はじめに
AWS Solutions Architect Associate (SAA) の学習中に整理した Direct Connect / Site-to-Site VPN / Transit Gateway 関連の知識をまとめました。
ハイブリッド接続の設計は試験で頻繁に出題され、「暗号化の有無」「構築時間」「スループット」「VPC 間の推移的ルーティング」など、複数の判断軸を理解しておく必要があります。
本記事は個人の学習ノートをベースにしています。誤りがあればコメントでご指摘いただけると助かります。
サービス概要
Direct Connect vs Site-to-Site VPN
| Direct Connect | Site-to-Site VPN | |
|---|---|---|
| 経路 | 専用プライベート回線 | パブリックインターネット |
| 暗号化 | ❌ デフォルトなし(VPN 追加可能) | ✅ IPSec |
| 帯域幅 | 高(1/10/100 Gbps) | 低〜中 |
| レイテンシー | 低(安定) | 変動あり |
| 構築時間 | 数週間〜数ヶ月 | 数分 |
| コスト | 高 | 低 |
| 用途 | プライマリ接続 | バックアップ / 即時接続 |
超重要: Direct Connect はデフォルトでトラフィックを暗号化しない。「暗号化 + 最速セットアップ」が要件なら VPN を選びます。
Direct Connect VIF の種類
| VIF | 接続先 | 用途 |
|---|---|---|
| Private VIF | VGW(単一 VPC)/ DX Gateway | 1つの VPC へのプライベート接続 |
| Transit VIF | Transit Gateway | 複数 VPC への一元接続 |
| Public VIF | AWS パブリックサービス | S3 等のパブリックエンドポイント |
Direct Connect Gateway
- グローバルリソース(リージョンに依存しない)
- 任意のリージョンの VPC(VGW 経由)を Direct Connect に接続可能
- 複数の Direct Connect リンクを1つの DX Gateway に接続可能
- DX Gateway 経由なら複数リージョンの VPC を1本の DX Link で接続できる
Transit Gateway
- ハブ&スポーク(スター型) トポロジー
- 推移的ルーティング対応
- VPC + オンプレ接続を一元管理
- ECMP サポート(動的ルーティング / BGP 必要)
- AWS がインフラ管理(HA、冗長化、スケーリング)
Transit Gateway vs VPN CloudHub
| Transit Gateway | VPN CloudHub | |
|---|---|---|
| スケール | 大規模(数千 VPC) | 小〜中規模(複数拠点) |
| VPC 間接続 | ✅ | △(VGW 経由) |
| 複雑さ | 中 | シンプル |
| コスト | 高め | 低め |
Transit Gateway vs VPC Peering
| Transit Gateway | VPC Peering | |
|---|---|---|
| 推移的ルーティング | ✅ | ❌ |
| オンプレ接続 | ✅ | ❌ |
| スケーラビリティ | ✅ | ❌(フルメッシュ必要) |
VPC Peering は推移的ルーティングに対応しないため、5 VPC のフルメッシュには10ピアリング、10 VPC なら45ピアリングが必要になります。
Site-to-Site VPN の構成
| コンポーネント | 場所 |
|---|---|
| Virtual Private Gateway(VGW) | AWS 側 |
| Customer Gateway | オンプレ側 |
覚え方: VGW = VPC 側、Customer Gateway = Customer 側
VPN スループット
- 単一 VPN トンネル最大 = 1.25 Gbps
- Transit Gateway + ECMP で複数トンネルにスケール可能
- VGW は ECMP 非対応
試験で問われる設計パターン
Direct Connect 系
マルチリージョン + マルチ DC + Direct Connect → DX Gateway
シナリオ: us-west-2 と eu-central-1 に複数の VPC があり、2つのオンプレミスデータセンターが Direct Connect で接続されています。すべてを完全に接続するにはどうすべきでしょうか?
正解: 共有 Direct Connect Gateway + 各リージョンの VGW をアタッチ
- DX Gateway はグローバルで、クロスリージョン VPC 接続が可能
- Inter-Region VPC ピアリングは推移的ルーティング不可
- Private VIF はクロスリージョン不可
ハイブリッド接続: プライマリ → Direct Connect、バックアップ → VPN
シナリオ: オンプレミスと AWS の接続にプライマリとバックアップの2つの経路を確保したいです。どの組み合わせが最適でしょうか?(2つ選択)
正解:
- Direct Connect = プライマリ
- Site-to-Site VPN = バックアップ
- DX をバックアップにするとコストが高く、同じ障害の可能性がある
- VPN は異なる経路(インターネット)→ 障害分離になる
Transit Gateway 系
VPC + オンプレを中央ハブで接続 + 運用負荷最小 → Transit Gateway
シナリオ: 複数の VPC とオンプレミスを中央のハブで接続し、運用負荷を最小にしたいです。どのサービスが最適でしょうか?
正解: AWS Transit Gateway
- ハブ&スポーク、推移的ルーティング
- Transit VPC はレガシー(EC2 VPN アプライアンスを自己管理)
- VPC Peering はオンプレ接続不可
VPN スループット最大化 → Transit Gateway + ECMP
シナリオ: Site-to-Site VPN のスループットが 1.25 Gbps で足りません。スループットを最大化するにはどうすべきでしょうか?
正解: Transit Gateway + ECMP + 追加 VPN トンネル
- VGW は ECMP 非対応(最大 1.25 Gbps で固定)
- TGW + ECMP + BGP で複数トンネルにスケール可能
25 VPC + Direct Connect + フルメッシュ接続 → Transit Gateway + Transit VIF
シナリオ: 25個の VPC を Direct Connect 経由でフルメッシュ接続したいです。どの構成が最適でしょうか?(2つ選択)
正解:
- Transit Gateway に全25 VPC + ルート伝播有効化
- Direct Connect から Transit VIF を作成して TGW に関連付け
- 25 VPN は運用が複雑(DX があるなら不要)
- DX Gateway は VPC 間のトランジティブルーティング不可
複数 VPC 相互接続 + スケーラブル → Transit Gateway
シナリオ: 複数の VPC を相互接続したいですが、VPC の数が増えてもスケーラブルに対応できる方法はどれでしょうか?
正解: AWS Transit Gateway
- VPC Peering は推移的ルーティング不可(フルメッシュが必要)
- 5 VPC フルメッシュ = 10ピアリング、10 VPC = 45ピアリング
VPN CloudHub 系
複数拠点間の相互通信(VPN + DX 混在)→ VPN CloudHub
シナリオ: 本社は Direct Connect、支社は Site-to-Site VPN で接続しています。支社同士および本社間で双方向に通信させたいです。どの方法が最適でしょうか?
正解: AWS VPN CloudHub
- 複数 VPN + DX を1つの VGW に集約
- VPC Peering は拠点間通信用ではない
VPN 系
Site-to-Site VPN 構成 → VGW + Customer Gateway
シナリオ: Site-to-Site VPN を構築する際、AWS 側とオンプレ側にそれぞれ何が必要ですか?
正解: VGW = AWS 側、Customer Gateway = オンプレ側
オンプレ ↔ AWS 暗号化接続 + 最速セットアップ → Site-to-Site VPN
シナリオ: オンプレミスと AWS の間に暗号化された接続を、できるだけ早く確立したいです。どの方法が最適でしょうか?
正解: AWS Site-to-Site VPN
- Direct Connect はデフォルトでトラフィックを暗号化しない
- 「暗号化 + 最速」→ VPN(DX は数週間〜数ヶ月かかる)
オンプレ → AWS 暗号化接続 + きめ細かいアクセス制御 → VPN + SG/NACL
シナリオ: オンプレミスから AWS への暗号化接続を確立し、VPC 内のリソースへのアクセスをきめ細かく制御したいです。
正解: Site-to-Site VPN(IPsec)+ ルートテーブル + SG + NACL
- Direct Connect はデフォルト暗号化なし
- Client VPN は個人 → VPC 用(サイト間ではない)
おわりに
ハイブリッド接続の設計は、「暗号化が必要か」「構築時間の制約」「VPC 間の推移的ルーティングが必要か」「スループット要件」の4つの判断軸で整理できます。特に「Direct Connect は暗号化しない」「VGW は ECMP 非対応」「Transit Gateway は推移的ルーティング対応」の3つは試験で頻出なので、確実に押さえておきましょう。
間違いや補足があればぜひコメントで教えてください。