基本概念
Virtual Private Gateway
オンプレミスネットワークとAWSのVPCを接続するためのVPN接続の終端ポイント
主な用途
Customer Gateway(オンプレ側機器)とIPSec VPNトンネルを張ります
メリット
- AWS標準の機能で簡単に導入可能
- 冗長構成はAWS側で自動提供
- Direct Connectとの併用可能
デメリット
- インターネット経由なので遅延・帯域制限あり
- VPC単位の接続(Transit Gatewayなしでは複数VPC直結不可)
| 用語 | 概要 | 違い |
|---|---|---|
| Virtual Private Gateway | AWS側のVPN終端 | VPCにアタッチされる |
| Customer Gateway | オンプレ側のVPNデバイス | 顧客側が用意する |
| Transit Gateway | 複数のVPCやオンプレ接続を集約するハブ | スケーラブルなネットワーク構成向け |
IPSec VPN
インターネットのような公共ネットワーク上で、暗号化された安全な通信トンネルを確立する技術
- IPSec(IP Security)は、IPパケットの暗号化と認証を行うプロトコル群の総称
- VPN(Virtual Private Network)は、仮想的に専用線のような安全な通信経路を作る技術
主な利用用途
| モード | 説明 | 用途 |
|---|---|---|
| トランスポートモード | IPパケットのペイロードだけを暗号化 | クライアント-サーバ間の通信 |
| トンネルモード | IPパケット全体を暗号化して新しいIPヘッダを付与 | 拠点間VPN(Site-to-Site) |
メリット
- 高いセキュリティ(暗号化+認証)
- 公衆インターネット上でも安全に通信可能
- WANコスト削減(専用線不要)
デメリット
- 暗号化による通信遅延
- NAT環境では追加設定(NAT-T)が必要
- 帯域は専用線より低い
Site-to-Site VPN
AWSとオンプレミスネットワーク間をIPsec VPNで常時接続するサービス
主な用途
オンプレとAWS間のセキュアな接続(常時接続)
メリット
- 専用線不要で低コスト
- AWS標準で設定しやすい
- 冗長性(AWSは2本のトンネル提供)
デメリット
- インターネット品質依存
- 大規模トラフィックには不向き
Public VIF
Direct ConnectでAWSのパブリックサービス(S3、DynamoDBなど)にアクセスする仮想インターフェース
主な用途
Direct Connect経由でパブリックサービスへ高速・安定接続
メリット
- インターネットより低遅延・高信頼
- 帯域が安定
- セキュリティ強化(経路制御)
デメリット
- 接続先はパブリックサービスに限定
- Private VIFのようにVPC内部には直接アクセス不可
Private VIF
Direct ConnectでAWSのVPC(プライベートIP空間)にアクセスする仮想インターフェース
主な用途
Direct Connect経由でVPC内のプライベートサブネットへ高速・安定接続
メリット
- インターネットを経由せず低遅延・高信頼
- 大容量データ転送に適し、帯域をフルに活用可能
- 閉域網通信でセキュリティリスクが低い(IPSec VPN不要)
- シンプルな経路(BGPで直接経路交換)
デメリット
- 導入にDirect Connect回線契約と物理接続が必要
- 暗号化は標準で行われない(必要ならMACsecやアプリ層暗号化)
- DX障害時のバックアップ経路は別途構築が必要(Site-to-Site VPNなど)
Direct Connect Location
AWS Direct Connectが利用可能な物理拠点(データセンター)
主な用途
AWSと専用線で接続するための中継地点
メリット
- 低遅延・高帯域・安定性
- セキュリティ(専用回線利用)
デメリット
- 拠点までの物理回線費用が高い
- 設備利用可能なロケーションが限定される
Direct Connect Router
Direct Connect拠点でAWSネットワークと物理的に接続するルータ
主な用途
専用線経由でAWSのVPCやサービスと通信
メリット
- AWS直結で安定性高い
- 高速通信可能
デメリット
- 導入・維持コスト高
- 柔軟性はVPNより劣る(即座な経路変更が難しい)
Customer Router
Direct Connect Locationに設置される、顧客側の物理ルータ
主な用途
Direct Connect Routerと物理接続し、顧客ネットワークへトラフィックを渡す
メリット
- 顧客側でルーティング制御可能
- 高速な専用線通信
デメリット
- ハードウェア購入・運用が必要
- 障害時は現地対応が必要
Direct Connect
AWSとオンプレを専用回線で接続するサービス
主な用途
大容量・低遅延でAWSにアクセス
メリット
- 高速・安定・低遅延
- インターネットを経由しない高セキュリティ
デメリット
- 導入・運用コスト高
- 開通までのリードタイムが長い
Customer Gateway
オンプレ側のVPN終端装置(物理または仮想)
主な用途
Virtual Private GatewayとIPSec VPNトンネルを張る
メリット
- 自社側でVPN制御可能
- AWS標準に対応しやすい
デメリット
- 設定・運用は顧客側で行う必要あり
- 機器の性能に依存
Customer Network
- 顧客のオンプレミスネットワーク(社内LANやデータセンター)
主な用途
AWSとの通信対象となる業務システムやユーザー端末が存在
メリット
- 既存システムをAWSと連携可能
- ネットワーク構成を自由に設計
デメリット
- 回線品質・構成変更の影響を受けやすい
- AWS接続時はルート・セキュリティ調整が必要
Client
顧客ネットワークまたはAWS内リソースへアクセスする利用者(PCやモバイル)
主な用途
業務システム利用やデータアクセス
仕組み
Site-to-Site VPN+Public VIF
VPNトンネルの物理経路が専用線になり、インターネット経由VPNより安定。暗号化も継続
- IPSec VPNの範囲:Virtual Private Gateway~Site-to-Site VPN
- Public VIFの範囲(オレンジの線):Site-to-Site VPN~Direct Connect Router
- Direct Connectの範囲(緑の線):Direct Connect Router~Customer Gateway
Private VIF
VPNはインターネット経由のバックアップ回線として使用。本番経路は暗号化なしの閉域網通信で高速・低遅延
- Private VIFの範囲(オレンジの線):Virtual Private Gateway~Direct Connect Router
- Direct Connectの範囲(緑の線):Direct Connect Router~Customer Gateway
Site-to-Site VPN+Public VIFとPrivate VIFの違い
| 接続方式 | IPSec VPN | 暗号化 |
|---|---|---|
| Public VIF + Site-to-Site VPN | 必須 | 公開IP間をIPSecで暗号化 |
| Private VIF | 不要(任意) | DXは閉域網、暗号化はMACsecやTLS等で必要に応じ実装 |
選択場面
| 条件 | Public VIF型が有利 | Private VIF型が有利 |
|---|---|---|
| 暗号化要件 | DX経路でも暗号化必須 | アプリ層やMACsecで対応可能 |
| 本番経路 | VPNを本線で使いたい | DXを本線、VPNは冗長回線 |
| 性能 | 中〜高(VPN装置性能依存) | 高(DX帯域フル活用) |
| 導入難易度 | VPN設定が必須 | DXとBGP設定がメイン |
-
Public VIF型:金融業界など、閉域網でも通信暗号化が義務づけられている環境
-
Private VIF型:大容量データ転送や低遅延が最優先の分析基盤、映像配信など
おまけ:障害時の冗長化例
Public VIF型・Private VIF型いずれの場合も、Direct Connectが障害になった場合に備えて、インターネット経由のSite-to-Site VPNをバックアップ経路として追加できます。
経路切替はBGPの優先制御などで自動化でき、通常時はDX経路、障害時はVPN経路を利用する構成が可能です。
なお、VPNバックアップを構築していない場合、DX障害時にはVPCへのプライベート通信は停止します。
※今回は図には含めていませんが、要件に応じてこのような冗長化構成を追加可能です。
まとめ
Public VIF+Site-to-Site VPNは閉域網でもIPSec暗号化が必須な環境に向き、Private VIFはDXを本線として大容量・低遅延通信を実現します。どちらもDirect Connect障害時にはインターネット経由VPNを冗長経路として組み合わせる構成が有効です。