目次
はじめに
こんにちは、エーピーコミュニケーションズ クラウド事業部の高橋です。
今回のブログでは、外部環境と AWS をセキュアに接続する方法の概要について調査して書いてみたいと思います!
外部環境と AWS の接続には主に3つの方法があり、それぞれの特徴と料金体系や通信速度などにも比較してみたいと思います!
今回もよろしくお願いします!
どんなひとに読んで欲しい
- 外部環境と AWS 間のネットワーク接続について概要を知りたい人
- VPN や Direct Connect などの AWS へのネットワーク接続の種類の違いについて知りたい人
外部環境から AWS への接続方法
まずはじめに、外部環境から AWS への接続する方法としては、大きく分けて以下の2種類があります。
・インターネット回線を使用した接続
・専用回線を使用した接続
また、「インターネット回線を使った接続」とは、VPN (Virtual Private Network) と呼ばれる仮想の専用線を設定することでインターネットを通じたプライベートなネットワーク接続であり、AWS が提供する VPN (AWS
VPN) では以下の2種類のサービスがあります。
・リモートアクセス VPN
・拠点間 VPN
すなわち、VPN を使用した接続2種類と専用回線を使用した接続1種類、計3種類の方法がありますので、それぞれ確認していきたいと思います!
① AWS Client VPN
AWS Client VPN は、インターネット回線を利用して接続するリモートアクセス VPN サービスです。
名前のとおり、クライアント PC やスマートフォンやタブレットなどの様々な端末から VPN 接続にて AWS のリソースにアクセスすることができます。
そのため、端末や場所を問わずに AWS リソースにアクセスできることにより、ユーザーがリモートワークなどの柔軟なワークスタイルに対応できます!
端末側に VPN クライアントアプリケーション (VPN 接続を実現するためのソフトウェア) をインストールし、AWS 側にクライアント VPN エンドポイントを作成してターゲットネットワーク (VPC とサブネット) を関連付けすることによって通信することが可能となります。
また、AWS Client VPN は SSL-VPN 接続方式で、SSL/TLS プロトコルにて暗号化され、ブラウザから HTTPS 接続やクライアントツールから SSH 接続などでアクセスすることとなります。
以上を踏まえたうえで、AWS Client VPN を利用した EC2 インスタンスへのアクセスを簡潔に図式に表してみました。
補足ですが、端末側にインストールする VPN クライアントアプリケーションは、AWS から提供されている VPN クライアントアプリケーション以外にも、OpenVPN 等が提供している VPN クライアントアプリケーションも利用できます。
(どうやら、以前は AWS 自らの VPN クライアントアプリケーションは提供していなかったようです)
AWS が提供するクライアントを使用して接続する - AWS Client VPN
OpenVPN クライアントを使用して接続する - AWS Client VPN
② AWS Site-to-Site VPN
AWS Site-to-Site VPN は、インターネット回線を利用して接続する拠点間 VPN サービスです。
"拠点間”、すなわちオンプレミスや社内データセンターなどの拠点ネットワークと AWS 間をインターネットを経由して VPN 接続できるようにします。
また、特定の端末や拠点だけでなく複数の拠点から AWS に接続することができ、拠点ネットワーク全体から AWS に接続するので個々の端末が拠点ネットワークに接続されていれば社内 LAN のようにクラウドに接続できます。
オンプレ環境などの拠点側のルーター (インターフェイス) に紐づけるようにカスタマーゲートウェイを作成し、AWS 側では仮想プライベートゲートウェイもしくはトランジットゲートウェイを作成し、接続したい VPC にアタッチすることによって通信することが可能となります。
仮想プライベートゲートウェイとトランジットゲートウェイの違いを簡単に説明しますと、1つの拠点と1つの AWS VPC の1対1で接続する場合は仮想プライベートゲートウェイ、一方、複数の拠点と複数の AWS VPC (複数のリージョンや AWS アカウントに跨るなど) で接続する場合はトランジットゲートウェイを利用する、と認識いただけたらと思います!
また、AWS Site-to-Site VPN では、IPsec-VPN 接続方式で、IP パケットを暗号化・カプセル化し IPsec トンネルで接続します。
パケットの暗号化/カプセル化や復号/非カプセル化などは全て VPN を実装したルーター内で行われるため、基本的にクライアント端末に VPN クライアントアプリケーションなどのインストールは必要ありません。
<備考>
AWS Site-to-Site VPN は、トンネルのオプションとして、冗長性を確保するために、1つの Site-to-Site VPN 構成に異なるアベイラビリティーゾーンで2つのトンネルを設定することができます。
これにより、例えばメンテナンスにより片方のトンネルが使用できなくなったとき、もう片方の使用可能なトンネルへ自動的にルーティングされて通信することが可能となります。
当ブログでは、AWS Site-to-Site VPN の詳細なオプションや設定には触れませんが、以下の AWS 公開ドキュメントを参考にしていただけたらと思います。
Site-to-Site VPN 接続のトンネルオプション - AWS Site-to-Site VPN
以上を踏まえたうえで、AWS Site-to-Site VPN を利用した 複数 VPC の EC2 インスタンスへのアクセスを簡潔に図式に表してみました!
③ AWS Direct Connect
AWS Direct Connect (DX とも呼ばれます) は、インターネット回線を利用せず、専用回線を使用した閉域ネットワーク接続できるサービスです。
インターネットから物理的に分離された専用回線であるため、不正アクセスなどに侵されにくく安全性が高く、また、他の回線からの通信量の影響を受けないために通信速度も安定します。
この接続方法で一番重要なのが AWS Direct Connect ロケーションです。
AWS Direct Connect ロケーションは、各データセンター事業者によって運営されている世界各地の AWS リージョンのコロケーションデータセンターに存在しており、そのデータセンターの AWS Direct Connect ロケーション内には AWS Direct Connect ルーターが設置されています。
また、ユーザーは AWS Direct Connect デリバリーのパートナーとキャリア契約を結び、AWS Direct Connect ロケーションがあるデータセンターにユーザー専用ルーターを設置して AWS Direct Connect ルーターと繋ぎます。
そして、オンプレ環境などの拠点とデータセンターに設置したユーザー専用ルーターを専用回線で接続することによって、AWS Direct Connect にてクラウドに接続することが可能となります。
また、Direct Connect ゲートウェイを使用することで、複数リージョンの VPC との接続や VPC を追加する際の設定が容易になるなどのメリットがあります。
(Direct Connect ゲートウェイを使用しなくとも AWS Direct Connect は構築できますが、Direct Connect ゲートウェイは無料ということもあり、要件が特段ない限り現在では使用することが基本のようです)
そして、Direct Connect ゲートウェイとトランジットゲートウェイを関連付けて組み合わせることにより、複数リージョン× AWS 内の複数 VPC 間の通信×オンプレ環境間の通信といった複雑になりがちな構成もシンプルな構成に整理することが可能となります。
以上を踏まえたうえで、AWS Direct Connect を利用した 複数リージョンに存在する複数の VPC の EC2 インスタンスへのアクセスを簡潔に図式に表してみました!
各接続方法の比較
前項にて各接続方法の概要は把握できましたので、その他の特徴なども踏まえて比較表に表してみました!
*1
専用接続とは準備されたポートを単一のユーザー占有で利用できる接続方法であり、ホスト型接続とは AWS Direct Connect デリバリーパートナーが提供しているポート対して複数のユーザーをホストし共有する接続方法です。
詳細については、以下のリンクから確認できます。
AWS Direct Connect 接続 - AWS Direct Connect
AWS Direct Connect デリバリーパートナー
*2
AWS Site-to-Site VPN のデータ転送において、AWS 側のデータ受信については料金は発生しません。
また、アクセラレーションを有効化し、高可用・高パフォーマンスな Accelerated サイト間 VPN を利用することにより、料金が大きく変動します。
詳細については、以下のリンクから確認できます。
AWS VPN の料金
AWS Global Accelerator の料金
おわりに
今回は、外部環境から AWS に接続する3つの方法について、概要的に書いてみました!
それぞれの接続方法をいざ構築する際には、上述した内容だけでなく、さらに認証方法や冗長化など様々な要素も考慮して設計していかなければなりません。
今回のブログは、AWS における VPN 接続や Direct Connect について、概要や簡単な比較として入門的に参考にしていただけたら幸いです!
ご拝読いただき、ありがとうございました!
お知らせ
APCはAWS Advanced Tier Services(アドバンストティアサービスパートナー)認定を受けております。
その中で私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。
www.ap-com.co.jp
https://www.ap-com.co.jp/service/utilize-aws/
また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。
