AWS VPC間接続：VGWとTGWを徹底比較 - どちらを選ぶべきか

概要

AWSのクラウド環境では、VPC間の接続やオンプレミス環境との連携が重要な課題となります。Virtual Private Gateway (VGW)とTransit Gateway (TGW)は、この課題に対するAWSの主要なソリューションです。本記事では、これら2つのサービスの基本的な概念から、詳細な機能比較、そして適切なユースケースまでを徹底解説します。シンプルなVPN接続が必要な場合から、複雑なマルチVPC・ハイブリッドクラウド環境の構築まで、ニーズに合った選択ができるよう、アーキテクチャ設計の判断材料を提供します。AWSネットワーキングの最適化を目指すエンジニアやアーキテクトの方々に役立つ内容となっています。

目次

1. AWSネットワーキングの基礎
2. Virtual Private Gateway (VGW)とは
3. Transit Gateway (TGW)とは
4. VGWとTGWの詳細比較
5. ユースケース別推奨サービス
6. 実装のベストプラクティス
7. 終わりに
8. 参考文献・参考サイト

1. AWSネットワーキングの基礎

VPCの概念おさらい

Amazon Virtual Private Cloud (VPC)は、AWSクラウド内にある論理的に分離されたネットワーク空間です。VPCを使うことで、ユーザーは自分専用の仮想ネットワークを定義し、IPアドレス範囲の選択、サブネットの作成、ルートテーブルやネットワークゲートウェイの設定などを自由に行うことができます。

VPCは家に例えることができます。家には外壁があり、部屋（サブネット）があり、そして玄関（ゲートウェイ）があります。家の中では自由に行動できますが、外に出るには玄関を通る必要があるのと同じように、VPC内のリソースは指定されたゲートウェイを通じて外部と通信します。

接続オプションの全体像

AWSでは、VPC間の接続やオンプレミス環境との接続に複数のオプションが用意されています：

1. VPC Peering - 2つのVPC間を直接接続
2. Virtual Private Gateway (VGW) - VPCとオンプレミス環境間のVPN接続やDirect Connect接続
3. Transit Gateway (TGW) - 複数のVPC、VPN接続、Direct Connect接続の中央ハブ
4. Direct Connect - AWS環境とオンプレミス環境間の専用線接続
5. PrivateLink - VPC内のプライベートサービスへのアクセス提供

今回の記事では、この中でも特に重要な役割を果たすVGWとTGWに焦点を当てて詳しく見ていきます。

2. Virtual Private Gateway (VGW)とは

定義と基本概念

Virtual Private Gateway (VGW)は、Amazon VPCとオンプレミスネットワーク間の安全な通信を可能にするAWSのマネージドサービスです。VGWは主に以下の2種類の接続に使用されます：

• Site-to-Site VPN接続 - インターネット経由での暗号化接続
• Direct Connect - AWS環境とオンプレミス環境間の専用線接続

AWS公式ドキュメントでは、VGWを「VPCとお客様のネットワーク間の接続の終端点となるゲートウェイ」と定義しています。

主な特徴と機能

1. 簡単なセットアップ - AWSマネジメントコンソールからわずか数クリックで作成可能
2. 冗長性 - デフォルトで高可用性を提供（AWS側に2つのVPN終端点を自動的に作成）
3. BGPルーティングサポート - 動的なルーティングプロトコルを使用可能
4. IPsecプロトコル対応 - 標準的な暗号化プロトコルを使用
5. Direct Connectとの親和性 - AWS Direct Connectとシームレスに統合

アーキテクチャ概要

VGWは一般的に次のような構成で使用されます：

1. VPC内にVGWを作成
2. VGWとオンプレミスのルーターやファイアウォールとの間にVPN接続またはDirect Connect接続を確立
3. VPCのルートテーブルを更新して、オンプレミス宛のトラフィックをVGW経由で送信

VGWは道路に例えると、VPCという町からオンプレミス環境という別の町への専用道路のようなものです。この道路は一般的に1対1の接続を想定しており、1つのVPCから1つの外部ネットワークへの接続に適しています。

3. Transit Gateway (TGW)とは

定義と基本概念

Transit Gateway (TGW)は、複数のVPC、VPN接続、Direct Connect接続を相互接続するためのネットワークトランジットハブとして機能するAWSのサービスです。TGWは2018年末に導入された比較的新しいサービスで、従来のVPCピアリングやVGWよりもスケーラブルな接続オプションを提供します。

AWS公式ドキュメントによれば、TGWは「VPCとオンプレミスネットワークを接続するために使用できるネットワークトランジットハブ」と定義されています。

主な特徴と機能

1. ハブアンドスポーク設計 - 中央ハブとして機能し、すべての接続を一元管理
2. 大規模なネットワークのサポート - 何千もの接続をサポート
3. クロスリージョン接続 - 異なるAWSリージョン間の接続をサポート
4. マルチアカウント接続 - 異なるAWSアカウント間の接続をサポート
5. 高度なルーティング機能 - ルートテーブルの分離や制御が可能
6. IPv6サポート - IPv6トラフィックにも対応
7. マルチキャストサポート - マルチキャスト通信にも対応

アーキテクチャ概要

TGWのアーキテクチャは次のようになります：

1. リージョン内にTGWを作成（リージョンリソース）
2. VPC、Direct Connect、Site-to-Site VPNなどをTGWにアタッチ
3. 必要に応じてルートテーブルを設定して、トラフィックをコントロール

TGWは交通システムに例えると、大都市の中央駅のようなものです。様々な路線（VPC、オンプレミス、他のクラウド）がこの中央駅を介して相互に接続され、乗り換え（ルーティング）が容易になります。

4. VGWとTGWの詳細比較

スケーラビリティの比較

VGW:

• 1つのVGWは1つのVPCに関連付け
• VPC間接続には不向き（VPC数が増えると接続管理が複雑化）
• 接続数に制限あり（VPCごとに最大10の接続,上限は今後変更される可能性有り）

TGW:

• 1つのTGWで複数のVPCを接続可能
• 最大5000のVPCアタッチメントをサポート
• スターネットワークトポロジーで管理が容易

ルーティング機能の比較

VGW:

• シンプルなルーティング機能
• 基本的なBGPサポート
• VPCルートテーブルとの直接統合

TGW:

• 複数のルートテーブルをサポート
• ルート伝播の精細な制御
• 高度なルーティングポリシー設定
• マルチキャストルーティングのサポート

管理の容易さ

VGW:

• 設定がシンプル
• VPC数が少ない環境では管理が容易
• 複数VPC間の接続管理は手動で複雑

TGW:

• 中央集中型の管理
• AWS Network Managerとの統合
• 複雑なネットワーク環境でも一元管理が可能
• CloudWatchとの統合によるモニタリング強化

コスト構造の違い

VGW:

• VGW自体の使用料は無料
• データ転送料金のみが発生
• シンプルな環境では低コスト

TGW:

• TGWアタッチメントごとの時間料金
• データ処理料金
• 初期コストは高いが、接続数が多い場合のスケールメリットあり

実際の料金例（2025年4月時点、東京リージョン）：

• TGW: アタッチメントあたり$0.07/時間、処理データ$0.02/GB
• VGW: アタッチメント無料、データ転送料金のみ

セキュリティ機能の比較

VGW:

• IPsecによる暗号化
• セキュリティグループとの統合
• シンプルなセキュリティモデル

TGW:

• 細かなルートテーブル制御によるセグメンテーション
• AWS RAM（Resource Access Manager）との統合
• マルチアカウントセキュリティ管理
• VPCセキュリティグループとの連携

サポートされる接続タイプ

VGW:

• Site-to-Site VPN
• AWS Direct Connect
• ハイブリッド接続（VPN over Direct Connect）

TGW:

• 上記すべて +
• VPC Peering
• クロスリージョン接続
• マルチアカウント接続
• Transit Gateway Connect（SD-WAN連携）

5. ユースケース別推奨サービス

シンプルな単一VPC接続のシナリオ

推奨：VGW

シンプルに1つのVPCとオンプレミス環境を接続するだけの場合、VGWがコスト効率と管理のシンプルさの面で優れています。

例えば：

• 小規模スタートアップがオンプレミスサーバーとAWS上の開発環境を接続
• 単一のアプリケーションをAWSに移行し、一時的にオンプレミスデータベースにアクセスする必要がある場合

複数VPC/リージョン接続のシナリオ

推奨：TGW

複数のVPCやリージョンをまたぐ接続が必要な場合は、TGWが圧倒的に管理しやすく効率的です。

例えば：

• 開発、テスト、本番環境など複数の環境をAWS上に構築
• グローバル展開で複数リージョンのVPCを相互接続する必要がある場合
• 合併・買収によりAWSアカウントが複数存在する企業

ハイブリッドクラウド構成

単純な構成の場合：VGW
複雑な構成の場合：TGW

ハイブリッドクラウドでは、接続の複雑さによって選択が分かれます：

• 1つのオンプレミスデータセンターと1つのVPCの接続ならVGW
• 複数のデータセンターや拠点、複数のVPCを接続する場合はTGW

マルチクラウド連携

推奨：TGW

AWS、Azure、GCPなど複数のクラウドプロバイダーを使用する環境では、TGWのルーティング柔軟性と拡張性が有利です。Transit Gateway Connectを使用することで、SD-WAN機器との統合も容易になります。

6. 実装のベストプラクティス

VGW実装時の注意点

1. 冗長性の確保

   • デュアルトンネルVPNを設定して冗長性を確保
   • カスタマーゲートウェイも冗長構成に

2. BGPの活用

   • 可能な限り静的ルーティングより動的ルーティング（BGP）を使用
   • ASN番号の適切な選択と管理

3. MTU設定の最適化

   • VPNでは通常、MTUを1400以下に設定（カプセル化オーバーヘッドを考慮）

4. モニタリングの設定

   • CloudWatchメトリクスでトンネルステータスを監視
   • VPNログを取得して分析

TGW実装時の注意点

1. ルートテーブル設計

   • トラフィックフローを適切に計画
   • セキュリティ要件に基づいたルートテーブルの分離

2. アタッチメント整理

   • 論理的なグループでアタッチメントを整理
   • 環境やセキュリティ境界に基づいた分類

3. CIDRの重複回避

   • 接続するネットワーク間でCIDRが重複しないよう事前計画
   • プライベートIPアドレス空間の適切な割り当て

4. コスト最適化

   • 不要なアタッチメントの削除
   • データ転送パターンの最適化

移行シナリオ

VGWからTGWへの移行を検討する場合のステップ：

1. 評価と計画

   • 現在のネットワークトポロジーの評価
   • 移行の影響範囲を特定

2. 並行運用期間の設定

   • TGWを並行して設定し、VGWと共存させる
   • 小規模から徐々に移行

3. テストと検証

   • 少量のトラフィックでTGW経由のルートをテスト
   • パフォーマンスとルーティングを検証

4. 完全移行

   • トラフィックを完全にTGWにカットオーバー
   • 問題がないことを確認後、VGWリソースを撤去

7. 終わりに

本記事では、AWS Virtual Private Gateway (VGW)とTransit Gateway (TGW)の詳細な比較を行いました。どちらのサービスもAWSネットワーキングにおいて重要な役割を果たしますが、その選択はネットワークの複雑さ、スケール、将来の拡張性によって大きく左右されます。

シンプルな接続要件であればVGWが費用対効果に優れていますが、ネットワークが成長し複雑になるにつれて、TGWの柔軟性と管理のしやすさがより価値を発揮します。多くの組織では、小規模なプロジェクトや検証環境ではVGWから始め、ネットワークの成熟に合わせてTGWへと移行するアプローチが見られます。

今後のAWSネットワーキングでは、Software-Defined Networking (SDN)の進化により、さらに柔軟なネットワーク構成が可能になるでしょう。特にTGWのような中央集中型の接続ハブは、ゼロトラストネットワークの実現やマルチクラウド連携において、さらに重要性が増していくと考えられます。

皆さんのネットワーク設計において、この記事が判断材料の一助となれば幸いです。

8. 参考文献・参考サイト

• AWS Virtual Private Gateway 公式ドキュメント
• AWS Transit Gateway 公式ドキュメント
• AWS Direct Connect 公式ドキュメント
• AWS リファレンスアーキテクチャ - ハイブリッドコネクティビティ
• AWS ネットワーキングと配信に関するベストプラクティス
• AWS Transit Gateway 料金
• AWS VPN 料金