概要
AWS Direct Connectのプライベート仮想インターフェース(VIF)とトランジット仮想インターフェース(VIF)は、どちらもオンプレミスとAWSを接続する手段ですが、接続先やASN要件、コスト構造など多くの違いがあります。本記事では、両者の技術的な違いを整理し、適切な使い分けとトランジットVIFへの移行手順を解説します。
目次
- はじめに
- プライベートVIFとトランジットVIFの主な違い
- ASN設定の違いと重複可否
- プライベートVIFの詳細
- トランジットVIFの詳細
- 使い分けの具体例
- プライベートVIFからトランジットVIFへの移行手順
- 料金比較
- 終わりに
- 参考文献
はじめに
AWS Direct Connect(以下、DX)は、オンプレミス環境とAWSクラウドを専用線で接続するサービスです。DXを利用する際には、仮想インターフェース(VIF)を作成する必要がありますが、主にプライベートVIFとトランジットVIFの2種類があります。
多くの場合、「トランジットVIFは複数VPCに到達できる」という違いのみが強調されますが、実際には接続先の終端、ASN要件、コスト構造など、より多くの重要な違いが存在します。本記事では、これらの違いを体系的に整理し、適切な選択と移行方法を解説します。
プライベートVIFとトランジットVIFの主な違い
両者の主な違いを以下の表にまとめました。
| 項目 | プライベートVIF | トランジットVIF |
|---|---|---|
| 接続先の終端 | VGW(Virtual Private Gateway)またはDXGW(Direct Connect Gateway) | DXGWのみ(TGWへはDXGW経由で接続) |
| VPC到達性 | 単一VPC(VGW直結時)または複数VPC(DXGW経由時) | TGW配下の複数VPC |
| 対応回線タイプ | 小容量のホステッド接続でも作成可能 | 専有ポートまたは大容量ホステッド接続が必要(小容量ホステッド接続では作成不可の場合あり) |
| ルーティング制御 | VGW単位での経路交換(VPCごとに到達性を切り分け可能) | TGWのルートテーブルで大規模に経路集約・セグメント化 |
| MTUサイズ | 1500または9001(ジャンボフレーム) | 1500または8500(ジャンボフレーム) |
| VPC間通信 | DXGWではトランジティブ通信不可(VPCピアリングまたはTGWが必要) | TGW経由で可能 |
| コスト構造 | TGWのデータ処理課金なし(DXポート料金と転送料のみ) | TGWのデータ処理課金が追加($0.02/GB、アタッチメント時間課金も発生) |
共通点
両者には以下の共通点もあります。
- BGP(Border Gateway Protocol)を使用した動的ルーティング
- 802.1Q VLANタグによるトラフィック分離
- IPv4およびIPv6のサポート
- DXゲートウェイでの許可プレフィックス設定による到達範囲の制御
- SiteLinkのサポート(プライベートVIFおよびトランジットVIFで利用可能)
ASN設定の違いと重複可否
ASN(Autonomous System Number)は、BGPルーティングで使用される識別番号です。プライベートVIFとトランジットVIFでは、ASN設定の要件が異なります。
プライベートVIFのASN要件
プライベートVIFでは、以下のASNを設定します。
- オンプレミス側ASN:1〜4294967294の範囲。パブリックASN(所有している場合)またはプライベートASN(64512〜65534)を使用可能
- AWS側ASN(DXGWまたはVGW):プライベートASN(64512〜65534または4200000000〜4294967294)を設定可能
- ASN重複の可否:DXGWとVGWで同じプライベートASNを使用可能
AWS Direct Connect FAQ ( https://aws.amazon.com/directconnect/faqs/ ) では、『Yes, you can use same private ASNs for your AWS Direct Connect Gateway and Virtual Private Gateway』と説明されています。つまり、プライベートVIFを使用する場合、DXGWとVGWに同じプライベートASN(例:64512)を設定しても問題ありません。
トランジットVIFのASN要件
トランジットVIFでは、ASN設定に厳格な要件があります。
- オンプレミス側ASN:プライベートVIFと同様、1〜4294967294の範囲
- AWS側ASN(DXGWとTGW):プライベートASN範囲を使用
- ASN重複の可否:DXGWとTGWで必ず異なるASNを設定する必要がある
AWS公式ドキュメント「Create a transit virtual interface to the Direct Connect gateway」( https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-transit-vif-for-gateway.html ) では、『If you associate your transit gateway with one or more Direct Connect gateways, the Autonomous System Number (ASN) used by the transit gateway and the Direct Connect gateway must be different』と明記されています。
例えば、DXGWとTGWの両方にデフォルトASN 64512を設定すると、アソシエーション作成時にエラーが発生します。このため、トランジットVIFを使用する場合は、DXGWに64512、TGWに64513など、異なるプライベートASNを割り当てる必要があります。
ASN設定のベストプラクティス
複数リージョンや複数TGWを使用する場合は、AWS公式ドキュメント「AWS Transit Gateway design best practices」( https://docs.aws.amazon.com/vpc/latest/tgw/tgw-best-design-practices.html ) で推奨されているように、各TGWに一意のASNを割り当てることが推奨されます。これにより、将来的な拡張や変更が容易になります。
プライベートVIFの詳細
DXゲートウェイ経由での複数VPC接続
プライベートVIFは、単一VPCだけでなく、DXゲートウェイ(DXGW)を経由することで複数VPCへの接続が可能です。
- VGW直接接続:プライベートVIFを特定のVGWに直接アタッチすると、そのVPCのみに到達します
- DXGW経由接続:プライベートVIFをDXGWにアタッチし、DXGWに複数のVGW(最大20個まで関連付け可能)を関連付けることで、1本のVIFから複数VPCへ到達できます
ただし、VGWは常にVPCと1:1の関係であり、複数VPCで1つのVGWを共有することはできません。
VPC間通信の考え方
プライベートVIF+DXGW構成では、VPC間の直接通信はサポートされていません。DXGWは「オンプレミス⇄複数VPC」を束ねるハブとして機能しますが、VPC⇄VPCのトランジティブ転送は行いません。
VPC間通信が必要な場合は、以下のいずれかの方法を使用します。
VPCピアリング
少数のVPC同士(数個〜十数個)をシンプルに直結する場合に適しています。
設定手順の概要:
- VPCピアリング接続を作成し、相手側で承認
- 双方のVPCルートテーブルに相手CIDR向けルートを追加(ターゲットはピアリング接続)
- セキュリティグループ/NACLで相手CIDRや特定ポートを許可
制約事項:
- VPC間でCIDRの重複は不可
- トランジティブルーティング不可(VPC-A⇄VPC-B、VPC-B⇄VPC-Cがあっても、VPC-A⇄VPC-Cは直接通信不可)
Transit Gateway(TGW)
VPCが多数ある場合や、セグメント分離、将来の拡張を見据える場合に適しています。
設定手順の概要:
- TGWを作成し、各VPCをTGWへアタッチ
- TGWルートテーブルを作成し、アタッチメントを関連付け
- 必要な経路のみ伝播または静的追加
- 各VPCのルートテーブルにTGW向けの宛先を追加
TGWを使用する場合、東西トラフィック(VPC間通信)の検査が必要であれば、インスペクションVPC(Gateway Load Balancer連携)で集約するパターンも一般的です。
トランジットVIFの詳細
DXGWとTGWの関係性
トランジットVIFは、必ずDXGW宛てに作成し、DXGWとTGWをアソシエーション(関連付け)する構成となります。VGWへの直接接続やTGWへの直接接続はサポートされていません。
接続フロー:
トランジットVIF → DXGW →(アソシエーション)→ TGW → 複数VPCアタッチメント
ルーティングはBGPで行い、DXGW↔TGWアソシエーション側で許可プレフィックスを制御します。また、TGWのルートテーブルを使用してセグメント分離(例:本番環境と開発環境の分離)が可能です。
大規模環境での利用メリット
トランジットVIFは、以下のような大規模環境で威力を発揮します。
- VPC数の拡張性:1つのTGWで最大5,000のVPCをサポート(プライベートVIF+DXGWは最大20 VGW)
- セグメント分離:TGWルートテーブルを使用して、本番環境、開発環境、部門別などでトラフィックを分離
- マルチリージョン対応:TGWピアリングを使用して、複数リージョンのVPCを統合的に管理
- 運用の一元化:中央集約型の管理により、ルーティング変更やトラブルシューティングが効率化
使い分けの具体例
特定のVPCだけをオンプレミスに接続する場合
推奨構成:プライベートVIF + DXGW + VGW
理由:
- VPC単位で接続/遮断を明確に制御できる
- TGWのデータ処理課金が不要でコスト最適化が可能
- 4つ程度までのVPCであれば管理も複雑にならない
設定のポイント:
DXGWの許可プレフィックス設定で到達性を限定し、不要なVPCへのルートを広告しない
20 VPC以上を一括集約する場合
推奨構成:トランジットVIF + DXGW + TGW
理由:
- TGWルートテーブルでセグメント分離しながら、大規模なVPC群を効率的に管理
- 将来的なVPC増減に柔軟に対応可能
- 中央集約型の運用でトラブルシューティングが容易
設定のポイント:
TGWルートテーブルを適切に設計し、部門別やアプリケーション別にセグメントを分離
小容量ホステッド接続でコスト最優先の場合
推奨構成:プライベートVIF + VGW(またはDXGW)
理由:
- 小容量ホステッド接続ではトランジットVIFが作成できない場合がある
- TGWのデータ処理課金を回避できる
- シンプルな構成で運用負荷が低い
注意点:
回線要件を事前に確認し、将来的な拡張性も考慮する
プライベートVIFからトランジットVIFへの移行手順
既存のプライベートVIF構成からトランジットVIF構成への移行は、ゼロダウンタイムを実現するため、新旧系を並走させながら段階的に切り替えるのが一般的です。
前提条件の確認
移行前に、以下を確認します。
- DX回線の要件確認:小容量のホステッド接続ではトランジットVIFが作成できない場合があるため、回線タイプと帯域を確認
- ASNの整合性:DXGWのAmazon ASNとTGWのASNは必ず異なる値に設定(例:DXGW=64512、TGW=64513)。オンプレミスASNとも衝突しないように設定
- VPC CIDR重複の確認:TGW配下のVPC間でCIDRが重複していないか確認
- オンプレミス側のルート容量:オンプレミスルーターが受信可能な経路数を確認
段階的な移行手順
以下の手順で、無停止での移行が可能です。
ステップ1:TGW側の準備
- TGWを作成(未導入の場合)し、DXGWとは異なるASNを設定
- 対象VPCをTGWへアタッチ
- TGWルートテーブルを設計し、必要なセグメントのみ相互到達可能にする
- 各VPCのルートテーブルにオンプレミス向け宛先→TGWアタッチのルートを追加(この段階では旧VGW経路も残して並走)
ステップ2:DX側の新規系構築
- 新しいDXGWを作成(トランジット用、既存DXGWとは別に作成を推奨)し、TGWとは異なるASNを設定
- 各DX回線にトランジットVIFを作成して新DXGWへ割り当て(VLAN/BGP設定)
- DXGW↔TGWのアソシエーションを設定し、許可プレフィックスを登録
- オンプレミス側でBGPピアを確立し、経路が学習できているか確認
ステップ3:並走確認と優先度調整
片方向ずつ切り替えると安全です。
VPC→オンプレミス方向:
- 各VPCのルートテーブルでオンプレミス宛をTGW優先に設定(VGWの伝播を停止または静的ルートでTGWを選択)
オンプレミス→VPC方向:
- オンプレミス側BGPでトランジットVIF経路に高いlocal-preferenceを付けて優先
- 旧プライベートVIF側はAS-path prependまたはlocal-preference低下で劣後化
疎通確認:
- アプリケーションの疎通確認とトレースルートで、往復経路が対称になっているか確認
ステップ4:切り替え完了とクリーンアップ
- 旧プライベートVIF経由の経路広告を撤収
- VPCからVGW宛ルート/伝播を削除
- 不要になったVGWをデタッチ/削除
- 旧DXGW(VGW用)やプライベートVIFを削除
- 監視設定をトランジットVIF/TGW向けに更新
移行時の注意点
- TGWデータ処理課金:TGW経由になるため、データ処理課金(後述の料金比較を参照)が追加される
- ルート対称性:VPCルートとオンプレミスBGPの優先度を両面で合わせないと、往路と復路で経路が異なる非対称ルーティングが発生する可能性がある
- フォールバック準備:DX障害時のフォールバック(Site-to-Site VPNオーバーTGWなど)も併せて検討することを推奨
料金比較
プライベートVIFとトランジットVIFでは、コスト構造が異なります。以下は、ap-northeast-1(東京リージョン)での料金例です(2025年2月時点)。
共通コスト
どちらのVIFタイプでも、以下のコストは共通して発生します。
- DXポート時間課金:専有接続の場合、1Gbpsで約$0.3/時間(地域により異なる)
- データ転送アウト(DTO):ap-northeast-1からのデータ転送は約$0.09/GB
詳細な料金は、AWS Direct Connect Pricing ( https://aws.amazon.com/directconnect/pricing/ ) を参照してください。
トランジットVIF特有のコスト
トランジットVIFを使用する場合、TGW関連の以下のコストが追加されます(料金情報は AWS Transit Gateway pricing ( https://aws.amazon.com/transit-gateway/pricing/ ) より)。
-
TGWアタッチメント時間課金:
- VPCアタッチメント:VPCオーナーに課金、約$0.05/時間
- Direct Connectアタッチメント:DXGWオーナーに課金、約$0.05/時間
- TGWデータ処理課金:TGWを通過するデータに対して約$0.02/GB
コスト試算例
月間1TBのデータをオンプレミスからAWSへ転送する場合の比較(ap-northeast-1、2025年2月時点):
プライベートVIF:
- DXポート料金(1Gbps専有):約$216/月($0.3/時間 × 730時間)
- データ転送アウト料金:なし(AWSへのインバウンドは無料)
- 合計:約$216/月
トランジットVIF:
- DXポート料金(1Gbps専有):約$216/月
- TGW Direct Connectアタッチメント:約$36.5/月($0.05/時間 × 730時間)
- TGW VPCアタッチメント(4VPC想定):約$146/月($0.05/時間 × 730時間 × 4VPC)
- TGWデータ処理(1TB):約$20/月($0.02/GB × 1000GB)
- 合計:約$418.5/月
この例では、トランジットVIFの方が約2倍のコストとなりますが、大規模環境では運用効率の向上がコストを上回ることがあります。
注意:料金は変動する可能性があります。最新の料金情報は、必ず公式の料金ページで確認してください。
終わりに
本記事では、AWS Direct Connectのプライベート仮想インターフェース(VIF)とトランジット仮想インターフェース(VIF)の違いについて、接続先、ASN要件、コスト構造、使い分けのポイントを解説しました。
重要なポイントをまとめると以下の通りです。
- プライベートVIF:VPC単位での制御とコスト最適化が必要な場合に適している。DXGWとVGWで同じプライベートASNを使用可能
- トランジットVIF:多数VPCの集約と運用効率を重視する場合に適している。DXGWとTGWでは必ず異なるASNを設定する必要がある
- ASN設定:トランジットVIFではASN重複が許可されないため、設計段階での注意が必要
- 移行:並走期間を設けて段階的に切り替えることで、ゼロダウンタイムでの移行が可能
次のステップ
実際の構築を進める際は、以下のステップを推奨します。
- 現在および将来のVPC数、データ転送量、セグメント分離要件を整理
- コスト試算を行い、プライベートVIFとトランジットVIFの総所有コスト(TCO)を比較
- 小規模な検証環境で構成を確認し、ルーティングとASN設定の動作を検証
- 本番環境への適用は、並走期間を設けて段階的に実施
AWS Direct Connectは、適切に設計・運用することで、安定した高速接続とコスト最適化を両立できるサービスです。本記事が、皆様のネットワーク設計の一助となれば幸いです。
参考文献
AWS公式ドキュメント
- 「Direct Connect virtual interfaces and hosted virtual interfaces」AWS Direct Connect User Guide, https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html
- 「Create a transit virtual interface to the Direct Connect gateway」AWS Direct Connect User Guide, https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-transit-vif-for-gateway.html
- 「Direct Connect gateways and transit gateway associations」AWS Direct Connect User Guide, https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html
- 「Direct Connect gateways」AWS Direct Connect User Guide, https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html
- 「AWS Transit Gateway design best practices」Amazon VPC User Guide, https://docs.aws.amazon.com/vpc/latest/tgw/tgw-best-design-practices.html
- 「AWS Direct Connect FAQ」AWS, https://aws.amazon.com/directconnect/faqs/
- 「AWS Transit Gateway FAQ」AWS, https://aws.amazon.com/transit-gateway/faqs/
- 「AWS Direct Connect Pricing」AWS, https://aws.amazon.com/directconnect/pricing/
- 「AWS Transit Gateway Pricing」AWS, https://aws.amazon.com/transit-gateway/pricing/
技術記事・ブログ
- 「Deploying hybrid networks using AWS Cloud WAN and AWS Direct Connect」AWS Networking & Content Delivery Blog, 2025年1月14日, https://aws.amazon.com/blogs/networking-and-content-delivery/deploying-hybrid-networks-using-aws-cloud-wan-and-aws-direct-connect/
- 「Building a global network using AWS Transit Gateway Inter-Region peering」AWS Networking & Content Delivery Blog, 2024年2月7日, https://aws.amazon.com/blogs/networking-and-content-delivery/building-a-global-network-using-aws-transit-gateway-inter-region-peering/
- 「Introducing Flexible Cost Allocation for AWS Transit Gateway」AWS Networking & Content Delivery Blog, 2025年11月26日, https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-flexible-cost-allocation-for-aws-transit-gateway/
その他参考資料
- AWS re:Post「Associate a transit gateway to a Direct Connect gateway」2025年6月25日, https://repost.aws/knowledge-center/direct-connect-associate-transit-gateway
- AWS re:Post「Set up a Direct Connect public VIF」2025年7月29日, https://repost.aws/knowledge-center/setup-direct-connect-vif