どーも!shihopowerです!
AWS SAP(Solutions Architect Professional)の試験勉強をしていると、Direct Connect関連の問題に必ずと言っていいほど出くわします。
「Private VIF?Transit VIF?DXGW?TGWピアリング?いろんな用語が出てきて何が何だかわからない…」
そんな状態から抜け出すために、用語の暗記ではなく 「仕組みから理解すること」 を目指してまとめました。アーキテクチャ図も入れながら解説するので、ネットワーク苦手な方でも読み進められるはずです!
忙しい人向け要約
- Direct Connectは専用光ファイバー回線でオンプレミスとAWSを繋ぐサービス
- VIF(仮想インターフェース)は「線」ではなく、物理回線上にVLAN+BGPで定義する論理的な設定オブジェクト
- VIFは3種類:Private VIF(単一VPC)/ Public VIF(AWSパブリックサービス)/ Transit VIF(TGW経由で複数VPC)
- DXGWはグローバルリソース。複数リージョンのVGWやTGWへのハブになる
- リージョン間VPC通信にはTGWピアリングが必須(DXGWだけでは不可)
- 冗長化は2本のDX回線を同一DXGWに接続することで実現
- Direct Connect + Site-to-Site VPNの組み合わせには3パターンある
- Customer GatewayはVPN専用の概念でDirect Connectには登場しない
目次
- 第1章 Direct Connectとは
- 第2章 VIF(仮想インターフェース)の正体
- 第3章 Direct Connectに関連するGateway
- 第4章 接続パターン別アーキテクチャ
- 第5章 Direct Connect + Site-to-Site VPNの組み合わせ
- 第6章 SAP試験で問われるポイントまとめ
第1章 Direct Connectとは
1.1 一言で言うと
インターネットを経由せずに、専用の光ファイバー回線でオンプレミスとAWSを繋ぐサービスです。
Direct Connectはオンプレミスの内部ネットワークを、標準的なイーサネット光ファイバーケーブルでDirect Connectロケーションへ接続します。ケーブルの一端はお客様のルーターに、もう一端はDirect Connectルーターに接続されます。
— AWS Direct Connect User Guide
1.2 Direct Connect vs Site-to-Site VPN
どちらもオンプレミス↔AWSの接続手段ですが、性質がまったく異なります。
| 項目 | Direct Connect | Site-to-Site VPN |
|---|---|---|
| 接続経路 | 専用光ファイバー(インターネット不使用) | インターネット経由(IPsecトンネル) |
| 帯域幅 | 専用接続:1 / 10 / 100 / 400 Gbps ホスト接続:50 Mbps〜25 Gbps |
最大約1.25 Gbps/トンネル |
| レイテンシ | 安定・低レイテンシ | インターネット依存で変動あり |
| デフォルト暗号化 | なし(MACsecオプションあり) | あり(IPsec) |
| セットアップ期間 | 数週間〜 | 数分〜数時間 |
| コスト | 高め(専用線費用) | 低め |
| 主なユースケース | 大規模データ転送・本番ワークロード | バックアップ・小規模・暫定接続 |
インターネット上のネットワーク遅延は、データがAからBへ届くルートの変化によって変動します。AWS Direct Connectは、データセンターやブランチとAWS間に、一貫した低遅延・高帯域の専用接続を確立できます。
— AWS Well-Architected Hybrid Networking Lens
1.3 2種類の接続タイプ
| 接続タイプ | 概要 | 帯域幅 |
|---|---|---|
| 専用接続(Dedicated) | 単一顧客専用の物理イーサネット接続。AWS ConsoleやCLIから直接リクエスト可能 | 1 / 10 / 100 / 400 Gbps |
| ホスト接続(Hosted) | AWS Direct ConnectパートナーがAWS側と事前に確立したリンクを経由して提供 | 50 Mbps〜25 Gbps |
専用接続はAWSデバイスとオンプレミスデバイス間の直接リンクで、1 Gbps、10 Gbps、100 Gbps、400 Gbpsの帯域幅があります。ホスト接続はAWS Direct ConnectパートナーがAWSとの間に事前に確立したネットワークリンクを使って提供され、50 Mbpsから25 Gbpsの帯域幅が利用できます。
— AWS Well-Architected Hybrid Networking Lens
ホスト接続は1つの接続につきVIFを1つしか作れません。専用接続は1本の物理回線に複数のVIFを共存させることができます。
第2章 VIF(仮想インターフェース)の正体
2.1 VIFは「線」ではなく「設定オブジェクト」
アーキテクチャ図でVIFを矢印(→)で表現することが多いですが、VIFは「線」ではありません。
Direct Connectは業界標準の802.1Q VLANを使って、プライベートIPアドレスでAmazon VPCに接続します。VLANはVIF(仮想インターフェース)を使って設定します。
— Amazon VPC Connectivity Options
つまりVIFの実体は、1本の物理光ファイバー回線の上にVLANタグで区切った論理的な接続設定です。
【物理層】
オンプレ ─────────────── 光ファイバー1本 ─────────────── DXロケーション
【論理層(VIFの実体)】
┌──────────────────────────────────────────────┐
│ VLAN 100 / BGP① → Private VIF → VGW → VPC-A │
│ VLAN 200 / BGP② → Transit VIF → DXGW → TGW │
│ VLAN 300 / BGP③ → Public VIF → AWSパブリック │
└──────────────────────────────────────────────┘
VIFを1つ作成するときに設定する情報は以下の通りです。
項目 説明 VLAN ID 接続上で未使用の固有のVLANタグ(1〜4094)。802.1Q標準に準拠 BGP ASN 自側のBGP自律システム番号 ピアIPアドレス BGPピアリングセッション用のIPアドレス(両端) BGP認証キー MD5認証キー(自動生成または手動指定) 接続先 VGW、DXGWなど
アーキテクチャ図の矢印は「このVIFを通じてここに到達できる」という論理的なルートを概念的に表したものです。矢印の数だけケーブルが増えるわけではありません。
2.2 3種類のVIFと使い分け
AWS Direct Connectは以下の3種類のVIFタイプをサポートしています。
— What is Direct Connect? - AWS Direct Connect
| VIF種類 | 接続先 | 主な用途 |
|---|---|---|
| Private VIF | 単一VPC(VGW経由)またはDXGW経由で複数VGW | プライベートIPでVPCリソースへアクセス |
| Public VIF | AWSパブリックサービス(S3, DynamoDB等) | パブリックIPアドレスでAWSサービスへアクセス |
| Transit VIF | DXGWに関連付けられたTransit Gateway | 複数VPC・複数リージョンへのスケーラブルな接続 |
2.2.1 Private VIF
プライベートVIFを使うと、VPCがお客様のネットワークの論理的なレイヤー3の延長となります。
— AWS Well-Architected Hybrid Networking Lens
2.2.2 Public VIF
パブリックVIFはインターネットへの直接アクセスを持ちませんが、他の顧客のパブリックEC2インスタンスを含む任意のAmazonパブリックリソースから到達できます。セキュリティ計画時に考慮が必要です。
— AWS Well-Architected Hybrid Networking Lens
2.2.3 Transit VIF
Transit VIFはTransit GatewayまたはCloud WANコアネットワークエッジへの接続を提供します。このVIFにより複数のVPCへの接続が可能になりますが、Transit GatewayまたはCloud WANコアネットワークエッジへのAWS Direct Connectアタッチメントにはコストが発生します。
— AWS Well-Architected Hybrid Networking Lens
2.3 なぜDirect ConnectにCustomer Gatewayは登場しないのか
Site-to-Site VPNではCustomer Gateway(CGW)というリソースを作成してオンプレミス側のデバイス情報をAWSに登録します。
しかしDirect Connectは専用物理回線で直結するため、「AWSがオンプレミス側を識別するためのIP情報登録(=CGW)」という概念が不要です。BGPピアリングはVIF上で直接設定します。
CGWが登場するのはSite-to-Site VPNの文脈のみです。試験でCGWが出てきたら「これはVPNの話だ」と判断する目安になります。
第3章 Direct Connectに関連するGateway
Direct Connectに登場するGatewayは3種類あります。
3.1 Virtual Private Gateway(VGW)
VGWはVPCに1つアタッチするゲートウェイです。Direct ConnectのPrivate VIFを直接接続する場合と、DXGWを経由して接続する場合の両方に使います。
VGWはVPCの一部であり、AWSが管理するVPN接続とAWS Direct Connect接続のエッジルーティングを提供するコンポーネントです。
— AWS Direct Connect FAQ
3.1.1 VGWアソシエーションの重要な制約
単一のDirect Connect GatewayへのアソシエーションとなっているVPC同士の直接通信はサポートされません(オンプレミスネットワーク経由のヘアピンも含む)。
— Direct Connect virtual private gateway associations
→ DXGWはNorth/South(オンプレ↔AWS)のトラフィック専用。VPC間通信はできません。
3.2 Direct Connect Gateway(DXGW)
DXGWはDirect Connectの最重要リソースです。
Direct Connect GatewayはグローバルリソースでBGPルートリフレクターの分散セットとして機能するDirect Connectの仮想コンポーネントです。データトラフィックパスの外側で動作するため、単一障害点を生まず、特定のAWSリージョンへの依存を生じさせません。高可用性は設計に組み込まれており、複数のDirect Connect Gatewayを用意する必要はありません。
— Direct Connect gateways - AWS Direct Connect
3.2.1 DXGWに関連付けられるもの
Direct Connect GatewayはVGW、Transit Gateway、AWS Cloud WANコアネットワークと関連付けることができます。
— Direct Connect gateways - AWS Direct Connect
3.2.2 スケール上限
1つのDirect Connect Gatewayに対して、最大20のVGWをアソシエートできます。Transit Gatewayは最大6つまでアソシエートできます。
— AWS Well-Architected Hybrid Networking Lens
3.3 Transit Gateway(TGW)との連携
TGWはリージョン内の大量のVPCを1つのハブに集約するリージョンリソースです。DXGWとTGWを組み合わせると、1本のDirect Connect回線から複数リージョン・複数VPCへの接続が実現します。
Direct Connect GatewayをTransit GatewayとつなぐにはTransit VIFを使います。
— Direct Connect gateways and transit gateway associations
3.3.1 TGWピアリングによるクロスリージョン通信
DXGWはNorth/Southのみ対応のため、リージョン間のVPC通信はTGWピアリングで実現します。
リージョン間のゲートウェイピアリングはVPCピアリングと同じネットワークインフラを使用し、リージョン間を移動する際に仮想ネットワーク層でAES-256暗号化が適用されます。
— Transit gateway peering attachments - Amazon VPC
第4章 接続パターン別アーキテクチャ
4.1 パターン1:Private VIF + VGW(単一VPC)
オンプレミス
↓ DX専用回線
DXロケーション
↓ Private VIF(BGP)
VGW
↓
VPC(単一リージョン)
特徴
- 最もシンプルな構成
- 同一リージョンの単一VPCに直接接続する場合に適用
- クロスリージョン・複数VPCへの接続にはDXGWが必要
4.2 パターン2:Private VIF + DXGW + VGW(複数VPC / マルチリージョン)
オンプレミス
↓ DX専用回線
DXロケーション
↓ Private VIF(BGP)
DXGW(グローバルリソース)
├─→ VGW-A → VPC(ap-northeast-1)
└─→ VGW-B → VPC(ap-southeast-1)
特徴
- DXGWを介して複数リージョン・複数アカウントのVPCへ接続可能
- VPC間(リージョン間)の直接通信は不可
- VPC数が多い場合はパターン3を推奨
4.3 パターン3:Transit VIF + DXGW + TGWピアリング(大規模・高可用性)
SAP試験で最もよく問われる構成です。
オンプレミス
├─ DX-A → Transit VIF ─→┐
└─ DX-B → Transit VIF ─→┤ DXGW(1つ:高可用性)
├─→ TGW(ap-northeast-2)
│ ├─→ VPC-1a
│ └─→ VPC-1b
└─→ TGW(ap-southeast-1)
├─→ VPC-2a
└─→ VPC-2b
TGW ←────── TGWピアリング ──────→ TGW
(リージョン間VPC通信はここで実現)
4.3.1 各要件の充足確認
| 要件 | 実現手段 |
|---|---|
| オンプレミス → 両リージョンVPC | Transit VIF + DXGW + TGWアソシエーション |
| リージョン間VPC通信 | TGWピアリング(DXGWでは不可) |
| 単一障害点なし | DX-AとDX-Bを同一DXGWに接続(DXGW自体は設計上単一障害点なし) |
4.3.2 3パターン比較
| パターン1 | パターン2 | パターン3 | |
|---|---|---|---|
| VIF種類 | Private VIF | Private VIF | Transit VIF |
| ゲートウェイ | VGWのみ | DXGW + VGW | DXGW + TGW |
| 接続できるVPC数 | 1つ | 複数(マルチリージョン可) | 数千規模 |
| クロスリージョンVPC間通信 | ✗ | ✗ | ✅(TGWピアリング) |
| 典型的な用途 | 小規模・単一VPC | マルチアカウント・リージョン | 大規模グローバル構成 |
第5章 Direct Connect + Site-to-Site VPNの組み合わせ
5.1 Site-to-Site VPNとIPsec VPNの関係
まず用語を整理します。
AWS Site-to-Site VPNはIPsec VPN接続をサポートしており、各VPN接続には高可用性のために同時使用できる2本のVPNトンネルが含まれます。
— What is AWS Site-to-Site VPN?
- IPsec:IP通信を保護するための標準プロトコルスイート
- AWS Site-to-Site VPN:IPsecを採用したAWSのマネージドサービス
つまり「IPsec VPN」という表現はプロトコルの話、「Site-to-Site VPN」はAWSサービスの話です。試験やドキュメントで「IPsec VPN」と出てきたときは文脈で判断が必要です。
5.2 なぜ組み合わせるのか
IPsec VPNは1Gbps以下のDirect Connect接続、または複数ネットワークセグメントにまたがるエンドツーエンドの暗号化が必要な高帯域Direct Connect接続に使用できます。
— AWS Direct Connect and IPSec VPN - Hybrid Networking Lens
主な目的は2つです。
- 暗号化:Direct Connectはデフォルトで暗号化されないため、IPsecで補完
- 冗長化:DX障害時にVPNにフェイルオーバーして可用性を確保
5.3 パターンA:Public VIF + IPsec VPN(暗号化目的)
オンプレミス(CGWデバイス)
↓ DX専用回線
DXロケーション
↓ Public VIF(BGPセッション①)
AWSパブリックエンドポイント(VPNエンドポイントのPublic IP)
↓ IPsecトンネル(BGPセッション②)
VGW または TGW
↓
VPC
Direct ConnectのPublic VIFは、オンプレミスとVPNエンドポイントなどのAWSパブリックリソース間の専用接続を確立します。Public VIFのBGP接続確立後、VGW・TGW・EC2上のソフトウェアVPNなどへIPsec接続を作成できます。パブリックIPアドレスを使用できる場合に推奨されます。
— AWS Direct Connect and IPSec VPN - Hybrid Networking Lens
Public VIFはAWSの全パブリックIPを広告するため、オンプレミス側でファイアウォールフィルタリングを推奨します。
5.4 パターンB:Transit VIF + プライベートIP VPN(最高セキュリティ)
オンプレミス(CGWデバイス・プライベートIP)
↓ DX専用回線
DXロケーション
↓ Transit VIF(BGPセッション①)
DXGW
↓ DXアタッチメント
TGW ←── IPsecトンネル(BGPセッション②・プライベートIP)─── オンプレミス
├─→ VPC-A
└─→ VPC-B
プライベートIP VPNは、Direct ConnectのTransit VIF上で動作し、DXGWとTransit Gatewayを使ってオンプレミスネットワークとAWS VPCを接続します。IPsecトンネルの両端にプライベートIPアドレスを割り当てます。
— Private IP AWS Site-to-Site VPN with Direct Connect
5.4.1 パターンBのメリット
- パブリックIPが不要 → DoS攻撃リスクを大幅低減
- 金融・医療・官公庁など規制要件の高い業種に推奨
- ルートスケールが大幅向上:DX単体(送信200/受信100)→ プライベートIP VPN(送信5000/受信1000)
5.5 パターンC:DX(プライマリ)+ VPN(バックアップ)
オンプレミス
├─ ①DX専用回線 ──→ DXロケーション → Private VIF ──→┐
│ VGW → VPC
└─ ②インターネット ───→ IPsecトンネル ────────────→┘
(DX障害時にBGPで自動フェイルオーバー)
Direct Connect Gatewayは AWS VPN CloudHub機能をサポートしません。ただし、Direct Connect Gatewayに関連付けられたVGWへのSite-to-Site VPN接続がある場合は、フェイルオーバーにそのVPN接続を使用できます。
— AWS Direct Connect FAQ
DXGWとVPNバックアップを組み合わせる場合は、VGWに対してPrivate VIFを直接接続する必要があります(DXGWはVPN CloudHubをサポートしないため)。
5.5.1 3パターン比較
| パターンA | パターンB | パターンC | |
|---|---|---|---|
| VIF種類 | Public VIF | Transit VIF | Private VIF |
| VPNの役割 | 暗号化(常時) | 暗号化(常時) | フェイルオーバー |
| パブリックIP | 必要 | 不要 | VPN側は必要 |
| AWS側終端 | VGW / TGW / EC2 | TGWのみ | VGW |
| 主なユースケース | 暗号化が必要な一般用途 | 金融・医療・官公庁 | DX障害への冗長化 |
第6章 SAP試験で問われるポイントまとめ
6.1 よくある引っかけと正しい判断軸
6.1.1 引っかけ1:「Transit GatewayにPrivate VIFで接続する」
Private VIFはプライベートIPアドレスを使ってAmazon VPCにアクセスするために使用するものです。
— What is Direct Connect?
Transit GatewayにはTransit VIFが必要です。Private VIFはVPC(VGW)への直接接続専用。
6.1.2 引っかけ2:「DXGWがリージョン間VPCトラフィックをルーティングできる」
Direct Connect Gatewayは、同じDirect Connect Gateway上のゲートウェイアソシエーション同士がトラフィックを送り合うことを許可しません。
— Direct Connect gateways
クロスリージョンVPC通信にはTGWピアリングが必須です。
6.1.3 引っかけ3:「DX-AとDX-Bを別々のDXGWに接続してGW同士をピアリングする」
DXGWはグローバルリソースであり、設計上単一障害点がありません。2本の回線を同一DXGWに接続するだけで高可用性が実現します。DXGWを分ける必要はなく、構成が複雑になるだけです。
6.2 問題を解くフローチャート
マルチリージョン or 複数VPCへの接続が必要?
├─ Yes → Transit VIF + DXGW + TGW
└─ No → Private VIF + VGW(または DXGW経由)
リージョン間のVPC間通信が必要?
├─ Yes → TGWピアリング必須(DXGWでは不可)
└─ No → DXGWのみで対応可
単一障害点の排除が必要?
├─ Yes → 2本のDX接続を同一DXGWに接続(DX-A + DX-B → 同一DXGW)
└─ No → 1本でも可
暗号化が必要?
├─ パブリックIP可 → Public VIF + IPsec VPN
├─ パブリックIP不可 → Transit VIF + プライベートIP VPN
└─ 暗号化不要 → DXのみ(MACsecオプションで物理層暗号化も可能)
まとめ
Direct Connectの全体像を整理すると以下のようになります。
【物理層】
オンプレミス ───光ファイバー1本─── DXロケーション ─── AWSネットワーク
【論理層(VIFで区切る)】
Private VIF → VGW → 単一VPC
Public VIF → AWSパブリックサービス(S3等)
Transit VIF → DXGW → TGW → 複数VPC(同一リージョン)
↕(TGWピアリング)
TGW → 複数VPC(別リージョン)
VIFは「線」ではなく「物理回線上にVLAN+BGPで定義する設定オブジェクト」という理解が、Direct Connect全体の概念整理に繋がります。
この記事がSAP対策の助けになれば嬉しいです!間違いや補足があればコメントで教えてください🙏
参考資料(AWS公式ドキュメント)
- What is AWS Direct Connect?
- Direct Connect virtual interfaces and hosted virtual interfaces
- Direct Connect gateways
- Direct Connect gateways and transit gateway associations
- Direct Connect virtual private gateway associations
- Transit gateway peering attachments
- What is AWS Site-to-Site VPN?
- Private IP AWS Site-to-Site VPN with Direct Connect
- AWS Direct Connect and IPSec VPN - Hybrid Networking Lens
- AWS Direct Connect - Amazon VPC Connectivity Options
- AWS Direct Connect FAQ