本記事について
この記事では3回目のANS-C01を受けるにあたって勉強した内容を整理するための記事です。
詳しくはこちらをご覧ください。
今回はAWSで良く使用されるVPNサービスの比較記事となります。
VPNについて
AWSで使用されるVPNサービスは主に以下の二つです
- site-to-site VPN
- client VPN
今回はそれぞれのVPNの特徴について整理します
site-to-site VPN
- AWSのVPCとオンプレのデータセンターネットワークをIPsecでつなげる。
- VPCにはVirtual Gateway(or Transit Gateway)
- オンプレ側にはCustomer Gateway
を設置する。
注意点
-
Virtual GatewayはVPCにつき一個のみ設置可能
-
プライベートASN番号を採番可能で、ルーティングの優先順位付けに使用可
-
各ゲートウェイにパブリックIPが必要
-
冗長化を行う場合
- CGWとVGWそれぞれ一つに対してVPN接続を二つ設置
- CGW、VGWが1つ、VPNが2つ
- VGWは内部的に冗長化しているが、CGWは冗長化できていない
- CGW2つに対してVPN接続を1つずつ設置VGWは1つのみ
- CGW、VPN接続が2つ、VGWが1つ
- CGW2つでCGW1つに対してVPN接続を2つずつ設置、VGWは1つ
- CGWは2つ、VGWは1つ、VPN接続は4つ
- CGWとVGWそれぞれ一つに対してVPN接続を二つ設置
-
経路選択方法について
- LPを選択
- 値が低い方が優先度高い
- TGWにおけるルートテーブル
- ロンゲストマッチが適用される
- マッチの長さが同じ場合は優先度はDirect Connect > VPN
- LPを選択
-
ECMP(Equal Cost Multi Path)について
- 同じ帯域のVPNを束ねて高帯域化させる仕組み
- Transit Gatewayでの接続の時に有効化できる
- 同じ帯域のVPNを束ねて高帯域化させる仕組み
Customer Gateway
- AWSのVPCと自身のクライアント端末を直接VPN接続でつなげる。
- VPCのサブネットにはENI
- オンプレ側にはクライアントVPNエンドポイント(Open VPN Client等)
を設置する。
注意点
- ENIにはセキュリティグループを設置可能
- クライアントはプライベートIPアドレスのみで設定可能
- ただし、クライアントとAWSのサブネットのCIDRの範囲は重複してはならない
- VOC内のEC2と同じような振る舞いをすることが出来る
- VPCピアリング先と通信できる、等
まとめ
基本的にエンタープライズで使用するVPNとなるとsite-to-siteになりそう。
site-to-siteはネットワーク間の延長、client VPNはオンプレのパソコンをあたかもEC2かのように使用するための接続mという印象を受けた。