概要
大陸間でのVPN接続は、公衆インターネット経由のため遅延やジッタが発生しがちです。AWS Accelerated Site-to-Site VPNは、AWS Global Acceleratorを活用することで、通信経路を最適化し、暗号化を維持しながらレイテンシを大幅に削減します。本記事では、その仕組み、料金体系、実践的な適用シナリオについて解説します。
目次
- はじめに
- Accelerated Site-to-Site VPNとは
- 技術的なメリット
- 料金体系
- 適用シナリオ
- 設定時の注意点とベストプラクティス
- 終わりに
- 参考文献・参考サイト
1. はじめに
グローバル展開している企業では、遠隔地のオフィスやデータセンターとAWS間のVPN接続において、通信遅延が深刻な課題となることがあります。例えば、ヨーロッパのオフィスから東京リージョンのAWSリソースにアクセスする場合、公衆インターネットを経由するVPN接続では、複数のネットワークホップやインターネットの混雑により、アプリケーションのパフォーマンスが低下する可能性があります。
Accelerated Site-to-Site VPNは、こうした大陸間通信における遅延問題を解決するための機能です。AWS Global Acceleratorの力を借りて、暗号化されたVPN接続を維持しながら、通信経路を最適化します。
2. Accelerated Site-to-Site VPNとは
標準Site-to-Site VPNとの違い
Accelerated Site-to-Site VPNは、標準のSite-to-Site VPNにAWS Global Acceleratorを統合した機能です。標準のVPNでは、オンプレミスのカスタマーゲートウェイからAWSのVPNエンドポイントまで、公衆インターネットを経由して通信します。この経路は、ISPのルーティングポリシーやネットワークの混雑状況により、パフォーマンスが不安定になることがあります。
一方、Accelerated VPNでは、トラフィックが最寄りのAWSエッジロケーションに送られ、そこからAWSのグローバルネットワーク(AWS Backbone)を経由してVPNエンドポイントに到達します。これにより、混雑のないAWSの専用ネットワークを最大限活用できます。
AWS Global Acceleratorの活用
AWS Global Acceleratorは、トラフィックを最適なAWSエンドポイントにルーティングするネットワークサービスです。Accelerated VPNを作成すると、AWSは自動的に2つのAccelerator(VPNトンネルごとに1つ)を作成・管理します。これらのAcceleratorは、AWS Global AcceleratorコンソールやAPIからは確認できず、完全にAWSによって管理されます。
AWS公式ドキュメント ( https://docs.aws.amazon.com/vpn/latest/s2svpn/accelerated-vpn.html ) では、『AWS Global Accelerator optimizes the network path, using the congestion-free AWS global network to route traffic to the endpoint that provides the best application performance』と説明されています。
主な特徴と仕組み
Accelerated VPNの主な特徴は以下の通りです。
- Anycast IPアドレスの使用:2つの静的Anycast IPアドレスがVPNトンネルエンドポイントとして提供され、異なるネットワークゾーンから選択されます。これにより高可用性が確保されます
- 自動管理:AcceleratorはAWSが自動的に作成・管理するため、ユーザーが個別に設定や監視を行う必要はありません
- Transit Gateway専用:Accelerated VPNはTransit Gatewayへの接続でのみ利用可能で、Virtual Private Gateway(VGW)では使用できません
- 既存接続の変更不可:既存のVPN接続に対して後からAccelerationを有効化することはできません。新規にAccelerated VPN接続を作成し、カスタマーゲートウェイの設定を更新する必要があります
3. 技術的なメリット
遅延の改善効果
Accelerated VPNの最大のメリットは、レイテンシの大幅な削減です。公衆インターネットを経由する場合、ルーティングの変更やネットワークの混雑により、遅延が変動しやすくなります。AWS Global Acceleratorを利用することで、トラフィックは最寄りのエッジロケーションから輻輳のないAWSグローバルネットワークを経由するため、一貫して低い遅延を実現できます。
実際の事例では、Paloma Natural Gasという企業がAccelerated VPNを導入した結果、ファイル共有(CIFS)のパフォーマンスが300%改善したと報告されています。これは、地理的に離れた拠点間の通信において、Accelerated VPNが実用的な効果をもたらすことを示しています。
スループットの向上
Accelerated VPNでも、VPNトンネルあたりの帯域幅制限(標準では約1.25 Gbps)は標準VPNと同じです。しかし、AWS公式ドキュメント ( https://docs.aws.amazon.com/wellarchitected/latest/hybrid-networking-lens/performance-efficiency-pillar.html ) によれば、『VPN tunnel bandwidth remains same as when terminating directly on AWS Transit Gateway, but you get better latency, jitter, and overall performance with an accelerated VPN connection』とされています。
つまり、帯域幅の上限は変わりませんが、遅延とジッタが改善されることで、実効スループットが向上し、特にTCPベースのアプリケーションで顕著なパフォーマンス改善が期待できます。
経路の最適化
公衆インターネットでは、ISPのルーティングポリシーによって、必ずしも最短経路で通信が行われるとは限りません。例えば、アジアからヨーロッパへの通信が、一度北米を経由するような非効率な経路になることもあります。
Accelerated VPNでは、AWS Global Acceleratorが常に最適な経路を選択し、AWSのグローバルネットワークを使用するため、このような非効率な経路を回避できます。また、エッジロケーションに障害が発生した場合でも、同じAnycast IPアドレスを使用して、自動的に別の健全なエッジロケーションに再接続されます。
4. 料金体系
東京リージョンでの料金情報
Accelerated Site-to-Site VPNの料金は、標準のSite-to-Site VPN料金に加えて、AWS Global Acceleratorの料金が追加されます。2025年12月時点での料金構成は以下の通りです。
標準のSite-to-Site VPN料金:
- VPN接続時間料金:$0.05/時間(1ヶ月で約$36.50)
- データ転送処理料金(VPN→AWS):無料
- データ転送料金(AWS→VPN):$0.09/GB(最初の1GBは無料)
AWS Global Accelerator追加料金:
- 固定時間料金:$0.025/時間/Accelerator × 2(2つのAccelerator)= $0.05/時間(1ヶ月で約$36.50)
- Data Transfer-Premium(DT-Premium)料金:送信元リージョンと送信先エッジロケーションの組み合わせによって変動
DT-Premium料金の例(ap-northeast-1から):
- 北米のエッジロケーションへ:$0.015/GB程度
- ヨーロッパのエッジロケーションへ:$0.015/GB程度
- アジア太平洋のエッジロケーションへ:$0.035/GB程度
Transit Gateway料金:
- アタッチメント料金:$0.05/時間(1ヶ月で約$36.50)
- データ処理料金:$0.02/GB
| 項目 | 標準VPN | Accelerated VPN |
|---|---|---|
| VPN接続時間料金 | $36.50/月 | $36.50/月 |
| Global Accelerator固定料金 | $0 | $36.50/月 |
| データ転送(AWS→外部) | $0.09/GB | $0.09/GB + DT-Premium |
| Transit Gateway アタッチメント | $36.50/月 | $36.50/月 |
| Transit Gateway データ処理 | $0.02/GB | $0.02/GB |
コスト比較(標準版との差異)
Accelerated VPNは、標準VPNと比較して月額約$36.50の固定費が追加され、さらにDT-Premium料金が発生します。例えば、月間1TBのデータを東京リージョンからヨーロッパのオフィスに送信する場合、DT-Premium料金は約$15(1,000GB × $0.015/GB)となります。
このため、Accelerated VPNは、遅延やジッタがビジネスに与える影響が大きい場合に適しています。コストと性能改善のバランスを評価するため、AWSが提供するGlobal Accelerator Speed Comparison Tool ( https://speedtest.globalaccelerator.aws/ ) を使用して、実際の環境でパフォーマンス改善を測定することをお勧めします。
注意:料金は変動する可能性があります。最新の料金情報は、AWS公式の料金ページ ( https://aws.amazon.com/vpn/pricing/ ) および ( https://aws.amazon.com/global-accelerator/pricing/ ) をご確認ください。
5. 適用シナリオ
推奨されるユースケース
Accelerated Site-to-Site VPNは、以下のようなシナリオで特に効果を発揮します。
大陸間の通信が必要な場合:
- ヨーロッパのオフィスとアジア太平洋のAWSリージョン間の接続
- 南米の拠点と北米のAWSリージョン間の接続
- 地理的に離れた複数の拠点からAWSへのアクセス
レイテンシとジッタに敏感なアプリケーション:
- リアルタイムのデータ同期
- 音声・ビデオ会議システム
- リモートデスクトップやVDI(仮想デスクトップインフラ)
- データベースレプリケーション
ネットワーク品質が不安定な場合:
- 公衆インターネットのルーティング変更による影響を最小化したい
- ISPの品質に依存せず、一貫したパフォーマンスを確保したい
使うべきでないケース
一方、以下のような場合はAccelerated VPNの使用を避けるべきです。
カスタマーゲートウェイがAWS内にある場合:
オンプレミスではなく、別のAWSリージョンやAWSアカウントからVPN接続する場合は、トラフィックが既にAWSバックボーンを経由しているため、Accelerationは不要です。追加コストが無駄になります。
証明書ベース認証を使用し、IKE fragmentationに非対応の場合:
AWS Global Acceleratorはパケットフラグメンテーションへの対応が限定的であるため、証明書ベース認証を使用する場合は、カスタマーゲートウェイがIKE fragmentationをサポートしている必要があります。
AWS Direct Connectが利用可能な場合:
一貫したネットワークパフォーマンスと専用の帯域幅が必要な本番ワークロードには、Direct Connectの方が適しています。Accelerated VPNは、Direct Connectの代替ではなく、VPNのパフォーマンス向上のための選択肢です。
近距離の拠点との接続:
カスタマーゲートウェイがAWSリージョンと同じ国や地域にある場合、標準VPNでも十分なパフォーマンスが得られる可能性が高く、追加コストを正当化できない場合があります。
6. 設定時の注意点とベストプラクティス
設定上の制約事項
Accelerated VPNを設定する際は、以下の制約事項に注意してください。
Transit Gatewayが必須:
- Virtual Private Gateway(VGW)ではAccelerationを使用できません
- 必ずTransit Gatewayへのアタッチメントとして作成する必要があります
既存接続の変更不可:
- 既存のVPN接続に対してAccelerationを後から有効化することはできません
- 新規にAccelerated VPN接続を作成し、カスタマーゲートウェイの設定を移行する必要があります
- 移行時はサービス中断を最小限に抑えるよう計画してください
NAT-Traversal(NAT-T)が必須:
- Accelerated VPN接続ではNAT-Tが必須であり、デフォルトで有効になっています
- カスタマーゲートウェイの設定ファイルでNAT-T設定を確認してください
IKEネゴシエーションの開始:
- Accelerated VPNトンネルのIKEネゴシエーションは、カスタマーゲートウェイ側から開始する必要があります
- Startup ActionとDPD Timeout Actionの設定を確認してください
AWS Direct Connect Public VIFとの非互換:
- Accelerated VPNは、AWS Direct Connect Public Virtual Interfaceと併用できません
パフォーマンス最適化のポイント
Accelerated VPNのパフォーマンスを最大化するため、以下のベストプラクティスを実施してください。
事前のパフォーマンステスト:
- Global Accelerator Speed Comparison Toolを使用して、オンプレミス環境からAWSへの接続改善を測定
- テスト環境で実際のワークロードをシミュレートし、改善効果を検証
- コスト対効果を評価し、投資判断を行う
暗号化設定の最適化:
- IKEv2を使用(IKEv1よりメッセージ数が少なく効率的)
- SHA-2(SHA-256以上)を使用
- 推奨されるDiffie-Hellmanグループと暗号スイートを選択
MTUとMSSの最適化:
- MTU(Maximum Transmission Unit)とMSS(Maximum Segment Size)を適切に設定
- パケットフラグメンテーションを最小化
ECMPによる帯域幅スケーリング:
- 単一のVPN接続では約1.25 Gbps/トンネルの制限がありますが、複数のVPN接続を作成し、Transit Gateway上でECMP(Equal-Cost Multi-Path)を使用することで、帯域幅をスケールできます
- フローごとには1.25 Gbpsの制限が残りますが、複数のフローを並列化することで総スループットを向上
モニタリングとアラート:
- Amazon CloudWatchを使用してVPN接続の状態、トラフィック量、レイテンシを監視
- 異常なトラフィックパターンや接続問題を早期に検出するためのアラートを設定
7. 終わりに
AWS Accelerated Site-to-Site VPNは、大陸間や地理的に離れた拠点とAWS間の通信において、レイテンシとジッタを大幅に改善する強力なソリューションです。AWS Global Acceleratorを活用することで、公衆インターネットの不安定性を回避し、AWSグローバルネットワークの高品質な経路を利用できます。
ただし、追加コストが発生するため、使用を検討する際は以下のステップを踏むことをお勧めします。
- 現状のパフォーマンスを測定:現在のVPN接続のレイテンシ、ジッタ、スループットを記録
- 改善効果を試算:Global Accelerator Speed Comparison Toolで期待される改善を評価
- コスト分析:追加料金とビジネスへの影響を比較し、ROIを算出
- テスト環境で検証:本番環境への導入前に、テスト環境で実際のワークロードを試験
- 段階的な移行:既存のVPN接続からAccelerated VPNへ、サービス中断を最小限に抑えて移行
Accelerated VPNは、すべてのVPN接続に適しているわけではありませんが、グローバルに展開するアプリケーションや、レイテンシに敏感なワークロードにとっては、ユーザー体験を大幅に改善する価値ある選択肢となります。
8. 参考文献・参考サイト
AWS公式ドキュメント
- 「Accelerated AWS Site-to-Site VPN connections」AWS Site-to-Site VPN Documentation, https://docs.aws.amazon.com/vpn/latest/s2svpn/accelerated-vpn.html
- 「AWS Site-to-Site VPN」AWS Product Page, https://aws.amazon.com/vpn/site-to-site-vpn/
- 「AWS VPN Pricing」AWS Pricing Page, https://aws.amazon.com/vpn/pricing/
- 「AWS Global Accelerator Pricing」AWS Pricing Page, https://aws.amazon.com/global-accelerator/pricing/
- 「AWS Transit Gateway pricing」AWS Pricing Page, https://aws.amazon.com/transit-gateway/pricing/
- 「What is AWS Site-to-Site VPN?」AWS Documentation, https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html
- 「Performance efficiency pillar」Hybrid Networking Lens - AWS Well-Architected Framework, https://docs.aws.amazon.com/wellarchitected/latest/hybrid-networking-lens/performance-efficiency-pillar.html
AWSブログ・記事
- 「Improve VPN Network Performance of AWS Hybrid Cloud with Global Accelerator」AWS Architecture Blog, December 18, 2021, https://aws.amazon.com/blogs/architecture/improve-vpn-network-performance-of-aws-hybrid-cloud-with-global-accelerator/
- 「Announcing Accelerated Site-to-Site VPN for Improved VPN Performance」AWS What's New, 2019, https://aws.amazon.com/about-aws/whats-new/2019/12/announcing-accelerated-site-to-site-vpn-for-improved-vpn-performance/
- 「AWS Site-to-Site VPN, choosing the right options to optimize performance」AWS Networking & Content Delivery Blog, April 18, 2023, https://aws.amazon.com/blogs/networking-and-content-delivery/aws-site-to-site-vpn-choosing-the-right-options-to-optimize-performance/
その他の参考資料
- 「Addressing VPN Performance in AWS」Converge Technology Solutions, May 8, 2024, https://convergetp.com/2024/05/08/addressing-vpn-performance-in-aws/
- 「Check if Global Accelerator improves performance with Site-to-Site VPN」AWS re:Post Knowledge Center, December 1, 2023, https://repost.aws/knowledge-center/vpn-global-accelerator-improves-latency
- Jeffrey Turner「Accelerated VPN (Site-to-Site VPN) — Step-by-Step Guide」Medium, November 13, 2023, https://medium.com/@jeff.turner0590/accelerated-vpn-site-to-site-vpn-step-by-step-guide-f6f09a9197d2