Amazon Virtual Private Cloud
ユーザーガイド (API Version 2014-02-01)
« 前次 »
View the PDF for this guide.Go to the AWS Discussion Forum for this product.このページは役に立ちましたか?  はい | いいえ |  AWS にお問い合わせください...

VPC へのハードウェア仮想プライベートゲートウェイの追加

デフォルトでは、Virtual Private Cloud(VPC)内に起動されるインスタンスとユーザー独自のネットワークとの通信はできません。VPC から独自のネットワークへのアクセスを可能にするには、仮想プライベートゲートウェイを VPC に関連付け、カスタムルートテーブルを作成して、セキュリティグループ規則を更新します。

このプロセスは、このページの説明にしたがって手動で実行することも、VPC 作成ウィザードを使用して多くのステップを自動的に実行することもできます。VPC 作成ウィザードを使用して仮想プライベートゲートウェイを設定する方法の詳細については、「シナリオ 3: パブリックサブネットとプライベートサブネット、およびハードウェア VPN アクセスを持つ VPC」または「シナリオ 4: 1 つのプライベートサブネットのみ、およびハードウェア VPN アクセスを持つ VPC」を参照してください。

VPN 接続という用語は一般的な用語ですが、VPC のドキュメントにおいては、VPN 接続は VPC とユーザー独自のネットワーク間の接続を指します。

お客様の VPC で VPN 接続を使用する場合の料金について詳しくは、「Amazon VPC 製品のページ」を参照してください。

VPN のコンポーネント

VPN 接続は次のコンポーネントで構成されます。

仮想プライベートゲートウェイ

仮想プライベートゲートウェイは、VPN 接続の Amazon 側にある VPN コンセントレータです。

リージョン当たりの仮想プライベートゲートウェイの最大数や、VPC 内の他のコンポーネントに適用される制限については、「Amazon VPC 制限」を参照してください。

カスタマーゲートウェイ

カスタマーゲートウェイは、VPN 接続のユーザー側にある物理的なデバイスまたはソフトウェアアプリケーションです。

Amazon VPC でテスト済みのカスタマーゲートウェイの一覧を確認するには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。

VPN の設定例

次の図に単一および複数の VPN 接続を示します。VPC には仮想プライベートゲートウェイが関連付けられていて、ネットワークにはカスタマーゲートウェイが使用されています。カスタマーゲートウェイは、VPN 接続を有効にするように設定する必要があります。ルーティングを設定して、VPC からユーザーネットワークに向けてのトラフィックが仮想プライベートゲートウェイにルーティングされるようにします。

単一の VPC に対して複数の VPN 接続を作成する場合、2 番目のカスタマーゲートウェイを設定して、外部にある同一の場所への冗長な接続を作成できます。また、複数の地理的な場所への VPN 接続を作成することもできます。

単一の VPN 接続

VPN のレイアウト

複数の VPN 接続

複数 VPN のレイアウト

VPN のルーティングオプション

VPN 接続を作成する場合、使用するルーティングのタイプを指定する必要があります。選択するルーティングのタイプは、VPN デバイスの構成とモデルによって異なります。VPN デバイスがボーダーゲートウェイプロトコル(BGP)をサポートしている場合は、VPN 接続を設定するときに動的ルーティングを指定します。デバイスが BGP をサポートしていない場合は、静的ルーティングを指定します。Amazon VPC でテスト済みの静的ルーティングデバイスと動的ルーティングデバイスの一覧を確認するには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。

BGP デバイスを使用する場合は、BGP を使用してデバイスから仮想プライベートゲートウェイにルートがアドバタイズされるので、VPN 接続への静的ルートを指定する必要はありません。BGP をサポートしていないデバイスを使用する場合は、静的ルーティングを選択し、仮想プライベートゲートウェイに通知するネットワークのルート(IP プレフィックス)を入力する必要があります。BGP アドバタイズを使用するか静的ルートエントリを使用するかにかかわらず、VPC からのトラフィックを受信できるのは、仮想プライベートゲートウェイに対して既知の IP プレフィックスのみです。

使用可能な場合は BGP に対応したデバイスを使用することをお勧めします。BGP プロトコルは安定したライブ状態検出チェックが可能であり、1 番目のトンネル停止時の 2 番目の VPN トンネルへのフェイルオーバーに役立ちます。BGP をサポートしていないデバイスでも、ヘルスチェックを実行することによって、必要時に 2 番目のトンネルへのフェイルオーバーを支援できます。

VPN 接続に必要なもの

VPN 接続で Amazon VPC を使用するには、ユーザー自身またはネットワーク管理者が物理的なアプライアンスをカスタマーゲートウェイとして指定し、設定する必要があります。VPN 事前共有キーおよび VPN 接続の設定に関連したその他のパラメータを含む必須の設定情報は、Amazon から提供されます。この設定はネットワーク管理者が行うのが一般的です。カスタマーゲートウェイの要件および設定については、「Amazon Virtual Private Cloud ネットワーク管理者ガイド」を参照してください。

次の表は、VPN 接続を確立するために必要な情報の一覧です。

項目用途コメント

カスタマーゲートウェイのタイプ(例: Cisco ASA、Juniper J-Series、Juniper SSG、Yamaha)

返される情報(カスタマーゲートウェイの設定に使用する)の形式を指定します。

当社でテスト済みのデバイスの詳細については、Amazon VPC よくある質問で「Amazon VPC で機能することが知られているカスタマーゲートウェイ装置にはどのようなものがありますか?」を参照してください。

カスタマーゲートウェイの外部インターフェイスの、インターネットでルーティング可能な IP アドレス(静的)

カスタマーゲートウェイを作成して設定するために使用されます。YOUR_UPLINK_ADDRESS と呼ばれます。

値が静的な値であること、および、ネットワークアドレス変換(NAT)を実行するデバイスの背後ではないことが必要です。

(オプション)動的にルーティングされる VPN 接続を作成する場合は、カスタマーゲートウェイのボーダーゲートウェイプロトコル(BGP)自律システム番号(ASN)。

カスタマーゲートウェイを作成して設定するために使用されます。YOUR_BGP_ASN と呼ばれます。

コンソールでウィザードを使用して VPC を設定すると、ASN として自動的に 65000 が使用されます。

ネットワークに割り当てられている既存の ASN を使用できます。既存の ASN がない場合は、プライベート ASN(64512 から 65534 までの範囲)を使用できます。ASN の詳細については、「Wikipedia の記事」を参照してください。

Amazon VPC は 2 バイトの ASN 番号をサポートしています。

VPC への VPN 接続を通してアドバタイズする内部ネッ ワーク IP の範囲。

静的ルーターを指定するために使用されます。

VPN 接続用に 2 つの VPN トンネルを設定する

ネットワークを VPC に接続するには、VPN 接続を使用します。各 VPN 接続には 2 つのトンネルがあり、それぞれのトンネルが固有の仮想プライベートゲートウェイのパブリック IP アドレスを使用します。冗長性を確保するために両方のトンネルを設定することが重要です。1 つのトンネルが使用できなくなったとき(例えばメンテナンスのために停止)、ネットワークトラフィックはその特定の VPN 接続用に使用可能なトンネルへ自動的にルーティングされます。

次の図は、VPN 接続の 2 つのトンネルを示しています。

冗長な VPN 接続を使用してフェイルオーバーを提供する

前述のように、VPN 接続では、接続の 1 つが使用できなくなった場合に備えて 2 つのトンネルを設定します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 番目のカスタマーゲートウェイを使用して、VPC への 2 番目の VPN 接続を設定できます。冗長な VPN 接続とカスタマーゲートウェイを使用すれば、1 つのカスタマーゲートウェイでメンテナンスを実行しながら、2 番目のカスタマーゲートウェイの VPN 接続を通してトラフィックの送信を継続することができます。冗長な VPN 接続とカスタマーゲートウェイをネットワークに確立するには、2 番目の VPN 接続をセットアップする必要があります。2 番目の VPN 接続のカスタマーゲートウェイの IP アドレスはパブリックにアクセス可能である必要があり、1 番目の VPN 接続に使用しているパブリック IP アドレスと同じアドレスにすることはできません。

次の図は、VPN 接続の 2 つのトンネルと 2 つのカスタマーゲートウェイを示しています。

動的にルーティングされる VPN 接続では、ボーダーゲートウェイプロトコル(BGP)を使用して、カスタマーゲートウェイと仮想プライベートゲートウェイ間で情報をルーティングします。静的にルーティングされる VPN 接続では、カスタマーゲートウェイのユーザー側でネットワークの静的ルートを入力する必要があります。BGP でアドバタイズされ、静的に入力されたルート情報によって、双方のゲートウェイで使用可能なトンネルが判別され、障害発生時にトラフィックが再ルーティングされます。BGP(使用可能な場合)で提供されるルーティング情報を使用して使用可能なパスを選択するようネットワークを設定することをお勧めします。正確な設定はネットワークのアーキテクチャーによって異なります。

VPN 接続を設定する

VPN 接続を手動でセットアップするには、次の手順を実行します。また、VPC およびサブネットを作成してから、VPC ウィザードを使用してこの手順の最初の 5 つのステップを実行することもできます。詳細については、「シナリオ 3 を実装する」または「シナリオ 4 を実装する」を参照してください。

VPN 接続をセットアップするには、以下のステップを完了する必要があります。

この手順は、1 つ以上のサブネットがある VPC を使用しており、必要なネットワーク情報(VPN 接続に必要なもの を参照)を理解していることを前提にしています。

ステップ 1: カスタマーゲートウェイを作成する

カスタマーゲートウェイを作成するには

  1. Amazon VPC コンソール(https://console.aws.amazon.com/vpc/)を開きます。

  2. ナビゲーションペインで [Customer Gateways] をクリックしてから、[Create Customer Gateway] をクリックします。

  3. [Create Customer Gateway] ダイアログボックスで以下の作業を完了し、[Yes, Create] をクリックします。

    • [Name tag] フィールドで、カスタマーゲートウェイの名前を任意で入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

    • [Routing] リストからルーティングタイプを選択します。

    • 動的ルーティングを選択した場合は、[BGP ASN ] フィールドに、ボーダーゲートウェイプロトコル(BGP)自律システム番号(ASN)を入力します。

    • [IP Address] フィールドに、インターネットでルーティング可能な、カスタマーゲートウェイデバイスの静的 IP アドレスを入力します。ネットワークアドレス変換(NAT)を実行するデバイスの背後にあるアドレスは入力できません。

ステップ 2: 仮想プライベートゲートウェイを作成する

仮想プライベートゲートウェイを作成するには

  1. ナビゲーションペインで [Virtual Private Gateways] をクリックしてから、[Create Virtual Private Gateway] をクリックします。

  2. 任意で仮想プライベートゲートウェイの名前を入力し、[Yes, Create] をクリックします。

  3. 作成した仮想プライベートゲートウェイを選択して、[Attach to VPC] をクリックします。

  4. [Attach to VPC] ダイアログボックスのリストから VPC を選択してから、[Yes, Attach] をクリックします。

ステップ 3: ルートテーブルを更新し、ルート伝達を有効にする

ルートテーブルにルートを追加し、ルート伝達を有効にするには

  1. ナビゲーションペインで [Route Tables] をクリックして、サブネットと関連付けられたルートテーブルを選択します。デフォルトでは、これは VPC のメインルートテーブルです。

  2. 詳細ペインの [Routes] タブで、[Edit] をクリックし、以下のいずれかの操作を実行してから [Save] をクリックします。

    • VPN 接続に静的ルーティングを使用している場合は、VPN 接続で使用される静的ルートを [Destination] フィールドに追加し、[Target] リストから仮想プライベートゲートウェイ ID を選択します。

    • VPN 接続に動的ルーティングを使用している場合は、カスタマーネットワークの IP プレフィックスを [Destination] フィールドに入力し、[Target] リストで仮想プライベートゲートウェイ ID を選択します。

  3. 詳細ペインの [Route Propagation] タブで [Edit] をクリックし、前の手順で作成した仮想プライベートゲートウェイを選択して、[Save] をクリックします。

    Note

    VPN 接続で動的ルーティングを使用するように設定し、ルート伝達を有効にしている場合、カスタマーゲートウェイから BGP でアドバタイズされたルートをルートテーブルで表示するには、VPN 接続のステータスを UP にする必要があります。

ステップ 4: セキュリティグループを更新して、インバウンド SSH、RDP、ICMP アクセスを有効にする

セキュリティグループにルールを追加して、インバウンド SSH、RDP、ICMP アクセスを有効にするには

  1. ナビゲーションペインで [Security Groups] をクリックして、VPC のデフォルトのセキュリティグループを選択します。

  2. 詳細ペインの [Inbound] タブで、ネットワークからのインバウンド SSH、RDP、ICMP アクセスを許可するルール追加し、[Save] をクリックします。インバウンドルールの追加の詳細については、「ルールを追加および削除する」を参照してください。

ステップ 5: VPN 接続を作成して、カスタマーゲートウェイを設定する

VPN 接続を作成して、カスタマーゲートウェイを設定するには

  1. ナビゲーションペインで [VPN Connections] をクリックします。

  2. [Create VPN Connection] をクリックします。

  3. [Create VPN Connection] ダイアログボックスで次の操作を行い、[Yes, Create] をクリックします。

    • [Name tag] フィールドで、VPN 接続の名前を任意で入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

    • 前の手順で作成した仮想プライベートゲートウェイを選択します。

    • 前の手順で作成したカスタマーゲートウェイを選択します。

    • VPN ルートがボーダーゲートウェイプロトコル(BGP)をサポートしているかどうかに基づいて、いずれかのルーティングオプションを選択します。

      • VPN ルーターが BGP をサポートしている場合は、[Dynamic (requires BGP)] を選択します。

      • VPN ルーターが BGP をサポートしていない場合は、[Static] を選択します。[Static IP Prefixes] フィールドで、VPN 接続のプライベートネットワークのそれぞれの IP プレフィックスをコンマで区切って指定します。

  4. VPN 接続の作成には数分かかる場合があります。準備が整ったら、接続を選択し、[Download Configuration] をクリックします。

  5. [Download Configuration] ダイアログボックスで、カスタマーゲートウェイのデバイスまたはソフトウェアに対応するベンダー、プラットフォーム、およびソフトウェアを選択し、[Yes Download] をクリックします。

  6. このガイド(Amazon Virtual Private Cloud ネットワーク管理者ガイド)と共に設定ファイルをネットワーク管理者に渡します。ネットワーク管理者がカスタマーゲートウェイを設定した後、VPN 接続が機能するようになります。

ステップ 6: サブネット内にインスタンスを起動する

サブネット内にインスタンスを起動するには

  1. Amazon EC2 コンソールを開きます。

  2. ダッシュボードで、[Launch Instance] をクリックします。

  3. [Choose an Amazon Machine Image (AMI)] ページで、AMI を選択し、[Select] をクリックします。

  4. インスタンスタイプを選択し、[Next: Configure Instance Details] をクリックします。

  5. [Configure Instance Details] ページで、[Network] リストから VPC を選択し、[Subnet] リストからサブネットを選択します。[Configure Security Group] ページが表示されるまで、[Next] をクリックします。

  6. [Select an existing security group] オプションを選択し、前に変更したデフォルトのグループを選択します。[Review and Launch] をクリックします。

  7. 選択した設定を確認します。必要な変更を行い、[Launch] をクリックし、キーペアを選択してインスタンスを起動します。

インスタンスのエンドツーエンド接続のテスト

VPN 接続を設定してインスタンスを起動した後、インスタンスへの ping を実行して接続をテストします。ping リクエストに応答する AMI を使用し、インスタンスのセキュリティグループが、インバウンド ICMP を有効にするように設定されていることを確認する必要があります。Amazon Linux AMI のいずれかを使用することをお勧めします。ご使用のインスタンスで Windows Server を実行している場合、インスタンスへの ping を実行するには、インスタンスにログインし、Windows ファイアウォールでインバウンド ICMPv4 を有効にする必要があります。

Important

インバウンドおよびアウトバウンドの ICMP トラフィックを許可するために、インスタンスへのトラフィックをフィルタするセキュリティグループまたはネットワーク ACL を VPC 内に設定する必要があります。

Amazon VPC コンソールまたは Amazon EC2 API/CLI を使用して、VPN 接続のステータスをモニタリングできます。VPN 接続について、接続の状態、最後の状態変化からの経過時間、エラー説明のテキストなどの情報を確認できます。

エンドツーエンド接続をテストするには

  1. インスタンスが実行中になった後、そのプライベート IP アドレス(例えば 10.0.0.4)を取得します。Amazon EC2 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。

  2. ネットワークでカスタマーゲートウェイの背後にあるコンピュータから、インスタンスのプライベート IP アドレスを指定した ping コマンドを実行します。正常な応答は次のようになります。

    PROMPT> ping 10.0.0.4
    Pinging 10.0.0.4 with 32 bytes of data:
    
    Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
    Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
    Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
    
    Ping statistics for 10.0.0.4:
    Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
    
    Approximate round trip times in milliseconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

これで SSH または RDP を使用して、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の Connect to Your Linux Instance を参照してください。Windows インスタンスに接続する方法については、「Amazon Elastic Compute Cloud Microsoft Windows Guide」の Connect to Your Windows Instance を参照してください。

漏洩した認証情報の置き換え

VPN 接続のトンネル認証情報が漏洩したと思われる場合は、IKE 事前共有キーを変更できます。そのためには、VPN 接続を削除し、同じ仮想プライベートゲートウェイを使用して新しい接続を作成して、カスタマーゲートウェイに新しいキーを設定します。また、トンネルの内部のアドレスと外部のアドレスが一致することを確認することも必要です。VPN 接続を再作成するとアドレスが変更されることがあるためです。この手順を実行する間、VPC 内のインスタンスとの通信は停止しますが、インスタンスは中断されずに実行を継続します。ネットワーク管理者が新しい設定情報を実装した後、VPN 接続に新しい認証情報が使用されるようになり、VPC 内のインスタンスへのネットワーク接続が再開されます。

Important

この手順にはネットワーク管理者グループの助けが必要です。

IKE 事前共有キーを変更するには

  1. VPN 接続を削除します。詳細については、「VPN 接続を削除する」を参照してください。VPC または仮想プライベートゲートウェイを削除する必要はありません。

  2. 新しい VPN 接続を作成して、新しい設定ファイルをダウンロードします。詳細については、「ステップ 5: VPN 接続を作成して、カスタマーゲートウェイを設定する」を参照してください。

VPN 接続を削除する

VPN 接続が不要になった場合には、それを削除することができます。

Important

VPN 接続を削除し、新しい VPN 接続を作成する場合は、新しい設定情報をダウンロードし、ネットワーク管理者にカスタマーゲートウェイを再設定してもらう必要があります。

VPN 接続を削除するには

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで [VPN Connections] をクリックします。

  3. VPN 接続を選択し、[Delete] をクリックします。

  4. [Delete VPN Connection] ダイアログボックスの [Yes, Delete] をクリックします。

カスタマーゲートウェイが不要になった場合には、それを削除することができます。VPN 接続で使用中のカスタマーゲートウェイを削除することはできません。

カスタマーゲートウェイを削除するには

  1. ナビゲーションペインで [Customer Gateways] をクリックします。

  2. 削除するカスタマーゲートウェイを選択し、[Delete] をクリックします。

  3. [Delete Customer Gateway] ダイアログボックスで、[Yes, Delete] をクリックします。

VPC 用の仮想プライベートゲートウェイが不要になった場合には、それをアタッチ解除することができます。

仮想プライベートゲートウェイをアタッチ解除するには

  1. ナビゲーションペインで [Virtual Private Gateways] をクリックします。

  2. 仮想プライベートゲートウェイを選択し、[Detach from VPC] をクリックします。

  3. [Detach from VPC] ダイアログボックスで、[Yes, Detach] をクリックします。

デタッチした仮想プライベートゲートウェイが不要になった場合は、削除することができます。VPC にアタッチされている仮想プライベートゲートウェイを削除することはできません。

仮想プライベートゲートウェイを削除するには

  1. 削除する仮想プライベートゲートウェイを選択し、[Delete] をクリックします。

  2. [Delete Virtual Gateway] ダイアログボックスで、[Yes, Delete] をクリックします。