパブリック接続とプライベート接続がなく、VPCにしか接続できない。VPCに非対応のサービスに接続したいときは、一度VPCに接続し、そこから該当のサービスに接続する。
トランジットゲートウェイ
トランジットゲートウェイとは、VPCやオンプレミスネットワーク(AWS Direct ConnectゲートウェイやVPN接続)を一つに取りまとめてお互いに接続する「接続点」を提供するサービス。
異なるAWSアカウント同士の接続もできる。ネットワーク同士を接続するときは、どのネットワークからどのネットワークに接続して良いか、そして、その経路はどうなるのか1つずつ設定するのが基本。数が多くなると、VPCピアリング、AWS Direct Connectゲートウェイなど、個々に構成しなければならないため、とても複雑になる。トランジットゲートウェイは、こうした複雑なネットワークを、中央拠点に集約して、通信経路を統合的に扱うためのサービス。