背景
- Shizen Connect が提供しているサービスは、エッジ端末「Shizen Box 2」が家庭用蓄電池等の各種エネルギー機器と接続し、AWS 上のサービスと連携して、遠隔からの監視・制御を可能にしています。
- Shizen Box 2 と AWSの間の通信は、以前ご紹介した SORACOM を使った LTE 通信を用いることが多いです。しかしながら、Shizen Box を設置するお客様のセキュリティポリシーや設置場所の電波状況によっては、専用線で接続するといった場合もあります。
- Shizen Box を配置するオンプレミスの環境と、専用線サービスの IP-VPN を介して AWS を接続する場合は、AWS Direct Connect を使用することになります。その際の、接続方式は複数種類あり、要件により選択する必要があるのですが、比較選定した内容を今回ご紹介します。
- 3回に分けて IoT エッジ端末から AWS までの Direct Connect 接続の事例をご紹介します。同様なケースの参考になればと思います。
通信要件
- Shizen Box から AWS IoT Core への MQTTs 通信
- Shizen Box から Amazon S3 への HTTPS 通信
- 運用者による AWS から Shizen Box への SSH 通信
実現方式
実現方式は以下の3つを比較しました。構成図を以下に示します。
-
Public VIF 方式
-
Private VIF 方式
-
Transit VIF 方式
実現方式詳細
1. AWS Direct Connect : Public VIF 方式
- Public VIF 接続の場合、AWS の パブリックサービスである IoT Core / S3 へのアクセスは、パブリック IP 宛てのアクセスになります。トラフィックは AWS のグローバルネットワーク内に留まり、インターネットには出ません。ただし AWS のパブリックサービス基盤は他の AWS 顧客と共用となるため、セキュリティポリシーに合致するか確認が必要です。
- セキュリティ面では、Shizen Box から IoT Core までは TLS による相互認証(mTLS)で暗号化、Shizen Box から S3 へのアクセスは 署名付き URL に対する HTTPS 暗号化通信となるため、エンドツーエンドで保護されます。
- パブリック IP へのアクセスとなり AWS VPC を介さないため、オンプレミス拠点と AWS VPC の プライベート IP の CIDR 重複を考慮する必要がありません。
- Public VIF では、BGP で広報する パブリック IP アドレスが必要です。多くの IP-VPN サービスでは事業者側で用意されるため、実務上はサービス仕様の確認ポイントになります。
2. AWS Direct Connect : Private VIF 方式
- 全域プライベート接続になります。Virtual Private Gateway(VGW)経由で単一 VPC に接続します。
- オンプレミス拠点と AWS VPC がプライベート IP でつながるため、VPC CIDR と拠点のネットワーク CIDR が重複しないようネットワーク設計をする必要があります。
- Private VIF 経由で IoT Core / S3 に到達するには、VPC 内に VPC エンドポイント(S3 は Gateway 型、IoT Core は Interface 型 = AWS PrivateLink)を構築する必要があります。Interface 型エンドポイントは時間課金+データ処理課金が発生する点に注意が必要です。
3. AWS Direct Connect : Transit VIF 方式
- 全域プライベート接続になります。Direct Connect Gateway + Transit Gateway 経由で接続します。
- オンプレミス拠点と AWS VPC がプライベート IP でつながるため、CIDR が重複しないようネットワーク設計をする必要があります。
- Transit Gateway を介するため、複数 VPC への接続に拡張しやすい構成です。(1 本の Transit VIF + Transit Gateway で多数の VPC をまとめて接続可能です。)
- Private VIF と同様、IoT Core / S3 への到達には VPC エンドポイントが必要です。
選定結果
比較の上、Public VIF 方式を選定しました。
選定理由
- セキュリティ:mTLS / HTTPS によるエンドツーエンド暗号化でセキュリティ要件を満たす。
- 構築工数:最小。オンプレミス向けの VPC / Subnet も VPC エンドポイントも不要、
- 拡張性:拠点追加は Public VIF を増やすだけ。CIDR の重複を考慮する必要がない。
- コスト:最安。追加リソース(VPC エンドポイント・Transit Gateway)が不要。
比較表
| 比較観点 | ① Public VIF(採用) | ② Private VIF | ③ Transit VIF |
|---|---|---|---|
| 接続範囲 | AWS パブリックサービス(IoT Core / S3)。VPC を介さない。 | 単一 VPC へ全域プライベート接続 | Transit Gateway 経由で複数 VPC へプライベート接続 |
| セキュリティ | ◎ エンドツーエンド暗号化(mTLS / HTTPS)で担保。トラフィックは AWS 網内に留まりインターネットに出ない | ◎ 全域プライベート接続 | ◎ 全域プライベート接続 |
| 構築工数 | ◎ 小。オンプレミス向けの VPC / Subnet 不要。既存 NW との CIDR 重複回避や VPC エンドポイント構築も不要 | △ 中。VPC / Subnet・CIDR 設計が必要。IoT Core / S3 用に VPC エンドポイントの構築が必要 | × 大。VPC / Subnet・CIDR 設計に加え、DX Gateway + Transit Gateway の構築・VPC エンドポイントが必要 |
| 拡張性 | ○ 拠点追加は Public VIF を追加。VPC 構成は不要なまま | ○ 拠点追加は Private VIF を追加。CIDR 重複に都度注意が必要。 | ◎ 複数 VPC への拡張は容易。ただし拠点追加用の Transit VIF は専用接続あたり最大 4 本まで。CIDR 重複に都度注意が必要。 |
| コスト | DX のポート時間料金とデータ転送料金(送信)のみ。追加リソースなし | ①に加えて、IoT Core 用の Interface 型 VPC エンドポイント(時間課金+約 $0.01/GB) | ①に加えて、VPC エンドポイントと Transit Gateway(アタッチメント約 $0.05〜0.07/時間+データ処理 $0.02/GB) |
◎: 優れる / ○: 良い / △: やや劣る / ×: 劣る
※ DX のポート時間料金・データ転送(DTO)は VIF 種別によらず共通。コスト差は上表の「+」部分(追加リソース)に起因します。金額は東京リージョン概算(2026年6月時点)。
次回予告
- Direct Connect Public VIF を使用する場合、「運用者による AWS から Shizen Box への SSH 通信」の実現が課題になります。Public VIF 接続はオンプレミス環境と AWS VPC を接続するわけではなく、あくまでパブリックサービスに接続する形のため、例えば AWS VPC に構築した EC2 の Bastion サーバから SSH でエッジ端末に接続することができません。
- 次回、運用接続を AWS IoT secure tunneling と SSM Agent を比較して選定した事例をご紹介します。