基本概念
Transit Gateway
VPCとオンプレミス間の通信を一元化するルーティングハブ
接続できるもの
- 同一アカウント内VPC
- 異なるアカウントのVPC
- オンプレネットワーク
使用用途
- マルチアカウント構成でのVPC間接続
- オンプレ+複数VPCの統合ネットワーク基盤
- セキュリティや通信経路の集約・制御
メリット
- 複数VPC間・オンプレ接続の一元管理
- VPC Peeringのメッシュ接続不要
- 高スループット(最大50Gbps以上/接続単位)
- TGWルートテーブルによる柔軟なルーティング制御
- Direct ConnectやVPN、リージョン間TGW Peeringも接続可能
デメリット
- 利用料金が比較的高い(接続数・トラフィックに比例)
- 複雑なルーティング設計が必要な場合がある
- 複数リージョン間接続には追加でTGW Peering費用が発生
Network Account
AWS Organizationsなどのマルチアカウント環境で、ネットワーク系リソース(TGW、Direct Connect、VPNなど)を専用に管理するアカウント
使用用途
- AWS Control TowerやLanding Zoneでの標準パターン
- TGWやDirect Connect、VPNの集中管理
- マルチアカウントの共通インフラとして利用
メリット
- ネットワーク管理とアプリケーション開発を分離できる
- セキュリティポリシーの一元化(IAM・セキュリティグループ管理)
- 請求や権限管理の明確化
- 他アカウントに対する安全な共有(Resource Access Manager: RAM)
デメリット
- 初期構築時に権限設計やRAM共有設定が必要
- 他チームとの連携フローを決めないと運用が滞る
- ネットワーク変更の影響範囲が広く、承認プロセスが必要になる
Site-to-Site VPN
AWSとオンプレミスネットワーク間をIPsec VPNで常時接続するサービス
使用用途
- 小規模拠点とAWSの接続
- Direct Connect導入前の暫定接続
- 災害時のバックアップ回線
メリット
- 低コスト(AWS側は時間課金+データ転送料のみ)
- インターネット回線経由で簡単にセットアップ可能
- 暗号化通信によりセキュア
- Direct Connectのバックアップ回線として利用可能
デメリット
- インターネット経由のため遅延・スループットが不安定
- 最大1.25Gbps程度の帯域制限(1トンネルあたり)
- 冗長化のためには複数トンネル・複数ルーターが必要
Corporate Data Center
企業が保有・運用するオンプレミスのデータセンターや社内ネットワーク
使用用途
- 既存オンプレ環境とAWSのハイブリッド構成
- 法規制やセキュリティ要件でクラウドに移せないシステムの運用
- AWS Direct ConnectやVPNを使ったクラウド連携
メリット
- 物理的な完全管理が可能
- レイテンシが低い(ローカル接続時)
- 特殊なハードウェアやレガシーシステムの利用が可能
デメリット
- 設備投資や保守費用が高額
- スケーラビリティが低く、柔軟な拡張が難しい
- 災害や物理的リスクの影響を受けやすい
Customer Gateway
Site-to-Site VPNやDirect ConnectでAWSとオンプレを接続する際のオンプレ側のエンドポイント
使用用途
- オンプレとAWSをIPsec VPNで接続する際の必須構成要素
- Direct Connect + VPNの冗長構成
- 拠点間・クラウド間接続のゲートウェイ役
メリット
- オンプレ機器で柔軟なルーティング・VPNポリシー設定が可能
- AWSとのVPN接続の起点となる
- 複数VPNやDirect Connectとの併用が可能
デメリット
- 専用ハードウェアや設定スキルが必要
- 機器の冗長化やメンテナンスはオンプレ側責任
- AWS側のマネージド性は及ばない(オンプレ構成は自分で運用)
アーキテクチャ構成例
まとめ
VPC Peering だけでは実現できない大規模かつ柔軟な接続を、Transit Gateway はハブとして統合的に管理できます。
オンプレや複数アカウント環境を含むクラウドネットワークの標準解として、まず検討すべきサービスです。